Sintesi Articolo 39
Le entità finanziarie di cui all’articolo 16 DORA devono sviluppare piani di continuità operativa delle TIC basati sull’analisi delle potenziali gravi perturbazioni e scenari di rischio, come gli attacchi informatici. I piani devono essere approvati dalla direzione, documentati, accessibili e dotati di risorse adeguate per la loro esecuzione. Devono inoltre stabilire tempi di ripristino, identificare condizioni e misure per garantire la continuità delle risorse TIC e prevedere opzioni alternative in caso di impossibilità di ripristino rapido. I piani vanno aggiornati in base a incidenti, test e nuovi rischi identificati.
- Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554 elaborano i loro piani di continuità operativa delle TIC tenendo conto dei risultati dell’analisi della loro esposizione a gravi perturbazioni dell’attività e del loro potenziale impatto, nonché degli scenari a cui potrebbero essere esposte le loro risorse TIC a supporto di funzioni essenziali o importanti, compreso uno scenario di attacco informatico.
- I piani di continuità operativa delle TIC di cui al paragrafo 1:
- a) sono approvati dall’organo di gestione dell’entità finanziaria;
- b) sono documentati e facilmente accessibili in caso di emergenza o crisi;
- c) assegnano risorse sufficienti per la loro esecuzione;
- d) stabiliscono livelli e tempi di ripristino pianificati per il ripristino e la ripresa delle funzioni e delle principali dipendenze interne ed esterne, anche per quanto riguarda i fornitori terzi di servizi TIC;
- e) identificano le condizioni che potrebbero richiedere l’attivazione dei piani di continuità operativa delle TIC e le azioni da intraprendere per garantire la disponibilità, la continuità e il ripristino delle risorse TIC delle entità finanziarie a supporto di funzioni essenziali o importanti;
- f) identificano le misure di ripristino e recupero per le funzioni commerciali essenziali o importanti, i processi di supporto, i patrimoni informativi e le loro interdipendenze per evitare effetti negativi sul funzionamento delle entità finanziarie;
- g) identificano le misure e le procedure di backup che precisano il perimetro dei dati soggetti a backup e la frequenza minima del backup, in base alla criticità della funzione che utilizza tali dati;
- h) considerano opzioni alternative laddove il ripristino non sia fattibile a breve termine a causa di costi, rischi, logistica o circostanze impreviste;
- i) specificano le modalità di comunicazione interna ed esterna, compresi i piani di attivazione dei livelli successivi di intervento;
- j) sono aggiornati in base agli insegnamenti tratti da incidenti, test, nuovi rischi e minacce identificati, a obiettivi di ripristino modificati, a modifiche di rilievo dell’organizzazione dell’entità finanziaria e delle risorse TIC che supportano funzioni commerciali o essenziali.
Ai fini della lettera f), le misure di cui alla stessa lettera prevedono l’attenuazione delle disfunzioni dei fornitori terzi critici.