Sintesi Articolo 4
Le entità finanziarie sviluppano, documentano e attuano una policy di gestione delle risorse TIC. Questa policy deve includere il monitoraggio e la gestione del ciclo di vita delle risorse TIC, la registrazione di informazioni dettagliate su ogni risorsa, come l’identificativo univoco, la posizione, la classificazione, i proprietari, e i requisiti di continuità operativa. Le entità finanziarie devono inoltre documentare le interdipendenze tra risorse e funzioni aziendali, e per le entità finanzirie non microimprese, mantenere registri per valutare i rischi informatici specifici dei sistemi TIC legacy.
- Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano una politica in materia di gestione delle risorse TIC.
- La politica in materia di gestione delle risorse TIC di cui al paragrafo 1:
- a) prescrive il monitoraggio e la gestione del ciclo di vita delle risorse TIC identificate e classificate in conformità dell’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554;
- b) prescrive che l’entità finanziaria tenga registrazioni di tutti gli elementi seguenti:
- i) l’identificativo univoco di ciascuna risorsa TIC;
- ii) informazioni sull’ubicazione, fisica o logica, di tutte le risorse TIC;
- iii) la classificazione di tutte le risorse TIC di cui all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2254;
- iv) l’identità dei proprietari delle risorse TIC;
- v) le funzioni o i servizi commerciali supportati dalla risorsa TIC;
- vi) i requisiti di continuità operativa delle TIC, compresi gli obiettivi di tempo di ripristino e punto di ripristino;
- vii) se la risorsa TIC può essere o è esposta a reti esterne, compreso Internet;
- viii) i collegamenti e le interdipendenze tra le risorse TIC e le funzioni commerciali che utilizzano ciascuna risorsa TIC;
- ix) se applicabile, per tutte le risorse TIC, le date di fine dei servizi di assistenza regolare, estesa e personalizzata del fornitore terzo di servizi TIC, dopo le quali tali risorse TIC non sono più supportate dal loro fornitore o da un fornitore terzo di servizi TIC;
- c) per le entità finanziarie diverse dalle microimprese, prescrive che tali entità finanziarie conservino i registri delle informazioni necessarie per effettuare una valutazione specifica dei rischi informatici su tutti i sistemi di TIC legacy di cui all’articolo 8, paragrafo 7, del regolamento (UE) 2022/2554.