Il 3 novembre 2022 Banca d’Italia ha pubblicato il 40° aggiornamento alle Disposizioni di vigilanza per le banche (Circolare n. 285/2013) che dà attuazione agli Orientamenti dell’EBA sulla gestione dei rischi relativi alle tecnologie dell’informazione (Rischi ICT) e di sicurezza.
L’aggiornamento introduce novità in materia di gestione del rischio ICT e di sicurezza, governance e compiti degli organi aziendali, sistema dei controlli interni, esternalizzazione e continuità operativa.
Tra le novità più rilevanti si segnala la necessità per le banche di dotarsi di una funzione di controllo per la gestione e il controllo dei rischi ICT e di sicurezza.
Le banche sono chiamate ad adeguarsi alle presenti novità entro il 30 giugno 2023.
Entro il 1° settembre 2023 trasmettono alla Banca d’Italia una relazione che descrive gli interventi effettuati per assicurare il rispetto delle stesse.
Tematiche oggetto di attenzione e discussione
- Il framework normativo di riferimento: Disposizioni di vigilanza e Linee guida EBA
- Il rischio ICT e di sicurezza
- Il nuovo paradigma operativo: dall’analisi alla gestione dei rischi
- L’organo con funzione di supervisione strategica nel contesto dell’ITC governance
- La definizione e approvazione della strategia ICT
- I compiti dell’organo con funzione di gestione
- La funzione di controllo dei rischi ICT e di sicurezza
- Il ruolo delle altre funzioni aziendali
- La gestione del rischio ICT e di sicurezza
- Sicurezza dell’informazione e gestione delle operazioni ICT
- La gestione dei progetti e dei cambiamenti ICT
- L’esternalizzazione delle risorse e servizi ICT
- Il ricorso a fornitori terzi
- La definizione dei piani di continuità operativa
- Gli obbiettivi di punto di ripristino