Art. 16
Sistemi informatici e cyber security
1. I sistemi informatici sono appropriati rispetto alla natura,
portata e complessita' dell'attivita' dell'impresa, nonche' dei
conseguenti rischi e forniscono informazioni, sia all'interno che
all'esterno, rispondenti ai principi di cui all'art. 13, comma 2.
L'impresa tutela la cyber security aziendale, come definita all'art.
2, comma 1, lettera f).
2. Ai fini di cui al comma 1:
a) l'organo amministrativo approva un piano strategico sulla
tecnologia della informazione e comunicazione (ICT), inclusa la cyber
security aziendale, volto ad assicurare l'esistenza e il mantenimento
di una architettura complessiva dei sistemi integrata e sicura dal
punto di vista infrastrutturale e applicativo, adeguata ai bisogni
dell'impresa e basata su standard e linee guida internazionali,
nazionali e definiti nella regolamentazione di settore;
b) con riferimento specifico alla cyber security aziendale di cui
alla lettera a), essa:
i. definisce i ruoli e le responsabilita', prevedendo risorse
adeguate, l'appropriata collocazione nell'organizzazione aziendale
delle funzioni aziendali dedicate e il coinvolgimento dell'organo
amministrativo e dell'alta direzione;
ii. valuta il rischio che le varie funzioni, attivita',
prodotti e servizi, incluse le interconnessioni e dipendenze da terze
parti, possono subire in relazione all'acquisizione e al
trasferimento indebiti di dati, alla loro modifica o distruzione
illegittima, ovvero a danneggiamenti, distruzione o ostacoli posti al
regolare funzionamento delle reti e dei sistemi informativi o dei
loro elementi costitutivi, al fine di identificare e implementare
controlli, politiche, procedure e iniziative di formazione per
mantenere i rischi al di sotto della tolleranza definita dall'organo
amministrativo;
iii. stabilisce un processo di monitoraggio sistematico per
identificare tempestivamente incidenti e valutare periodicamente
l'efficacia dei presidi implementati, anche attraverso il
monitoraggio sulle reti, test e audit;
iv. prevede una valutazione approfondita su natura, estensione
e impatto degli incidenti; sviluppa sistemi di risposta tempestivi e
adeguati a contenere l'impatto, inclusa, ove opportuno, la previsione
di un'unita' di gestione delle crisi informatiche e di appropriati
meccanismi graduati di intervento;
v. definisce le azioni per ripristinare le attivita' aziendali,
rimuovendo le fonti di attacco, riportando i sistemi e i dati ad uno
stato normale, identificando e mitigando le vulnerabilita' sfruttate
nel corso dell'incidente, intervenendo sulle vulnerabilita' residue
per evitare incidenti simili e effettuando un'appropriata
comunicazione;
vi. individua le opportune modalita' di comunicazione degli
incidenti e i destinatari di tale comunicazione, inclusi quelli
previsti da leggi e disposizioni regolamentari;
vii. garantisce l'aggiornamento continuo delle conoscenze sulle
minacce, vulnerabilita', incidenti e difese e la revisione periodica
delle strategie e della politica di data governance, per affrontare i
rischi emergenti, rivedere la corretta allocazione delle risorse,
identificare e porre rimedio ad eventuali carenze riscontrate e
apprendere dall'analisi di incidenti accaduti internamente o
esternamente;
c) gli accessi ai diversi ambienti di sviluppo e di produzione
sono regolamentati e controllati attraverso procedure per limitare i
rischi derivanti da intrusioni esterne o da infedelta' del personale.
Le procedure garantiscono la sicurezza logica dei dati, restringendo,
in particolare per l'ambiente di produzione, l'accesso ai dati e
prevedendo che tutte le violazioni vengano evidenziate; le procedure
sono soggette a verifiche da parte della funzione di revisione
interna;
d) le procedure per l'approvazione e l'acquisizione dell'hardware
e del software, nonche' per la cessione all'esterno di determinati
servizi sono formalizzate;
e) sono adottate procedure che assicurino la continuita' dei
processi aziendali, attraverso sistemi di disaster recovery e piani
di business continuity con le opportune misure organizzative,
tecniche e di comunicazione.
3. In caso di operazioni straordinarie quali fusioni e scissioni o
acquisizioni o trasferimento di portafoglio, l'impresa predispone un
piano di integrazione dei sistemi informatici nel quale sono
specificati:
a) ambiti, funzioni, procedure, applicazioni e basi dati
interessate dal processo di integrazione;
b) la tempistica associata a ciascuna fase dell'integrazione con
particolare riguardo alla migrazione delle basi dati e alle date a
partire dalle quali l'integrazione dei portafogli sara' completata;
c) le unita' e i presidi organizzativi ai quali sono affidati i
controlli ed il monitoraggio dell'intero processo di integrazione.
4. L'impresa comunica tempestivamente all'IVASS, nell'ambito
dell'informativa di cui all'art. 47-quater del Codice e relative
disposizioni di attuazione, ogni evento che rappresenti un grave
incidente di sicurezza informatica, inviando una relazione sintetica
recante una descrizione dell'incidente e dei disservizi provocati
agli utenti interni e alla clientela, indicando ove possibile:
a) data e ora dell'accadimento o della rilevazione
dell'incidente;
b) risorse e servizi coinvolti, con una valutazione delle perdite
economiche o dei danni d'immagine;
c) cause dell'incidente, tempi e modalita' per il pieno
ripristino dei livelli di disponibilita' e sicurezza;
d) descrizione delle azioni intraprese e dei risultati ottenuti;
e) valutazione dell'impatto dell'evento sulla clientela e altre
controparti.