Articolo 24 – Requisiti generali per lo svolgimento dei test di resilienza operativa digitale

Sintesi Articolo 24

Le entità finanziarie, escluse le microimprese, sono tenute a creare e mantenere un robusto programma di test di resilienza operativa digitale. Questo programma fa parte di un più ampio quadro di gestione del rischio delle TIC e dovrebbe includere varie valutazioni e test. I test dovrebbero essere basati sul rischio, considerando l’evoluzione del panorama dei rischi delle TIC e le vulnerabilità specifiche dell’entità. I test devono essere condotti da parti indipendenti per evitare conflitti di interesse. Le entità devono anche stabilire procedure per affrontare eventuali problemi rivelati dai test. Almeno annualmente, dovrebbero essere effettuati test su tutti i sistemi e le applicazioni critiche delle TIC.

  1. Allo scopo di valutare la preparazione alla gestione degli incidenti connessi alle TIC, di identificare punti deboli, carenze e lacune della resilienza operativa digitale e di attuare tempestivamente misure correttive, le entità finanziarie diverse dalle microimprese, tenuto conto dei criteri di cui all’articolo 4, paragrafo 2, stabiliscono, mantengono e riesaminano un programma di test di resilienza operativa digitale solido ed esaustivo quale parte integrante del quadro per la gestione dei rischi informatici di cui all’articolo 6.
  2. Il programma di test di resilienza operativa digitale comprende una serie di valutazioni, test, metodologie, pratiche e strumenti da applicare conformemente agli articoli 25 e 26.
  3. Nello svolgimento del programma di test di resilienza operativa digitale di cui al paragrafo 1 del presente articolo, le entità finanziarie, diverse dalle microimprese, adottano un approccio basato sul rischio che prende in considerazione i criteri di cui all’articolo 4, paragrafo 2, tenendo debitamente conto del mutevole contesto dei rischi informatici, di eventuali rischi specifici cui l’entità finanziaria interessata è o potrebbe essere esposta, della criticità dei patrimoni informativi e dei servizi forniti, nonché di qualsiasi altro fattore giudicato rilevante dall’entità finanziaria stessa.
  4. Le entità finanziarie, diverse dalle microimprese, assicurano che i test siano svolti da soggetti indipendenti, interni o esterni. Se i test sono svolti da un soggetto incaricato dello svolgimento dei test interno, le entità finanziarie dedicano risorse sufficienti e garantiscono che siano evitati conflitti d’interessi durante le fasi di progettazione ed esecuzione del test.
  5. Le entità finanziarie, diverse dalle microimprese, definiscono procedure e politiche per dare un ordine di priorità ai problemi riscontrati durante lo svolgimento dei test, per classificarli e porvi rimedio; stabiliscono inoltre metodologie di convalida interne per accertare che tutti i punti deboli, le carenze o le lacune che sono stati individuati siano pienamente affrontati.
  6. Le entità finanziarie, diverse dalle microimprese, provvedono affinché, con cadenza almeno annuale, siano eseguiti test adeguati su tutti i sistemi e le applicazioni di TIC a supporto di funzioni essenziali o importanti.

Tutti gli articoli