WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12


WEBINAR / 16 Gennaio
Value for money: nuova metodologia EIOPA dei benchmark
www.dirittobancario.it
Flash News

DORA: processi e politiche per la gestione dei rischi informatici in GU UE

25 Giugno 2024
Di cosa si parla in questo articolo

Pubblicato in Gazzetta Ufficiale UE del 25 giugno 2024 il Regolamento delegato (UE) 2024/1774 del 13 marzo 2024 che integra il Regolamento DORA per quanto riguarda le norme tecniche di regolamentazione che specificano gli strumenti, i metodi, i processi e le politiche per la gestione dei rischi informatici e il quadro semplificato per la gestione dei rischi informatici.

Per garantire la propria resilienza operativa digitale, le entità finanziarie, ai sensi del Regolamento (UE) 2023/2554 (DORA), devono elaborare e attuare una politica di gestione delle risorse ICT, e delle procedure di gestione necessarie a gestire i rischi informatici , al fine di:

  • garantire la separazione dei compiti nell’assegnazione dei ruoli e delle responsabilità in materia di TIC, al fine di limitare il conflitto d’interessi
  • garantire il monitoraggio dello stato delle risorse ICT durante il loro ciclo di vita, in modo da utilizzarle e mantenerle in modo efficace
  • garantire l’ottimizzazione del funzionamento dei sistemi di ICT e che le prestazioni dei sistemi e della capacità di ICT soddisfino gli obiettivi aziendali e di sicurezza delle informazioni stabiliti (gestione della capacità e delle prestazioni)
  • garantire una gestione e un funzionamento quotidiani efficaci e regolari dei sistemi di TIC, riducendo al minimo il rischio di perdita di riservatezza, integrità e disponibilità dei dati.
  • garantire la sicurezza delle reti
  • fornire adeguate salvaguardie contro le intrusioni e l’uso improprio dei dati
  • preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati.

Al fine di garantire una corretta gestione dei rischi informatici, le entità finanziarie dovranno, in particolare, ai sensi del DORA e del Regolamento delegato:

  • registrare e monitorare le date di fine dei servizi di assistenza informatica forniti da terzi
  • garantire controlli crittografici che possono garantire la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati: qualora la cifratura dei dati in uso non sia fattibile o sia troppo complessa, gli enti devono sempre proteggere la riservatezza, l’integrità e la disponibilità dei dati in questione attraverso altre misure di sicurezza delle ICT
  • attuare una rigorosa separazione degli ambienti di produzione delle ICT dagli ambienti in cui i sistemi di ICT sono sviluppati e testati o da altri ambienti non di produzione, che funga da importante misura di sicurezza contro l’accesso non intenzionale e non autorizzato, e contro le modifiche e le cancellazioni dei dati nell’ambiente di produzione; solo in circostanze eccezionali le entità finanziarie dovrebbero essere autorizzate a effettuare test in ambienti di produzione, a condizione di giustificare tali test e di ottenere l’approvazione richiesta
  • identificare e correggere le vulnerabilità del loro ambiente ICT: sia le entità finanziarie che i loro fornitori terzi di servizi ICT devono aderire a un quadro di gestione delle vulnerabilità coerente, trasparente e responsabile; le entità finanziarie monitorano a tal fine le vulnerabilità delle ICT utilizzando risorse affidabili e strumenti automatizzati, verificando che i fornitori terzi di servizi ICT assicurino un’azione tempestiva sulle vulnerabilità dei servizi prestati
  • garantire una comunicazione tempestiva e trasparente delle potenziali minacce alla sicurezza che potrebbero avere un impatto sull’entità finanziaria e sui suoi portatori di interessi:
    • definendo procedure per una comunicazione responsabile delle vulnerabilità delle ICT ai clienti, alle controparti e al pubblico
    • considerando la gravità della vulnerabilità, l’impatto potenziale di tale vulnerabilità sui portatori di interessi e la disponibilità di una correzione o di misure di attenuazione
  • adottare misure rigorose per accertare l’identificazione univoca delle persone e dei sistemi che accedano alle informazioni dell’entità finanziaria: l’uso di account generici o condivisi è eccezionalmente consentito in circostanze specificate dalle entità finanziarie, ma deve essere garantito il mantenimento della responsabilità per le azioni intraprese attraverso tali account condivisi
  • garantire che i pacchetti software che le entità finanziarie acquisiscono e sviluppano siano integrati in modo efficace e sicuro nell’ambiente ICT esistente, conformemente agli obiettivi aziendali e di sicurezza delle informazioni stabiliti: per identificare le vulnerabilità e le potenziali lacune nella sicurezza, le entità finanziarie devono effettuare test di sicurezza ed esaminare i codici sorgente dei software acquisiti, compresi, ove possibile, i software proprietari forniti da fornitori terzi di servizi TIC, utilizzando metodi di test sia statici che dinamici
  • disporre di solide politiche e procedure di gestione delle modifiche delle ICT: per sostenere l’obiettività e l’efficacia del processo di gestione delle modifiche delle ICT, prevenire i conflitti di interessi e garantire che le modifiche delle ICT siano valutate in modo obiettivo, è necessario separare le funzioni responsabili dell’approvazione delle modifiche, dalle funzioni che le richiedono e le attuano, assegnando ruoli e responsabilità chiari che garantiscano che le modifiche siano pianificate, adeguatamente testate e che sia assicurata la qualità; per garantire che i sistemi di TIC continuino a funzionare efficacemente e per fornire una rete di sicurezza alle entità finanziarie, queste ultime devono elaborare e attuare anche procedure di fall-back
  • definire una politica relativa agli incidenti connessi alle ICT che comprenda un processo di gestione degli incidenti connessi alle ICT: le entità finanziarie devono identificare tutti i contatti pertinenti all’interno e all’esterno dell’ente che possano facilitare il corretto coordinamento e l’attuazione delle diverse fasi del processo; per ottimizzare l’individuazione degli incidenti connessi alle ICT e la risposta agli stessi, le entità finanziarie devono analizzare in dettaglio gli incidenti connessi alle ICT che ritengono più significativi, anche in ragione del loro regolare ripetersi
  • raccogliere, monitorare e analizzare le diverse fonti di informazione e assegnare i relativi ruoli e responsabilità: i log sono una fonte estremamente rilevante, ma le entità finanziarie non devono affidarsi solo ad essi, considerando informazioni più ampie che includano quanto riportato da altre funzioni interne e da fonti esterne, comprese le informazioni provenienti da fornitori terzi di ICT sugli incidenti che interessano i loro sistemi e le loro reti, e altre fonti di informazione che le entità finanziarie ritengono pertinenti
  • conservare le prove degli incidenti connessi alle ICT, determinandone il periodo di conservazione, e tenendo conto, tra l’altro, della criticità dei dati e degli obblighi di conservazione derivanti dal diritto dell’Unione.
Di cosa si parla in questo articolo

WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter