Sintesi Articolo 8
Le entità finanziarie devono elaborare, documentare e attuare policy e procedure per la gestione delle operazioni TIC (Tecnologie dell’Informazione e della Comunicazione). Queste policy devono coprire la sicurezza dell’installazione, manutenzione, configurazione e disinstallazione dei sistemi TIC, nonché la gestione del patrimonio informativo e dei sistemi legacy. Inoltre, devono includere misure per il backup, ripristino, monitoraggio e auditing dei sistemi TIC, la separazione tra ambienti di produzione e sviluppo, e la gestione degli errori. Le procedure devono garantire la sicurezza e integrità dei dati anche durante test in ambienti di produzione.
- Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano politiche e procedure per gestire le operazioni riguardanti le TIC. Tali politiche e procedure specificano in che modo le entità finanziarie gestiscono, monitorano, controllano e ripristinano le proprie risorse TIC, compresa la documentazione delle operazioni riguardanti le TIC.
- Le politiche e le procedure per le operazioni riguardanti le TIC di cui al paragrafo 1 contengono tutti gli elementi seguenti:
- a) una descrizione delle risorse TIC che includa tutti gli elementi seguenti:
- i) requisiti relativi alla sicurezza dell’installazione, della manutenzione, della configurazione e della disinstallazione di un sistema di TIC;
- ii) requisiti relativi alla gestione del patrimonio informativo utilizzato dalle risorse TIC, inclusi il trattamento e l’elaborazione, sia automatizzati che manuali;
- iii) requisiti relativi all’identificazione e al controllo dei sistemi di TIC legacy;
- b) i controlli e il monitoraggio dei sistemi di TIC, comprendenti tutti gli elementi seguenti:
- i) requisiti di backup e ripristino dei sistemi di TIC;
- ii) requisiti di scheduling, tenendo conto delle interdipendenze tra i sistemi di TIC;
- iii) protocolli per le informazioni di audit trail e log di sistema;
- iv) requisiti per garantire che l’esecuzione dell’audit interno e di altri test riduca al minimo le perturbazioni delle operazioni commerciali;
- v) requisiti sulla separazione degli ambienti di produzione delle TIC dagli ambienti di sviluppo, test e da altri ambienti non di produzione;
- vi) requisiti per condurre lo sviluppo e i test in ambienti separati dall’ambiente di produzione;
- vii) requisiti per condurre lo sviluppo e i test in ambienti di produzione;
- c) gestione degli errori relativi ai sistemi di TIC, che comprenda tutti gli elementi seguenti:
- i) procedure e protocolli per la gestione degli errori;
- ii) contatti dell’assistenza e dei livelli successivi di intervento, compresi i contatti dell’assistenza esterna in caso di problemi operativi o tecnici imprevisti;
- iii) procedure di riavvio, riesecuzione e ripristino dei sistemi di TIC da utilizzare in caso di perturbazione dei sistemi di TIC.
- a) una descrizione delle risorse TIC che includa tutti gli elementi seguenti:
Ai fini della lettera b), punto v), la separazione considera tutte le componenti dell’ambiente, compresi gli account, i dati o le connessioni, come previsto dall’articolo 13, primo comma, lettera a).
Ai fini della lettera b), punto vii), le politiche e le procedure di cui al paragrafo 1 prevedono che i casi in cui i test sono eseguiti in un ambiente di produzione siano chiaramente identificati, motivati, abbiano una durata limitata e siano approvati dalla funzione competente conformemente all’articolo 16, paragrafo 6. Le entità finanziarie garantiscono la disponibilità, la riservatezza, l’integrità e l’autenticità dei sistemi di TIC e dei dati di produzione durante le attività di sviluppo e di test nell’ambiente di produzione.