EBA, ESMA ed EIOPA hanno pubblicato nell’ambito del Digital Operational Resilience Act (DORA) quattro progetti definitivi di norme tecniche di regolamentazione (RTS), una serie di norme tecniche di attuazione (ITS) e due linee guida, tutti finalizzati a migliorare la resilienza operativa digitale del settore finanziario dell’UE.
Il pacchetto si concentra sul quadro di segnalazione degli incidenti legati alle ICT (chiarezza di segnalazione, modelli) e sui penetration test basati sulle minacce, introducendo inoltre alcuni requisiti sulla progettazione del framework di supervisione, che migliorano la resilienza operativa digitale del settore finanziario dell’UE, garantendo così anche la fornitura continua e ininterrotta di servizi finanziari ai clienti e la sicurezza dei loro dati.
✅ RTS e ITS sul contenuto, il formato, i modelli e le scadenze per la segnalazione di incidenti rilevanti legati alle TIC e di minacce informatiche significative;
✅ RTS sull’armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza;
✅ RTS che specificano i criteri per determinare la composizione del gruppo di esame congiunto (JET); e
✅ RTS sui test di penetrazione guidati dalle minacce (TLPT).
L’insieme delle Guidelines comprende:
✅ Linee guida sulla stima dei costi/perdite aggregati causati da incidenti gravi legati alle ICT; e
✅ Linee guida sulla cooperazione in materia di supervisione.
I prossimi passi
Le linee guida sono già state adottate dai Consigli delle autorità di vigilanza delle tre ESA. Le bozze finali degli standard tecnici sono state presentate alla Commissione europea, che ora inizierà a lavorare alla loro revisione con l’obiettivo di adottarli nei prossimi mesi. I restanti RTS sul subcontracting saranno pubblicati a tempo debito.