Un organo di gestione attivo, unitamente ad un quadro di gestione e controllo efficace, consente la realizzazione di una serie di attività essenziali nella gestione dei rischi ICT. Identificare i potenziali rischi, adottare le conseguenti strategie preventive e garantire la continuità operativa diventano infatti azioni imprescindibili all’interno del quadro strategico di resilienza che ciascuna entità è chiamata ad adottare. A queste si aggiungono le necessità di raccolta e analisi delle informazioni rilevanti, in un’ottica di apprendimento ed evoluzione, e la relativa comunicazione interna/esterna dei risultati ottenuti.

L‘elaborazione di strategie e protocolli volti alla gestione e al monitoraggio degli incidenti ICT si affianca all‘adozione di un congruo meccanismo di segnalazione alle autorità competenti. É, infatti, necessario evitare che, al verificarsi di eventuali incidenti gravi, consegua l‘indisponibilità dei sistemi ICT, che si verifichino eventuali danni alle loro infrastrutture fisiche, e che si realizzi la temuta violazione dei dati trattati dalla entità finanziaria.

Per mantenere un alto livello di resilienza operativa digitale, l‘entità è tenuta a eseguire regolarmente test sui propri sistemi ICT e sul personale addetto, ma anche sugli incaricati all‘effettuazione di tali test. L‘obiettivo è quello di valutarne le capacità di prevenzione, rilevamento, risposta e ripristino, al fine di rilevare eventuali vulnerabilità e porvi di conseguenza rimedio.
I test devono avere diversa natura, a seconda della maturità dell‘entità finanziaria in ambito informatico: e così, a valutazioni di base possono essere affiancati test avanzati come quelli basati su TLPT. Questi ultimi sono particolarmente importanti per l‘entità che svolge funzioni sistemiche nei servizi finanziari, come i pagamenti e le attività bancarie, mentre possono essere meno rilevanti per sotto-settori come la gestione patrimoniale e le agenzie di rating del credito.

L’entità è tenuta a monitorare e gestire anche i rischi derivanti dall‘avvalersi di fornitori terzi per i servizi ICT, in modo proporzionato alla propria dipendenza da tali servizi e alla natura più o meno critica degli stessi, così come dei processi oggetto degli accordi contrattuali.
La conclusione degli accordi contrattuali con i soggetti terzi deve basarsi su un’analisi approfondita e focalizzata di tali fornitori e dei servizi che questi andranno a erogare all‘entità. Accordi che, dovranno essere rinegoziati, o persino risolti, in caso di mancanze o violazioni del fornitore.

Lo scambio di informazioni sulle analisi delle minacce e delle vulnerabilità tra le entità finanziarie aiuta a migliorare la consapevolezza riguardo alle minacce informatiche.
Questo incremento di consapevolezza, a sua volta, rafforza la capacità delle entità finanziarie di prevenire la trasformazione delle minacce informatiche in effettivi incidenti legati alle ICT, e di limitarne più efficacemente l’impatto, favorendo un recupero più rapido.