keyboard_tab DORA 2022/2554 IT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- Art. 1 Oggetto
- Art. 2 Ambito di applicazione
- Art. 3 Definizioni
- Art. 4 Principio di proporzionalità
- Art. 5 Governance e organizzazione
- Art. 6 Quadro per la gestione dei rischi informatici
- Art. 7 Sistemi, protocolli e strumenti di TIC
- Art. 8 Identificazione
- Art. 9 Protezione e prevenzione
- Art. 10 Individuazione
- Art. 11 Risposta e ripristino
- Art. 12 Politiche e procedure di backup — Procedure e metodi di ripristino e recupero
- Art. 13 Apprendimento ed evoluzione
- Art. 14 Comunicazione
- Art. 15 Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico
- Art. 16 Quadro semplificato per la gestione dei rischi informatici
- Art. 17 Processo di gestione degli incidenti connessi alle TIC
- Art. 18 Classificazione degli incidenti connessi alle TIC e delle minacce informatiche
- Art. 19 Segnalazione dei gravi incidenti TIC e notifica volontaria delle minacce informatiche significative
- Art. 20 Armonizzazione dei modelli e dei contenuti per la segnalazione
- Art. 21 Centralizzazione delle segnalazioni di incidenti gravi connessi alle TIC
- Art. 22 Riscontri forniti dalle autorità di vigilanza
- Art. 23 Incidenti operativi o relativi alla sicurezza dei pagamenti riguardanti enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti e istituti di moneta elettronica
- Art. 24 Requisiti generali per lo svolgimento dei test di resilienza operativa digitale
- Art. 25 Test di strumenti e sistemi di TIC
- Art. 26 Test avanzati di strumenti, sistemi e processi di TIC basati su test di penetrazione guidati dalla minaccia (TLPT)
- Art. 27 Requisiti per i soggetti incaricati dello svolgimento dei test per lo svolgimento dei TLPT
- Art. 28 Principi generali
- Art. 29 Valutazione preliminare del rischio di concentrazione delle TIC a livello di entità
- Art. 30 Principali disposizioni contrattuali
- Art. 31 Designazione dei fornitori terzi critici di servizi TIC
- Art. 32 Struttura del quadro di sorveglianza
- Art. 33 Compiti dell’autorità di sorveglianza capofila
- Art. 34 Coordinamento operativo tra autorità di sorveglianza capofila
- Art. 35 Poteri dell’autorità di sorveglianza capofila
- Art. 36 Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione
- Art. 37 Richiesta di informazioni
- Art. 38 Indagini generali
- Art. 39 Ispezioni
- Art. 40 Sorveglianza nel continuo
- Art. 41 Armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza
- Art. 42 Seguito dato dalle autorità competenti
- Art. 43 Commissioni per le attività di sorveglianza
- Art. 44 Cooperazione internazionale
- Art. 45 Meccanismi di condivisione delle informazioni e delle analisi delle minacce informatiche
- Art. 46 Autorità competenti
- Art. 47 Cooperazione con le strutture e le autorità istituite dalla direttiva (UE) 2022/2555
- Art. 48 Cooperazione tra autorità
- Art. 49 Comunicazione, cooperazione e attività finanziarie intersettoriali
- Art. 50 Sanzioni amministrative e misure di riparazione
- Art. 51 Esercizio del potere di imporre sanzioni amministrative e misure di riparazione
- Art. 52 Sanzioni penali
- Art. 53 Obblighi di notifica
- Art. 54 Pubblicazione delle sanzioni amministrative
- Art. 55 Segreto professionale
- Art. 56 Protezione dei dati
- Art. 57 Esercizio della delega
- Art. 58 Clausola di riesame
- Art. 59 Modifiche del regolamento (CE) n. 1060/2009
- Art. 60 Modifiche del regolamento (UE) n. 648/2012
- Art. 61 Modifiche del regolamento (UE) n. 909/2014
- Art. 62 Modifiche del regolamento (UE) n. 600/2014
- Art. 63 Modifiche del regolamento (UE) 2016/1011
- Articolo 64 Entrata in vigore e applicazione
CAPO I
Disposizioni generali
CAPO II
Gestione dei rischi informatici
Sezione I
Sezione II
CAPO III
Gestione, classificazione e segnalazione degli incidenti informatici
CAPO IV
Test di resilienza operativa digitale
CAPO V
Gestione dei rischi informatici derivanti da terzi
Sezione I
Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi
Sezione II
Quadro di sorveglianza dei fornitori terzi critici di servizi TIC
CAPO VI
