Articolo 26 – Test avanzati di strumenti, sistemi e processi di TIC basati su test di penetrazione guidati dalla minaccia (TLPT)

Sintesi Articolo 26

Le entità finanziarie, ad eccezione di determinate esenzioni, sono tenute a condurre Test di Penetrazione avanzati basati sulle Minacce (TLPT) almeno ogni tre anni. Lo scopo del TLPT comprende le funzioni critiche e i sistemi di produzione live. Se sono coinvolti fornitori di TIC di terze parti, devono partecipare anche al TLPT. Le entità finanziarie possono aggregare le risorse per i test se il coinvolgimento di un fornitore di TIC di terze parti dovesse compromettere la qualità del servizio o la riservatezza dei dati. Dopo i test, le entità devono presentare le conclusioni e i piani di rimedio all’autorità competente, che fornirà un attestato per il riconoscimento reciproco dei test. Le autorità identificheranno quali entità devono eseguire il TLPT in base a vari fattori di rischio e impatto.

  1. Le entità finanziarie, diverse dalle entità di cui all’articolo 16, paragrafo 1, primo comma, e dalle microimprese, che sono identificate conformemente al paragrafo 8, terzo comma, del presente articolo, effettuano test avanzati sotto forma di test di penetrazione basati su minacce con cadenza almeno triennale. Sulla base del profilo di rischio dell’entità finanziaria e tenuto conto delle circostanze operative, l’autorità competente può, se necessario, chiedere all’entità finanziaria di ridurre o aumentare tale frequenza.
  2. Ciascun test di penetrazione guidato dalla minaccia riguarda alcune o tutte le funzioni essenziali o importanti dell’entità finanziaria ed è effettuato sui sistemi attivi di produzione a supporto di tali funzioni. Le entità finanziarie identificano tutti i sistemi, i processi e le tecnologie TIC sottostanti a supporto delle funzioni essenziali o importanti e tutti i pertinenti servizi TIC, compresi quelli a supporto di funzioni essenziali o importanti che sono stati esternalizzati o appaltati a fornitori terzi di servizi TIC. Le entità finanziarie valutano quali funzioni essenziali o importanti debbano essere interessate dai TLPT (test di penetrazione basati sulla minaccia). Il risultato della valutazione determina il preciso ambito di applicazione dei TLPT ed è convalidato dalle autorità competenti.
  3. Qualora i fornitori terzi di servizi TIC rientrino nell’ambito di applicazione dei TLPT, l’entità finanziaria adotta le misure e le salvaguardie necessarie per garantire la partecipazione di tali fornitori terzi di servizi TIC ai TLPT ed è sempre pienamente responsabile di garantire il rispetto del presente regolamento.
  4. Fatto salvo il paragrafo 2, primo e secondo comma, laddove si ritiene ragionevolmente che la partecipazione di un fornitore terzo di servizi TIC ai TLPT di cui al paragrafo 3 possa avere un impatto avverso sulla qualità o la sicurezza dei servizi offerti dal fornitore terzo di servizi TIC a clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento, ovvero sulla riservatezza dei dati relativi a tali servizi, l’entità finanziaria e il fornitore terzo di servizi TIC possono concordare per iscritto che il fornitore terzo di servizi TIC stipuli direttamente accordi contrattuali con un soggetto incaricato dello svolgimento dei test esterno, allo scopo di condurre, sotto la direzione di un’entità finanziaria designata, un TLPT congiunto che coinvolga diverse entità finanziarie (pooled testing) a cui il fornitore terzo di servizi TIC fornisce tali servizi. Detto test congiunto riguarda la pertinente gamma di servizi TIC a supporto delle funzioni essenziali o importanti appaltate dalle entità finanziarie al rispettivo fornitore terzo di servizi TIC. I test congiunti sono considerati TLPT effettuati dalle entità finanziarie che partecipano ai test congiunti. Il numero di entità finanziarie che partecipano ai test congiunti è debitamente calibrato tenendo conto della complessità e dei tipi di servizi interessati.
  5. Le entità finanziarie, cooperando con i fornitori terzi di servizi TIC e altre parti coinvolte, inclusi i soggetti incaricati dello svolgimento dei test ma escluse le autorità competenti, applicano efficaci controlli di gestione del rischio per attenuare i rischi di potenziali impatti sui dati, danni alle attività e perturbazioni delle funzioni essenziali o importanti, delle operazioni o dei servizi delle entità finanziarie, delle loro controparti o del settore finanziario.
