Le tre autorità europee di vigilanza (“ESAs”) e cioè European Banking Authority (“EBA”), European Insurance and Occupational Pensions Authority (“EIOPA”) e European Securities and Markets Authority (“ESMA”) hanno pubblicato in data 17 gennaio 2024 il primo set di standard tecnici in attuazione del Regolamento EU 2022/2554 (Digital Operational Resilience Act o “DORA”), entrato in vigore il 16 gennaio 2023. Come noto, il Regolamento DORA mira a rafforzare la resilienza operativa digitale del settore finanziario dell’UE e detta una serie di adempimenti a carico degli operatori del settore cui occorrerà adeguarsi entro il 17 gennaio 2025.
Gli standard tecnici finali congiunti includono:
- Standard tecnici regolamentari (RTS) sul framework di gestione del rischio ICT e sul framework di gestione del rischio ICT semplificato: identificano ulteriori elementi relativi alla gestione del rischio ICT al fine di armonizzare strumenti, metodi, processi e politiche. Garantiscono che i requisiti di gestione del rischio ICT siano armonizzati tra i diversi settori finanziari.
- RTS sui criteri per la classificazione degli incidenti ICT-correlati: specificano i criteri per la classificazione degli incidenti ICT principali, l’approccio alla classificazione degli incidenti principali, le soglie di significatività di ciascun criterio di classificazione, i criteri e le soglie di significatività per la determinazione di minacce informatiche significative e i criteri per le autorità competenti di valutare la rilevanza degli incidenti per le autorità competenti in altri Stati membri. Garantiscono un processo armonizzato e semplice per la classificazione delle segnalazioni di incidenti in tutto il settore finanziario.
- RTS sulla politica di TPP ICT: specificano parti degli accordi di governance, del framework di gestione del rischio e del controllo interno che le entità finanziarie dovrebbero avere in atto in merito all’utilizzo di fornitori di servizi di terze parti ICT. Mirano a garantire che le entità finanziarie rimangano in controllo dei loro rischi operativi, della sicurezza delle informazioni e della continuità aziendale durante l’intero ciclo di vita degli accordi contrattuali con tali fornitori di servizi di terze parti ICT.
- Standard tecnici di implementazione (ITS) per stabilire i modelli per il registro delle informazioni: stabiliscono i modelli da mantenere e aggiornare dalle entità finanziarie in relazione ai loro accordi contrattuali con fornitori di servizi di terze parti ICT. Il registro delle informazioni svolgerà un ruolo cruciale nel framework di gestione del rischio ICT di terze parti delle entità finanziarie e sarà utilizzato dalle autorità competenti e dalle ESA nell’ambito della supervisione della conformità delle entità finanziarie con DORA.
Questi standard tecnici finali sono stati sviluppati in conformità agli articoli 15, 16(3), 18(3), 28(9) e 28(10) del Regolamento DORA.
Gli standard tecnici finali sono stati presentati alla Commissione europea, che inizierà ora a esaminarli con l’obiettivo di adottarli nei prossimi mesi.