Art. 16 Sistemi informatici e cyber security 1. I sistemi informatici sono appropriati rispetto alla natura, portata e complessita' dell'attivita' dell'impresa, nonche' dei conseguenti rischi e forniscono informazioni, sia all'interno che all'esterno, rispondenti ai principi di cui all'art. 13, comma 2. L'impresa tutela la cyber security aziendale, come definita all'art. 2, comma 1, lettera f). 2. Ai fini di cui al comma 1: a) l'organo amministrativo approva un piano strategico sulla tecnologia della informazione e comunicazione (ICT), inclusa la cyber security aziendale, volto ad assicurare l'esistenza e il mantenimento di una architettura complessiva dei sistemi integrata e sicura dal punto di vista infrastrutturale e applicativo, adeguata ai bisogni dell'impresa e basata su standard e linee guida internazionali, nazionali e definiti nella regolamentazione di settore; b) con riferimento specifico alla cyber security aziendale di cui alla lettera a), essa: i. definisce i ruoli e le responsabilita', prevedendo risorse adeguate, l'appropriata collocazione nell'organizzazione aziendale delle funzioni aziendali dedicate e il coinvolgimento dell'organo amministrativo e dell'alta direzione; ii. valuta il rischio che le varie funzioni, attivita', prodotti e servizi, incluse le interconnessioni e dipendenze da terze parti, possono subire in relazione all'acquisizione e al trasferimento indebiti di dati, alla loro modifica o distruzione illegittima, ovvero a danneggiamenti, distruzione o ostacoli posti al regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi, al fine di identificare e implementare controlli, politiche, procedure e iniziative di formazione per mantenere i rischi al di sotto della tolleranza definita dall'organo amministrativo; iii. stabilisce un processo di monitoraggio sistematico per identificare tempestivamente incidenti e valutare periodicamente l'efficacia dei presidi implementati, anche attraverso il monitoraggio sulle reti, test e audit; iv. prevede una valutazione approfondita su natura, estensione e impatto degli incidenti; sviluppa sistemi di risposta tempestivi e adeguati a contenere l'impatto, inclusa, ove opportuno, la previsione di un'unita' di gestione delle crisi informatiche e di appropriati meccanismi graduati di intervento; v. definisce le azioni per ripristinare le attivita' aziendali, rimuovendo le fonti di attacco, riportando i sistemi e i dati ad uno stato normale, identificando e mitigando le vulnerabilita' sfruttate nel corso dell'incidente, intervenendo sulle vulnerabilita' residue per evitare incidenti simili e effettuando un'appropriata comunicazione; vi. individua le opportune modalita' di comunicazione degli incidenti e i destinatari di tale comunicazione, inclusi quelli previsti da leggi e disposizioni regolamentari; vii. garantisce l'aggiornamento continuo delle conoscenze sulle minacce, vulnerabilita', incidenti e difese e la revisione periodica delle strategie e della politica di data governance, per affrontare i rischi emergenti, rivedere la corretta allocazione delle risorse, identificare e porre rimedio ad eventuali carenze riscontrate e apprendere dall'analisi di incidenti accaduti internamente o esternamente; c) gli accessi ai diversi ambienti di sviluppo e di produzione sono regolamentati e controllati attraverso procedure per limitare i rischi derivanti da intrusioni esterne o da infedelta' del personale. Le procedure garantiscono la sicurezza logica dei dati, restringendo, in particolare per l'ambiente di produzione, l'accesso ai dati e prevedendo che tutte le violazioni vengano evidenziate; le procedure sono soggette a verifiche da parte della funzione di revisione interna; d) le procedure per l'approvazione e l'acquisizione dell'hardware e del software, nonche' per la cessione all'esterno di determinati servizi sono formalizzate; e) sono adottate procedure che assicurino la continuita' dei processi aziendali, attraverso sistemi di disaster recovery e piani di business continuity con le opportune misure organizzative, tecniche e di comunicazione. 3. In caso di operazioni straordinarie quali fusioni e scissioni o acquisizioni o trasferimento di portafoglio, l'impresa predispone un piano di integrazione dei sistemi informatici nel quale sono specificati: a) ambiti, funzioni, procedure, applicazioni e basi dati interessate dal processo di integrazione; b) la tempistica associata a ciascuna fase dell'integrazione con particolare riguardo alla migrazione delle basi dati e alle date a partire dalle quali l'integrazione dei portafogli sara' completata; c) le unita' e i presidi organizzativi ai quali sono affidati i controlli ed il monitoraggio dell'intero processo di integrazione. 4. L'impresa comunica tempestivamente all'IVASS, nell'ambito dell'informativa di cui all'art. 47-quater del Codice e relative disposizioni di attuazione, ogni evento che rappresenti un grave incidente di sicurezza informatica, inviando una relazione sintetica recante una descrizione dell'incidente e dei disservizi provocati agli utenti interni e alla clientela, indicando ove possibile: a) data e ora dell'accadimento o della rilevazione dell'incidente; b) risorse e servizi coinvolti, con una valutazione delle perdite economiche o dei danni d'immagine; c) cause dell'incidente, tempi e modalita' per il pieno ripristino dei livelli di disponibilita' e sicurezza; d) descrizione delle azioni intraprese e dei risultati ottenuti; e) valutazione dell'impatto dell'evento sulla clientela e altre controparti.