La Banca d’Italia ha pubblicato una comunicazione sul Regolamento (Ue) 2022/2554 relativo all’armonizzazione a livello europeo dei requisiti resilienza operativa digitale per il settore finanziario (DORA), in vigore dal 17 gennaio 2025, per:
- Creazione di un framework armonizzato in materia di governance del rischio ICT, in linea con gli Orientamenti dell’EBA sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione e di sicurezza (EBA/GL/2019/04) per banche, IP e IMEL, peraltro già recepiti nelle disposizioni di vigilanza della Banca d’Italia
- L’introduzione di processi e criteri armonizzati per la classificazione, per la registrazione e la gestione degli incidenti ICT (ICT incident reporting), delle minacce informatiche, e degli obblighi di segnalazione degli incidenti ICT gravi e procedure per la notifica volontaria delle minacce informatiche significative
- L’obbligo di svolgimento di test di resilienza operativa dei sistemi ICT
- La gestione del rischio di terze parti in caso di utilizzo di service provider ICT che impone alle entità finanziarie di predisporre presidi in linea con gli Orientamenti dell’EBA in tema di materia di esternalizzazione (EBA/GL/2019/02). Inoltre, è introdotto un regime europeo di supervisione sui provider ICT critici
- La promozione di meccanismi volontari di condivisione delle informazioni (infosharing) a livello unionale per aiutare la comunità del settore finanziario a prevenire le minacce informatiche affrontarle collettivamente, riducendo velocemente la diffusione dei rischi informatici e impedendo il potenziale contagio tramite i canali finanziari
Ulteriori previsioni di Dora prevedono attività attività tecnico-regolamentare di secondo livello da parte delle tre Autorità europee (EBA, ESMA, EIOPA, riunite nell’European Supervisory Authorities (ESAs)
Le Esa’s devono predisporre, Regulatory Technical Standards (RTS), Implementing Technical Standards (ITS), e linee guida e/o rapporti, in alcuni casi già completati. Per quelli non contemplati si è in attesa dei regolamenti delegati emanati della Commissione europea.
Di Fabio Picciolini
