RTS Articolo 8 – Politiche e procedure per le operazioni riguardanti le TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 8 – Politiche e procedure per le operazioni riguardanti le TIC
Sintesi Articolo 8

Le entità finanziarie devono elaborare, documentare e attuare policy e procedure per la gestione delle operazioni TIC (Tecnologie dell’Informazione e della Comunicazione). Queste policy devono coprire la sicurezza dell’installazione, manutenzione, configurazione e disinstallazione dei sistemi TIC, nonché la gestione del patrimonio informativo e dei sistemi legacy. Inoltre, devono includere misure per il backup, ripristino, monitoraggio e auditing dei sistemi TIC, la separazione tra ambienti di produzione e sviluppo, e la gestione degli errori. Le procedure devono garantire la sicurezza e integrità dei dati anche durante test in ambienti di produzione.

  1. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano politiche e procedure per gestire le operazioni riguardanti le TIC. Tali politiche e procedure specificano in che modo le entità finanziarie gestiscono, monitorano, controllano e ripristinano le proprie risorse TIC, compresa la documentazione delle operazioni riguardanti le TIC.
  2. Le politiche e le procedure per le operazioni riguardanti le TIC di cui al paragrafo 1 contengono tutti gli elementi seguenti:
    • a) una descrizione delle risorse TIC che includa tutti gli elementi seguenti:
      • i) requisiti relativi alla sicurezza dell’installazione, della manutenzione, della configurazione e della disinstallazione di un sistema di TIC;
      • ii) requisiti relativi alla gestione del patrimonio informativo utilizzato dalle risorse TIC, inclusi il trattamento e l’elaborazione, sia automatizzati che manuali;
      • iii) requisiti relativi all’identificazione e al controllo dei sistemi di TIC legacy;
    • b) i controlli e il monitoraggio dei sistemi di TIC, comprendenti tutti gli elementi seguenti:
      • i) requisiti di backup e ripristino dei sistemi di TIC;
      • ii) requisiti di scheduling, tenendo conto delle interdipendenze tra i sistemi di TIC;
      • iii) protocolli per le informazioni di audit trail e log di sistema;
      • iv) requisiti per garantire che l’esecuzione dell’audit interno e di altri test riduca al minimo le perturbazioni delle operazioni commerciali;
      • v) requisiti sulla separazione degli ambienti di produzione delle TIC dagli ambienti di sviluppo, test e da altri ambienti non di produzione;
      • vi) requisiti per condurre lo sviluppo e i test in ambienti separati dall’ambiente di produzione;
      • vii) requisiti per condurre lo sviluppo e i test in ambienti di produzione;
    • c) gestione degli errori relativi ai sistemi di TIC, che comprenda tutti gli elementi seguenti:
      • i) procedure e protocolli per la gestione degli errori;
      • ii) contatti dell’assistenza e dei livelli successivi di intervento, compresi i contatti dell’assistenza esterna in caso di problemi operativi o tecnici imprevisti;
      • iii) procedure di riavvio, riesecuzione e ripristino dei sistemi di TIC da utilizzare in caso di perturbazione dei sistemi di TIC.

Ai fini della lettera b), punto v), la separazione considera tutte le componenti dell’ambiente, compresi gli account, i dati o le connessioni, come previsto dall’articolo 13, primo comma, lettera a).

Ai fini della lettera b), punto vii), le politiche e le procedure di cui al paragrafo 1 prevedono che i casi in cui i test sono eseguiti in un ambiente di produzione siano chiaramente identificati, motivati, abbiano una durata limitata e siano approvati dalla funzione competente conformemente all’articolo 16, paragrafo 6. Le entità finanziarie garantiscono la disponibilità, la riservatezza, l’integrità e l’autenticità dei sistemi di TIC e dei dati di produzione durante le attività di sviluppo e di test nell’ambiente di produzione.

Tutti gli articoli