Meccanismi di condivisione delle informazioni
CAPO VII
Autorità competenti
CAPO VIII
Atti delegati
CAPO IX
Disposizioni transitorie e finali
Sezione I
Sezione II
Modifiche
- resilienza operativa digitale
- sistema informatico e di rete
- sistema legacy
- sicurezza dei sistemi informatici e di rete
- rischi informatici
- patrimonio informativo
- risorse TIC
- incidente connesso alle TIC
- incidente operativo o di sicurezza dei pagamenti
- grave incidente TIC
- grave incidente operativo o di sicurezza dei pagamenti
- minaccia informatica
- minaccia informatica significativa
- attacco informatico
- analisi delle minacce
- vulnerabilità
- test di penetrazione guidato dalla minaccia (TLPT)
- rischi informatici TIC derivanti da terzi
- fornitore terzo di servizi TIC
- fornitore intragruppo di servizi TIC
- servizi TIC
- funzione essenziale o importante
- fornitore terzo critico di servizi TIC
- fornitore terzo di servizi TIC stabilito in un paese terzo
- impresa figlia
- gruppo
- impresa madre
- subappaltatore di TIC stabilito in un paese terzo
- rischio di concentrazione delle TIC
- organo di gestione
- ente creditizio
- ente esentato dalla direttiva 2013/36/UE
- impresa di investimento
- impresa di investimento piccola e non interconnessa
- istituto di pagamento
- istituto di pagamento esentato a norma della direttiva (UE) 2015/2366
- prestatore di servizi di informazione sui conti
- istituto di moneta elettronica
- istituto di moneta elettronica esentato a norma della direttiva 2009/110/CE
- controparte centrale
- repertorio di dati sulle negoziazioni
- depositario centrale di titoli
- sede di negoziazione
- gestore di fondi di investimento alternativi
- società di gestione
- fornitore di servizi di comunicazione dati
- impresa di assicurazione
- impresa di riassicurazione
- intermediario assicurativo
- intermediario assicurativo a titolo accessorio
- intermediario riassicurativo
- ente pensionistico aziendale o professionale
- piccolo ente pensionistico aziendale o professionale
- agenzia di rating del credito
- fornitore di servizi per le cripto-attività
- emittente di token collegati ad attività
- amministratore di indici di riferimento critici
- fornitore di servizi di crowdfunding
- repertorio di dati sulle cartolarizzazioni
- microimpresa
- autorità di sorveglianza capofila
- comitato congiunto
- piccola impresa
- media impresa
- autorità pubblica
- 1. Le CCP adottano, attuano e mantengono una politica adeguata di continuità operativa e un piano di ripristino in caso di disastro, comprendenti una politica di continuità operativa delle TIC e piani di risposta e ripristino relativi alle TIC predisposti e attuati in conformità del regolamento (UE) 2022/2554, miranti ad assicurare il mantenimento delle funzioni, la ripresa tempestiva delle attività e l’adempimento degli obblighi della CCP.
- 3. Al fine di garantire l’applicazione coerente del presente articolo, l’ESMA, previa consultazione dei membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare il contenuto minimo e i requisiti della politica di continuità operativa e del piano di ripristino in caso di disastro, con l’esclusione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC.
- 3. Per assicurare l’applicazione uniforme del presente articolo, l’ESMA elabora progetti di norme tecniche di regolamentazione che specifichino, tranne che per i requisiti in materia di gestione dei rischi informatici, i dettagli della domanda di registrazione di cui al paragrafo 1.
- 6. I CSD individuano, controllano e gestiscono i rischi ai quali i principali partecipanti ai sistemi di regolamento titoli da essi operati nonché i fornitori di servizi e utenze, e altri CSD o altre infrastrutture di mercato possono esporre le loro attività. Su richiesta, forniscono alle autorità competenti e alle autorità rilevanti informazioni su ogni rischio siffatto individuato. Informano inoltre senza ritardo l’autorità competente e le autorità rilevanti in merito a eventuali incidenti operativi causati da tali rischi, tranne che in relazione ai rischi informatici.
