RTS Articolo 39 – Componenti del piano di continuità operativa delle TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 39 – Componenti del piano di continuità operativa delle TIC
Sintesi Articolo 39

Le entità finanziarie di cui all’articolo 16 DORA devono sviluppare piani di continuità operativa delle TIC basati sull’analisi delle potenziali gravi perturbazioni e scenari di rischio, come gli attacchi informatici. I piani devono essere approvati dalla direzione, documentati, accessibili e dotati di risorse adeguate per la loro esecuzione. Devono inoltre stabilire tempi di ripristino, identificare condizioni e misure per garantire la continuità delle risorse TIC e prevedere opzioni alternative in caso di impossibilità di ripristino rapido. I piani vanno aggiornati in base a incidenti, test e nuovi rischi identificati.

  1. Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554 elaborano i loro piani di continuità operativa delle TIC tenendo conto dei risultati dell’analisi della loro esposizione a gravi perturbazioni dell’attività e del loro potenziale impatto, nonché degli scenari a cui potrebbero essere esposte le loro risorse TIC a supporto di funzioni essenziali o importanti, compreso uno scenario di attacco informatico.
  2. I piani di continuità operativa delle TIC di cui al paragrafo 1:
    • a) sono approvati dall’organo di gestione dell’entità finanziaria;
    • b) sono documentati e facilmente accessibili in caso di emergenza o crisi;
    • c) assegnano risorse sufficienti per la loro esecuzione;
    • d) stabiliscono livelli e tempi di ripristino pianificati per il ripristino e la ripresa delle funzioni e delle principali dipendenze interne ed esterne, anche per quanto riguarda i fornitori terzi di servizi TIC;
    • e) identificano le condizioni che potrebbero richiedere l’attivazione dei piani di continuità operativa delle TIC e le azioni da intraprendere per garantire la disponibilità, la continuità e il ripristino delle risorse TIC delle entità finanziarie a supporto di funzioni essenziali o importanti;
    • f) identificano le misure di ripristino e recupero per le funzioni commerciali essenziali o importanti, i processi di supporto, i patrimoni informativi e le loro interdipendenze per evitare effetti negativi sul funzionamento delle entità finanziarie;
    • g) identificano le misure e le procedure di backup che precisano il perimetro dei dati soggetti a backup e la frequenza minima del backup, in base alla criticità della funzione che utilizza tali dati;
    • h) considerano opzioni alternative laddove il ripristino non sia fattibile a breve termine a causa di costi, rischi, logistica o circostanze impreviste;
    • i) specificano le modalità di comunicazione interna ed esterna, compresi i piani di attivazione dei livelli successivi di intervento;
    • j) sono aggiornati in base agli insegnamenti tratti da incidenti, test, nuovi rischi e minacce identificati, a obiettivi di ripristino modificati, a modifiche di rilievo dell’organizzazione dell’entità finanziaria e delle risorse TIC che supportano funzioni commerciali o essenziali.

Ai fini della lettera f), le misure di cui alla stessa lettera prevedono l’attenuazione delle disfunzioni dei fornitori terzi critici.

Tutti gli articoli