Sintesi Articolo 6
Le entità finanziarie sviluppano, documentano e attuano una policy di cifratura e controlli crittografici per garantire la sicurezza delle tecnologie dell’informazione e delle comunicazioni (TIC). La policy deve basarsi su una classificazione dei dati e una valutazione dei rischi informatici. Le norme devono coprire la cifratura dei dati “at rest”, “in transit” e in uso, oltre alla gestione delle chiavi crittografiche. Le entità devono anche prevedere aggiornamenti tecnologici basati su sviluppi nella crittoanalisi e adottare misure di attenuazione se non possono seguire le pratiche più avanzate.
- Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano una politica in materia di cifratura e controlli crittografici.
- Le entità finanziarie elaborano la politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 sulla base dei risultati di una classificazione dei dati approvata e di una valutazione dei rischi informatici. La politica contiene norme relative a tutti gli aspetti seguenti:
- a) la cifratura dei dati a riposo e in transito;
- b) la cifratura dei dati in uso, ove necessario;
- c) la cifratura delle connessioni di rete interne e del traffico con l’esterno;
- d) la gestione delle chiavi crittografiche di cui all’articolo 7, che stabilisce le norme sul corretto uso, la protezione e il ciclo di vita delle chiavi crittografiche.
- Ai fini della lettera b), qualora non sia possibile la cifratura dei dati in uso, le entità finanziarie trattano i dati in uso in un ambiente separato e protetto o adottano misure equivalenti per garantire la riservatezza, l’integrità, l’autenticità e la disponibilità dei dati.
- Le entità finanziarie includono nella politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 i criteri per la selezione delle tecniche crittografiche e delle pratiche d’uso, tenendo conto delle pratiche più avanzate e delle norme definite all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012, e la classificazione delle pertinenti risorse TIC stabilita conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554. Le entità finanziarie che non sono in grado di attenersi alle pratiche o alle norme più avanzate o di utilizzare le tecniche più affidabili adottano misure di attenuazione e di monitoraggio che garantiscano la resilienza alle minacce informatiche.
- Le entità finanziarie includono nella politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 disposizioni per aggiornare o modificare, se necessario, la tecnologia crittografica sulla base degli sviluppi della crittoanalisi. Tali aggiornamenti o modifiche garantiscono la resilienza della tecnologia crittografica alle minacce informatiche, come stabilito dall’articolo 10, paragrafo 2, lettera a). Le entità finanziarie che non sono in grado di aggiornare o modificare la tecnologia crittografica adottano misure di attenuazione e di monitoraggio che garantiscano la resilienza alle minacce informatiche.
- Le entità finanziarie includono nella politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 l’obbligo di registrare l’adozione delle misure di attenuazione e di monitoraggio adottate in conformità dei paragrafi 3 e 4 e di fornire una spiegazione motivata di tale scelta.