In data 25 giugno 2024 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il Regolamento delegato (UE) 2024/1772 del 13 marzo 2024 , che integra il Regolamento (UE) 2022/2554 (Regolamento “DORA”).
In conformità con l’obiettivo del Regolamento DORA, consistente nell’ armonizzare e razionalizzare gli obblighi di segnalazione degli incidenti connessi alle tecnologie dell’informazione e della comunicazione (ICT), il nuovo Regolamento integra gli standard tecnici riguardanti i criteri per la classificazione di tali incidenti ICT e delle minacce informatiche, nonché concernenti le soglie di rilevanza e i dettagli delle segnalazioni di gravi incidenti.
I criteri di classificazione introdotti dal nuovo Regolamento e le soglie di rilevanza garantiscono il principio di proporzionalità, riflettendo le dimensioni e il profilo di rischio complessivo degli enti finanziari, nonché la natura e complessità dei servizi offerti, in modo tale da assicurare che le regole siano applicabili a tutte le entità finanziarie, indipendentemente dalle loro dimensioni e senza imporre un onere eccessivo alle più piccole.
Inoltre, sono conformi agli orientamenti EBA in materia di segnalazione degli incidenti gravi, agli orientamenti dell’ESMA in materia di informazioni periodiche e comunicazioni delle sostanziali modifiche da parte dei repertori di dati sulle negoziazioni, e al quadro di riferimento della BCE/SSM per la segnalazione degli incidenti informatici.
Tra i principali criteri di classificazione degli incidenti ICT vanno menzionati, inter alia:
- Quantità o numero di transazioni interessate. Il concetto di “transazione” include operazioni di pagamento e scambi di strumenti finanziari, cripto-attività, merci o altre attività;
- Servizi critici colpiti e Perdite di dati, i quali sono volti a rilevare intrusioni non autorizzate che potrebbero comportare gravi conseguenze, come violazioni e fughe di dati;
- Estensione geografica di un incidente, il quale si focalizza sull’impatto transfrontaliero degli incidenti.
Al fine di individuare gli incidenti ICT gravi oggetto di segnalazione bisognerà adottare un approccio basato su una combinazione di tali criteri.
Quanto alle soglie di rilevanza per la segnalazione, queste consentono di rilevare gli incidenti gravi, concentrandosi (i) sull’impatto sui servizi critici, (ii) sulle soglie di clienti o controparti finanziarie, (iii) sulle transazioni che hanno un particolare impatto sull’entità finanziaria e (iv) sulla rilevanza dell’impatto in altri Stati membri.
Sono quindi considerati come gravi gli incidenti che colpiscono servizi ICT a supporto di funzioni essenziali, accessi dolosi e non autorizzati ai sistemi, e incidenti ricorrenti.