  6. Alla fine dei test, dopo che le relazioni e i piani correttivi siano stati concordati, l’entità finanziaria e, ove applicabile, i soggetti incaricati dello svolgimento dei test esterni trasmettono all’autorità, designata conformemente al paragrafo 9 o 10, una sintesi delle pertinenti risultanze, i piani correttivi e la documentazione attestante che i TLPT sono stati svolti conformemente ai requisiti.
  7. Le autorità forniscono alle entità finanziarie un attestato che conferma che i test sono stati svolti conformemente ai requisiti, come si evince dalla documentazione, in modo da consentire il riconoscimento reciproco dei TLPT tra le autorità competenti. L’entità finanziaria notifica all’autorità competente interessata l’attestato, la sintesi delle pertinenti risultanze e i piani correttivi. Fatto salvo tale attestato, le entità finanziarie rimangono sempre pienamente responsabili degli impatti dei test di cui al paragrafo 4.
  8. Per l’effettuazione dei TLPT, le entità finanziarie si avvalgono di soggetti incaricati dello svolgimento dei test in conformità dell’articolo 27. Quando ricorrono a soggetti incaricati dello svolgimento dei test interni per l’effettuazione di TLPT, le entità finanziarie si avvalgono di un soggetto incaricato dello svolgimento dei test esterno ogni tre test. Gli enti creditizi classificati come significativi a norma dell’articolo 6, paragrafo 4, del regolamento (UE) n. 1024/2013, ricorrono esclusivamente a soggetti incaricati dello svolgimento dei test esterni conformemente all’articolo 27, paragrafo 1, lettere da a) a e). Le autorità competenti identificano le entità finanziarie che hanno l’obbligo di svolgere TLPT tenendo conto dei criteri di cui all’articolo 4, paragrafo 2, sulla base della valutazione degli elementi seguenti:
    • a) i fattori correlati all’impatto, in particolare la portata dell’impatto sul settore finanziario dei servizi forniti e delle attività svolte dall’entità finanziaria;
    • b) i possibili problemi di stabilità finanziaria, tra cui il carattere sistemico dell’entità finanziaria a livello di Unione o nazionale, a seconda dei casi;
    • c) lo specifico profilo dei rischi informatici, il livello di maturità delle TIC dell’entità finanziaria o le caratteristiche tecnologiche in questione.
  9. Gli Stati membri possono designare un’autorità pubblica unica nel settore finanziario responsabile delle questioni relative ai TLPT nel settore finanziario a livello nazionale e le affidano tutte le competenze e tutti i compiti a tal fine.
  10. In assenza di una designazione a norma del paragrafo 9 del presente articolo e fatto salvo il potere di identificare le entità finanziarie tenute a svolgere TLPT, un’autorità competente può delegare l’esercizio di alcuni o di tutti i compiti di cui al presente articolo e all’articolo 27 a un’altra autorità nazionale nel settore finanziario.
  11. Di concerto con la BCE, le AEV elaborano progetti di norme tecniche di regolamentazione comuni conformemente al quadro di riferimento TIBER-EU al fine di specificare ulteriormente quanto segue:
    • a) i criteri utilizzati ai fini dell’applicazione del paragrafo 8, secondo comma;
    • b) i requisiti e le norme che disciplinano il ricorso a soggetto incaricato dello svolgimento dei test interni;
    • c) i requisiti concernenti:
      • i) l’ambito dei TLPT di cui al paragrafo 2;
      • ii) l’approccio e la metodologia da seguire per i test in ciascuna fase del relativo processo;
      • iii) i risultati, la chiusura e le fasi correttive dei test;
  • d) il tipo di cooperazione di vigilanza e altri tipi di cooperazione pertinenti necessari per svolgere i TLPT e per la facilitazione del riconoscimento reciproco di tali test, nel contesto di entità finanziarie che operano in più di uno Stato membro, al fine di consentire un livello adeguato di partecipazione alla vigilanza, nonché un’attuazione flessibile per tener conto delle specificità dei sottosettori finanziari o dei mercati finanziari locali.

All’ atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono debitamente conto di eventuali caratteristiche specifiche derivanti dalla natura distinta delle attività nei diversi settori dei servizi finanziari.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 luglio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010.

Tutti gli articoli