INFORMATION TECHNOLOGY
Commissione europea: adottati gli ulteriori standard tecnici per l'applicazione del Regolamento sulla resilienza operativa digitale per il settore finanziario (regolamento (UE) 2022/2554) (DORA).
La Commissione europea ha adottato le ulteriori e attese norme tecniche per integrare il Regolamento 2022/2554 sulla resilienza operativa digitale per il settore finanziario (DORA).
Le norme tecniche comprendono:
- norme tecniche di attuazione (ITS) su moduli, modelli e procedure standard per le entità finanziarie per la segnalazione di un incidente grave connesso alle TIC e per la notifica di una minaccia informatica significativa (Reporting ITS);
- norma tecnica di regolamentazione (RTS) sul contenuto e i termini per la notifica iniziale e la relazione intermedia e finale sugli incidenti gravi connessi alle TIC e il contenuto della notifica volontaria per le minacce informatiche significative (RTS per la segnalazione); e
- RTS sull'armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza (Harmonisation RTS).
Gli ITS di segnalazione
Il sistema di gestione degli ITS per la segnalazione contiene modelli per la notifica iniziale, la relazione intermedia e la relazione finale sugli incidenti gravi connessi alle Tecnologie dell’Informazione e Comunicazione (TIC) da fornire alle autorità di vigilanza competenti ai sensi dell'articolo 19, paragrafo 4, della DORA. Il sistema di gestione degli ITS per la segnalazione chiarisce inoltre che le entità finanziarie che forniscono informazioni su incidenti ricorrenti non gravi connessi alle TIC che soddisfano cumulativamente le condizioni per un incidente grave connesso alle TIC devono fornire informazioni in forma aggregata. Analogamente, le entità finanziarie che, dopo una valutazione, concludono che l'incidente relativo alle TIC precedentemente segnalato come grave non soddisfa tali criteri devono notificare la riclassificazione alle autorità di vigilanza competenti.
Il Reporting RTS
L'RTS di rendicontazione descrive in dettaglio i contenuti richiesti delle notifiche iniziali, delle relazioni intermedie e finali da fornire ai sensi dell'articolo 19, paragrafo 4, del DORA.
Inoltre, le RTS per la comunicazione delineano i termini per la presentazione della notifica e delle relazioni di cui sopra. La notifica iniziale dovrebbe essere effettuata entro quattro ore dalla classificazione degli incidenti connessi alle TIC come incidenti gravi e non oltre 24 ore dal momento in cui l'entità finanziaria ne viene a conoscenza. Le relazioni intermedie dovrebbero essere presentate entro 72 ore dalla notifica iniziale e una relazione intermedia aggiornata dovrebbe essere presentata senza indebito ritardo qualora siano state ripristinate le normali attività. La relazione finale deve essere presentata entro un mese dalla presentazione della relazione intermedia o dall'ultima relazione intermedia aggiornata.
In particolare, quando un incidente correlato alle TIC non è classificato come grave entro 24 ore dal momento in cui ne è venuto a conoscenza, ma successivamente riclassificato come grave, l'entità finanziaria deve presentare la notifica dell'incidente come grave entro quattro ore dalla riclassificazione.
L'RTS di segnalazione rileva inoltre i contenuti della notifica volontaria di minacce informatiche significative ai sensi dell'articolo 19, paragrafo 2, del DORA.
Le norme tecniche di armonizzazione
Le norme tecniche di armonizzazione riguardano il ruolo dei fornitori terzi di servizi di TIC critici nel settore finanziario ai sensi dell'articolo 31 del DORA. In particolare, i fornitori terzi di servizi ICT critici che presentano una richiesta volontaria di essere designati come critici devono fornire all'Autorità di vigilanza europea (ESA) tutte le informazioni necessarie per dimostrarne la criticità. Le norme tecniche di armonizzazione specificano ciò che deve essere incluso nella presentazione alle AEV da parte dei fornitori terzi di servizi TIC critici, insieme al contenuto, alla struttura e al formato di tali comunicazioni.
Le norme tecniche di armonizzazione comprendono anche le informazioni da presentare all'autorità di sorveglianza capofila necessarie per svolgere i suoi compiti di sorveglianza ai sensi del DORA.
