Sintesi Articolo 41
Le entità finanziarie di cui all’articolo 16 DORA devono presentare una relazione dettagliata sul riesame del loro quadro per la gestione dei rischi informatici. Questa relazione deve essere in formato elettronico e includere una sezione introduttiva che descriva il contesto, una sintesi dei rischi informatici, eventuali modifiche apportate rispetto alla precedente relazione e i motivi del riesame. La relazione deve inoltre contenere le date di approvazione e revisione, la persona responsabile, un’autovalutazione delle carenze e le misure correttive pianificate, concludendo con un’analisi generale e sviluppi futuri.
- Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554 presentano la relazione sul riesame del quadro per la gestione dei rischi informatici di cui al paragrafo 2 di tale articolo in un formato elettronico che permetta la ricerca al suo interno.
- La relazione di cui al paragrafo 1 contiene tutte le informazioni seguenti:
- a) una sezione introduttiva che fornisce:
- i) una descrizione del contesto della relazione in termini di natura, portata e complessità dei servizi, delle attività e delle operazioni dell’entità finanziaria, della sua organizzazione, delle funzioni essenziali identificate, della strategia, dei principali progetti o attività in corso, dei rapporti e della dipendenza dell’entità finanziaria da servizi e sistemi di TIC interni e appaltati o delle implicazioni che una perdita totale o un grave degrado di tali sistemi avrebbe sulle funzioni essenziali o importanti e sull’efficienza del mercato;
- ii) una sintesi di livello esecutivo dei rischi informatici corrente e a breve termine, del panorama delle minacce, della valutazione dell’efficacia dei controlli e della posizione in materia di sicurezza dell’entità finanziaria;
- iii) informazioni sull’area oggetto della relazione;
- iv) una sintesi delle modifiche di rilievo apportate al quadro per la gestione dei rischi informatici rispetto alla precedente relazione;
- v) una sintesi e una descrizione dell’impatto delle modifiche e dei miglioramenti di rilievo apportati al quadro semplificato per la gestione dei rischi informatici rispetto alla relazione precedente;
- b) se del caso, la data di approvazione della relazione da parte dell’organo di gestione dell’entità finanziaria;
- c) una descrizione delle ragioni del riesame, comprensiva di:
- i) nel caso in cui il riesame sia stato avviato a seguito di istruzioni delle autorità di vigilanza, la prova di tali istruzioni;
- ii) nel caso in cui il riesame sia stato avviato a seguito del verificarsi di incidenti connessi alle TIC, l’elenco di tutti gli incidenti connessi alle TIC con la relativa analisi delle cause di fondo;
- d) la data di inizio e di fine del periodo del riesame;
- e) la persona responsabile del riesame;
- f) una sintesi delle risultanze e un’autovalutazione della gravità delle debolezze, delle carenze e delle lacune identificate nel quadro per la gestione dei rischi informatici per il periodo del riesame, compresa un’analisi dettagliata delle stesse;
- g) misure di riparazione individuate per affrontare le debolezze, le carenze e le lacune del quadro semplificato per la gestione dei rischi informatici e la data prevista per l’attuazione di tali misure, compreso il seguito dato alle debolezze, alle carenze e alle lacune identificate nelle relazioni precedenti, qualora tali debolezze, carenze e lacune non siano ancora state risolte;
- h) conclusioni generali sul riesame del quadro semplificato per la gestione dei rischi informatici, compresi eventuali ulteriori sviluppi previsti.
- a) una sezione introduttiva che fornisce: