In data 25 giugno 2024 sono stati pubblicati in Gazzetta Ufficiale dell’Unione Europea il Regolamento delegato (UE) 2024/1772 della Commissione, del 13 marzo 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano i criteri per la classificazione degli incidenti connessi alle TIC e delle minacce informatiche, stabiliscono le soglie di rilevanza e specificano i dettagli delle segnalazioni di gravi incidenti e il Regolamento delegato (UE) 2024/1774 della Commissione, del 13 marzo 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano gli strumenti, i metodi, i processi e le politiche per la gestione dei rischi informatici e il quadro semplificato per la gestione dei rischi informatici.
Entrambi fanno parte di un più ampio pacchetto attuativo delle Autorità, il cui obiettivo è quello di armonizzare e standardizzare la segnalazione degli incidenti per tutte le entità finanziarie europee.
Con il Regolamento 2024/1772, la Commissione europea specifica i criteri per la classificazione degli incidenti informatici e le soglie di rilevanza per la determinazione dei gravi incidenti e delle minacce informatiche significative, ai sensi di quanto stabilito dall’art. 18 del DORA. Nello specifico, sono descritti i criteri di classificazione degli incidenti TIC ovvero:
- clienti, controparti e transazioni impattate;
- perdita dei dati;
- impatto reputazionale;
- durata e periodo di inattività;
- estensione geografica;
- impatto economico;
- criticità dei servizi colpiti.
Per ciascun criterio sono poi specificate le relative soglie di rilevanza che, se raggiunte, permettono la classificazione dell’incidente TIC come grave. Tali soglie si basano sul numero dei clienti, delle controparti e delle transazioni interessati, sulla durata dell’incidente e dell’inattività del servizio, sul numero di Stati coinvolti, sulla qualità dei dati e sull’ammontare di costi e perdite.
Le minacce informatiche significative vengono classificate in base alla probabilità di materializzazione della minaccia, all’eventuale incidenza della stessa su funzioni critiche o importanti delle entità finanziarie, e al fatto che la minaccia informatica potrebbe soddisfare le condizioni per essere classificata come incidente TIC grave se si dovesse materializzare.
Con il secondo Regolamento, vengono specificati, rispettivamente, gli strumenti, i metodi, i processi e le politiche di gestione del rischio TIC per le entità finanziarie (Titolo II) e il quadro semplificato di gestione del rischio TIC per le sole entità finanziarie previste dall’art. 16 del DORA (Titolo III).
Il Titolo II precisa gli elementi che devono essere integrati da tutte le entità finanziarie rientranti nell’ambito di applicazione del DORA, nelle politiche, procedure, protocolli e strumenti di sicurezza delle TIC, al fine di garantire la sicurezza delle reti, di introdurre salvaguardie adeguate contro le intrusioni e l’uso improprio dei dati e di preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati. Vengono pertanto introdotti gli obblighi di elaborazione di una politica di crittografia e cifratura e di sicurezza delle operazioni delle TIC e delle reti, di una politica di gestione dei progetti e delle modifiche delle TIC, di una politica di sicurezza fisica e ambientale ed, infine, di una politica delle risorse umane che preveda la definizione e la gestione del controllo degli accessi. Al fine di garantire l’individuazione tempestiva ed efficace delle attività anomale, sono previsti meccanismi per la rilevazione immediata delle stesse e per il conseguente avvio dei processi di individuazione degli incidenti correlati alle TIC (cd. logging). Infine, sono individuati i requisiti relativi alla gestione della continuità operativa delle TIC.
Il Titolo III, d’altro canto, prevede un quadro semplificato per la gestione dei rischi informatici applicabile alle imprese di investimento piccole e non interconnesse, agli istituti di pagamento esentati a norma della Dir. (UE) 2015/2366, gli istituti esentati a norma della Dir. 2013/36/UE, gli istituti di moneta elettronica esentati a norma della Dir. 2009/110/CE e i piccoli enti pensionistici aziendali o professionali.
I requisiti stabiliti da tali norme tecniche sono complementari ai requisiti per il quadro di gestione del rischio TIC definiti nel Regolamento DORA e pertanto devono essere letti ed interpretati in combinato disposto con le disposizioni contenute nel Regolamento (UE) 2022/2554.
Seguici sui social:
Info sull'autore