Vigilanza – Rischi ICT e di sicurezza

Con il 40° aggiornamento della Circolare 285/2013 “Disposizioni di vigilanza per le banche” sono state introdotte novità nella gestione dei Rischi ICT e di cybersicurezza.

Con l’aggiornamento in oggetto, l’Autorità di Vigilanza ha dato attuazione agli Orientamenti EBA/GL/2019/04 e modificato il Capitolo 4 “Il sistema informativo” e il Capitolo 5 “La continuità operativa” della Parte Prima, Titolo IV della Circolare 285/13.

Le banche, destinatarie della normativa, sono tenute a formulare procedure di prevenzione e gestione dei rischi dei propri sistemi informativi, entro il 30 giugno 2023; mentre, entro il 1° settembre 2023 sono tenute ad inviare a Banca d’Italia una relazione descrittiva degli interventi di adeguamento alla normativa.

L’ottimizzazione dei processi di gestione e mitigazione del rischio informatico ha determinato la necessità di istituire una nuova figura all’interno della struttura organizzativa bancaria ed in particolare, al sistema di controllo interno.

A tal fine, ciascuna banca, in aggiunta alle Funzioni di II livello, dovrà dotarsi di una nuova funzione di controllo di II livello idonea a gestire e mitigare il rischio di incidenti e problemi ICT. Si definiscono rischi ICT e di sicurezza quegli eventi che potrebbero compromettere la riservatezza e l’integrità dei sistemi e dei dati, nonché l’adeguatezza e la disponibilità dei sistemi di sicurezza: (i) fisica, (ii) logica, (iii) delle informazioni, (iv) delle operazioni ICT.

Obiettivo principale della Funzione sarà quello di garantire che i rischi ICT siano tempestivamente individuati, misurati, valutati e segnalati. Il quadro di riferimento dovrà essere documentato e aggiornato in considerazione delle criticità rilevate sulle risorse informatiche.

Ebbene, gli istituti bancari dovranno predisporre una mappatura completa e aggiornata dei processi e procedure delle risorse informatiche a supporto, al fine di poter determinare l’esatta propensione al rischio ICT e di sicurezza della propria realtà.

La normativa prevede la possibilità di incaricare la Funzione Compliance di tale ruolo. Nel caso in cui la Funzione di controllo di II livello dei rischi ICT e di sicurezza informatica fosse diversa dalla Funzione Compliance, si specifica che la stessa dovrà svolgere l’attività secondo un criterio di indipendenza e obiettività.

di Giulia Morgante

Condividi su facebook
Facebook
Condividi su twitter
Twitter
Condividi su linkedin
LinkedIn
Condividi su whatsapp
WhatsApp
Condividi su print
Stampa
Categorie articoli