Logo EBA

EBA | European Banking Authority

Autorità indipendente dell’UE, che opera per assicurare un livello di regolamentazione e di vigilanza prudenziale efficace e uniforme nel settore bancario europeo.

Art. 3.3.1 n.13

Il framework di sicurezza e di risk management ICT dovrebbe includere la realizzazione di processi per: a) determinare la propensione al rischio per i rischi ICT e di sicurezza, conformemente alla propensione al rischio dell’ente finanziario; b) identificare e valutare i rischi ICT e di sicurezza a cui è esposto un istituto finanziario; c) definire misure di mitigazione, compresi i controlli, per mitigare i rischi ICT e di sicurezza; d) monitorare l’efficacia di tali misure nonché il numero di incidenti segnalati, tra cui per i PSP gli incidenti segnalati ai sensi dell’articolo 96 della PSD2 che incidono sulle attività ICT TIC e intraprendere azioni per correggere le misure ove necessario;

Il modulo Data Breach Detector fornisce immediata consapevolezza di ogni violazione, agevolando l’intermediario finanziario nell’attività di individuazione delle misure più appropriate e di segnalazione tempestiva degli eventuali incidenti rilevanti ai sensi dell’art 96 della PSD2. In modulo Cyber Risk Status permette all’intermediario finanziario di monitorare l’efficacia delle misure adottate.

Art. 3.3.2 16

Inoltre, gli istituti finanziari dovrebbero identificare, stabilire e mantenere una mappatura aggiornata delle risorse informative a supporto delle loro funzioni aziendali e dei processi di supporto, quali sistemi ICT, personale, appaltatori, terze parti e dipendenze da altri sistemi e processi interni ed esterni, per essere in grado almeno a gestire le risorse informative a supporto delle loro funzioni e processi aziendali critici.

L’enumerazione delle risorse digitali esposte su internet fornita dal modulo Cyber Footprint agevola l’attività di mappatura degli asset ICT a rischio.

Art. 3.3.3 20

Gli istituti finanziari dovrebbero identificare i rischi ICT e di sicurezza che incidono sulle funzioni aziendali identificate e classificate, supportando i processi e le risorse informative, in base alla loro criticità.

Gli strumenti messi a disposizione da Joshua consentono di valutare il rischio di vulnerabilità di terze parti e quindi anche del Responsabile del trattamento designato. Tale valutazione, in caso di violazione dei dati ascrivibile al Responsabile del trattamento, costituisce un elemento spendibile per dimostrare all’Autorità Garante l’assenza di culpa in eligendo e in vigilando.

Art. 3.3.3 21

Gli istituti finanziari dovrebbero garantire il monitoraggio costante delle minacce e le vulnerabilità relative ai loro processi aziendali funzioni di supporto e risorse informative e dovrebbero rivedere periodicamente gli scenari di rischio che li incidono.

Il modulo Cyber Footprint agevola l’intermediario nel monitoraggio delle minacce e delle vulnerabilità associate agli asset aziendali esposti verso l’esterno.