Le AEV comprendono l'Autorità bancaria europea (ABE), l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) e l'Autorità europea degli strumenti finanziari e dei mercati (ESMA).
Le norme tecniche comprendono:
- norme tecniche di attuazione (ITS) su moduli, modelli e procedure standard per le entità finanziarie per la segnalazione di un incidente grave connesso alle TIC e per la notifica di una minaccia informatica significativa (Reporting ITS);
- norma tecnica di regolamentazione (RTS) sul contenuto e i termini per la notifica iniziale e la relazione intermedia e finale sugli incidenti gravi connessi alle TIC e il contenuto della notifica volontaria per le minacce informatiche significative (RTS per la segnalazione); e
- RTS sull'armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza (Harmonisation RTS).
Gli ITS di segnalazione
Il sistema di gestione degli ITS per la segnalazione contiene modelli per la notifica iniziale, la relazione intermedia e la relazione finale sugli incidenti gravi connessi alle Tecnologie dell’Informazione e Comunicazione (TIC) da fornire alle autorità di vigilanza competenti ai sensi dell'articolo 19, paragrafo 4, della DORA. Il sistema di gestione degli ITS per la segnalazione chiarisce inoltre che le entità finanziarie che forniscono informazioni su incidenti ricorrenti non gravi connessi alle TIC che soddisfano cumulativamente le condizioni per un incidente grave connesso alle TIC devono fornire informazioni in forma aggregata. Analogamente, le entità finanziarie che, dopo una valutazione, concludono che l'incidente relativo alle TIC precedentemente segnalato come grave non soddisfa tali criteri devono notificare la riclassificazione alle autorità di vigilanza competenti.
Il Reporting RTS
L'RTS di rendicontazione descrive in dettaglio i contenuti richiesti delle notifiche iniziali, delle relazioni intermedie e finali da fornire ai sensi dell'articolo 19, paragrafo 4, del DORA.
Inoltre, le RTS per la comunicazione delineano i termini per la presentazione della notifica e delle relazioni di cui sopra. La notifica iniziale dovrebbe essere effettuata entro quattro ore dalla classificazione degli incidenti connessi alle TIC come incidenti gravi e non oltre 24 ore dal momento in cui l'entità finanziaria ne viene a conoscenza. Le relazioni intermedie dovrebbero essere presentate entro 72 ore dalla notifica iniziale e una relazione intermedia aggiornata dovrebbe essere presentata senza indebito ritardo qualora siano state ripristinate le normali attività. La relazione finale deve essere presentata entro un mese dalla presentazione della relazione intermedia o dall'ultima relazione intermedia aggiornata.
In particolare, quando un incidente correlato alle TIC non è classificato come grave entro 24 ore dal momento in cui ne è venuto a conoscenza, ma successivamente riclassificato come grave, l'entità finanziaria deve presentare la notifica dell'incidente come grave entro quattro ore dalla riclassificazione.
L'RTS di segnalazione rileva inoltre i contenuti della notifica volontaria di minacce informatiche significative ai sensi dell'articolo 19, paragrafo 2, del DORA.
Le norme tecniche di armonizzazione
Le norme tecniche di armonizzazione riguardano il ruolo dei fornitori terzi di servizi di TIC critici nel settore finanziario ai sensi dell'articolo 31 del DORA. In particolare, i fornitori terzi di servizi ICT critici che presentano una richiesta volontaria di essere designati come critici devono fornire all'Autorità di vigilanza europea (ESA) tutte le informazioni necessarie per dimostrarne la criticità. Le norme tecniche di armonizzazione specificano ciò che deve essere incluso nella presentazione alle AEV da parte dei fornitori terzi di servizi TIC critici, insieme al contenuto, alla struttura e al formato di tali comunicazioni.
Le norme tecniche di armonizzazione comprendono anche le informazioni da presentare all'autorità di sorveglianza capofila necessarie per svolgere i suoi compiti di sorveglianza ai sensi del DORA.
Le AEV comprendono l'Autorità bancaria europea (ABE), l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) e l'Autorità europea degli strumenti finanziari e dei mercati (ESMA).