- 7. L’ESMA, in stretta cooperazione con i membri del SEBC, elabora progetti di norme tecniche di regolamentazione per specificare i rischi operativi di cui ai paragrafi 1 e 6, tranne che in relazione ai rischi informatici, i metodi per testare, gestire o ridurre al minimo tali rischi, ivi compresi le politiche di continuità operativa e i piani di ripristino in caso di disastro di cui ai paragrafi 3 e 4, nonché i metodi di valutazione degli stessi.
- 5. I CTP rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- 3. Gli ARM rispettano i requisiti in materia di sicurezza dei sistemi informatici e di rete di cui al regolamento (UE) 2022/2554.
- test 11
- entità 6
- finanziarie 6
- microimprese 5
- diverse 5
- resilienza_operativa_digitale 5
- svolgimento 4
- le 3
- paragrafo 3
- all’articolo 3
- programma 3
- durante 2
- tutti 2
- finanziaria 2
- stabiliscono 2
- criteri 2
- conto 2
- metodologie 2
- rischi_informatici 2
- punti 2
- lacune 2
- carenze 2
- deboli 2
- svolti 2
- gestione 2
- fasi 1
- conflitti 1
- d’interessi 1
- assicurano 1
- incaricato 1
- progettazione 1
- esecuzione 1
- stessa 1
- definiscono 1
- procedure 1
- evitati 1
- sufficienti 1
- garantiscono 1
- soggetti 1
- soggetto 1
- risorse 1
- indipendenti 1
- interni 1
- esterni 1
- dedicano 1
- dare 1
- interno 1
- politiche 1
- articolo 1
- ordine 1
Articolo 24
Requisiti generali per lo svolgimento dei test di resilienza_operativa_digitale
1. Allo scopo di valutare la preparazione alla gestione degli incidenti connessi alle TIC, di identificare punti deboli, carenze e lacune della resilienza_operativa_digitale e di attuare tempestivamente misure correttive, le entità finanziarie diverse dalle microimprese, tenuto conto dei criteri di cui all’articolo 4, paragrafo 2, stabiliscono, mantengono e riesaminano un programma di test di resilienza_operativa_digitale solido ed esaustivo quale parte integrante del quadro per la gestione dei rischi_informatici di cui all’articolo 6.
2. Il programma di test di resilienza_operativa_digitale comprende una serie di valutazioni, test, metodologie, pratiche e strumenti da applicare conformemente agli articoli 25 e 26.
3. Nello svolgimento del programma di test di resilienza_operativa_digitale di cui al paragrafo 1 del presente articolo, le entità finanziarie, diverse dalle microimprese, adottano un approccio basato sul rischio che prende in considerazione i criteri di cui all’articolo 4, paragrafo 2, tenendo debitamente conto del mutevole contesto dei rischi_informatici, di eventuali rischi specifici cui l’entità finanziaria interessata è o potrebbe essere esposta, della criticità dei patrimoni informativi e dei servizi forniti, nonché di qualsiasi altro fattore giudicato rilevante dall’entità finanziaria stessa.
4. Le entità finanziarie, diverse dalle microimprese, assicurano che i test siano svolti da soggetti indipendenti, interni o esterni. Se i test sono svolti da un soggetto incaricato dello svolgimento dei test interno, le entità finanziarie dedicano risorse sufficienti e garantiscono che siano evitati conflitti d’interessi durante le fasi di progettazione ed esecuzione del test.
5. Le entità finanziarie, diverse dalle microimprese, definiscono procedure e politiche per dare un ordine di priorità ai problemi riscontrati durante lo svolgimento dei test, per classificarli e porvi rimedio; stabiliscono inoltre metodologie di convalida interne per accertare che tutti i punti deboli, le carenze o le lacune che sono stati individuati siano pienamente affrontati.
6. Le entità finanziarie, diverse dalle microimprese, provvedono affinché, con cadenza almeno annuale, siano eseguiti test adeguati su tutti i sistemi e le applicazioni di TIC a supporto di funzioni essenziali o importanti.
whereas