RTS Articolo 4 – Politica di gestione delle risorse TIC

Sintesi Articolo 4

Le entità finanziarie sviluppano, documentano e attuano una policy di gestione delle risorse TIC. Questa policy deve includere il monitoraggio e la gestione del ciclo di vita delle risorse TIC, la registrazione di informazioni dettagliate su ogni risorsa, come l’identificativo univoco, la posizione, la classificazione, i proprietari, e i requisiti di continuità operativa. Le entità finanziarie devono inoltre documentare le interdipendenze tra risorse e funzioni aziendali, e per le entità finanzirie non microimprese, mantenere registri per valutare i rischi informatici specifici dei sistemi TIC legacy.

  1. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano una politica in materia di gestione delle risorse TIC.
  2. La politica in materia di gestione delle risorse TIC di cui al paragrafo 1:
    • a) prescrive il monitoraggio e la gestione del ciclo di vita delle risorse TIC identificate e classificate in conformità dell’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554;
    • b) prescrive che l’entità finanziaria tenga registrazioni di tutti gli elementi seguenti:
      • i) l’identificativo univoco di ciascuna risorsa TIC;
      • ii) informazioni sull’ubicazione, fisica o logica, di tutte le risorse TIC;
      • iii) la classificazione di tutte le risorse TIC di cui all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2254;
      • iv) l’identità dei proprietari delle risorse TIC;
      • v) le funzioni o i servizi commerciali supportati dalla risorsa TIC;
      • vi) i requisiti di continuità operativa delle TIC, compresi gli obiettivi di tempo di ripristino e punto di ripristino;
      • vii) se la risorsa TIC può essere o è esposta a reti esterne, compreso Internet;
      • viii) i collegamenti e le interdipendenze tra le risorse TIC e le funzioni commerciali che utilizzano ciascuna risorsa TIC;
      • ix) se applicabile, per tutte le risorse TIC, le date di fine dei servizi di assistenza regolare, estesa e personalizzata del fornitore terzo di servizi TIC, dopo le quali tali risorse TIC non sono più supportate dal loro fornitore o da un fornitore terzo di servizi TIC;
    • c) per le entità finanziarie diverse dalle microimprese, prescrive che tali entità finanziarie conservino i registri delle informazioni necessarie per effettuare una valutazione specifica dei rischi informatici su tutti i sistemi di TIC legacy di cui all’articolo 8, paragrafo 7, del regolamento (UE) 2022/2554.

Tutti gli articoli