Diritto nazionale 9 Economia - Cooperazione tecnica 95 Credito
Internal Law 9 Economy - Technical cooperation 95 Credit

951.131 Ordinanza del 18 marzo 2004 relativa alla legge federale sulla Banca nazionale svizzera (Ordinanza sulla Banca nazionale, OBN)

951.131 Ordinance of 18 March 2004 on the Federal Act on the Swiss National Bank (National Bank Ordinance, NBO)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 32a Sicurezza dell’informazione

1 L’esercente dispone di un approccio a livello aziendale e di una struttura organizzativa appropriata per pianificare, attuare, sorvegliare e migliorare la gestione delle funzioni e delle attività orientate alla sicurezza dell’informazione (gestione della sicurezza dell’informazione).

2 L’esercente fissa obiettivi adeguati concernenti disponibilità, integrità, confidenzialità, verificabilità, autenticità, tracciabilità e non ripudiabilità di informazioni, e in particolare dei dati relativi a operazioni computate o gestite attraverso l’infrastruttura del mercato finanziario (obiettivi di sicurezza dell’informazione)

3 L’esercente adotta provvedimenti organizzativi e tecnici per conseguire gli obiettivi di sicurezza dell’informazione sia in regime di esercizio normale sia nel corso di lavori di sviluppo e di manutenzione e in periodi di accresciuto volume di transazioni. In particolare esso adotta misure precauzionali al fine di:

a.
identificare, analizzare e valutare minacce interne ed esterne alla sicurezza dell’informazione e attuare, se necessario, opportune misure protettive;
b.
garantire la sicurezza fisica delle istallazioni per l’elaborazione dei dati;
c.
garantire il funzionamento sicuro e continuativo delle istallazioni per l’elaborazione dei dati;
d.
controllare, registrare e valutare l’accesso a informazioni e alle istallazioni per l’elaborazione dei dati;
e.
proteggere i dati dal pericolo di smarrimento, fuga, accesso non autorizzato, nonché da altri rischi connessi con l’elaborazione dei dati, come negligenza, frode, amministrazione carente e stoccaggio inadeguato;
f.
garantire la memorizzazione e la trasmissione sicura di dati sensibili;
g.
garantire il trattamento corretto e completo delle operazioni;
h.
registrare e verificare le operazioni in tutte le fasi importanti del trattamento, e in particolare all’ingresso nel sistema di elaborazione dei dati e all’uscita da quest’ultimo.
i.
registrare e sorvegliare gli interventi al sistema di elaborazione dei dati, come modifiche del software o dei parametri;
j.65
registrare, valutare prontamente e in forma standardizzata e correggere eventuali errori nel trattamento delle operazioni e disfunzioni nel sistema di elaborazione dei dati, nonché evitare che si ripresentino.

4 L’esercente verifica regolarmente l’appropriatezza e il conseguimento degli obiettivi di sicurezza dell’informazione di cui al capoverso 2.

65 Nuovo testo giusta il n. I dell’O della BNS del 26 nov. 2015, in vigore dal 1° gen. 2016 (RU 2015 5307).

Art. 32a Information security

1 The operator shall apply a company-wide approach and maintain an appropriate organisational structure with regard to planning, implementing, monitoring and improving the management of tasks and activities relating to information security (information security management).

2 The operator shall set appropriate targets with regard to the availability, integrity, confidentiality, auditability, authenticity, accountability and non-repudiation of information, particularly data in connection with transactions that are cleared or settled via the financial market infrastructure (information security objectives).

3 The operator shall take organisational and technical measures to ensure that the information security objectives are met during normal operations, during development and maintenance activities, and in times of increased transaction volumes. In particular, it shall take precautions enabling it to:

a.
identify, analyse and evaluate internal and external threats to information security and, if necessary, implement appropriate protective measures;
b.
ensure the physical security of the data processing facilities;
c.
ensure the secure and continuous operation of the data processing facilities;
d.
control, record and evaluate access to information and to the data processing facilities;
e.
protect data from loss, leakage, unauthorised access, and other processing risks such as negligence, fraud, poor administration and inadequate recordkeeping;
f.
ensure the secure storage and transmission of sensitive data;
g.
ensure the correct and complete processing of transactions;
h.
record and check transactions at all key stages of processing, in particular regarding input to and output from the data processing system;
i.
record and monitor interventions in the data processing system, such as software and parameter changes;
j.65
record, evaluate and rectify processing errors and system disruptions promptly and in standardised form and prevent them from recurring.

4 The operator shall regularly monitor the appropriateness of, and compliance with, the information security objectives specified in paragraph 2.

65 Amended by No I of the SNB O of 26 Nov. 2015, in force since 1 Jan. 2016 (AS 2015 5307).

 

Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.
This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.