In data 17 gennaio 2024 le tre Autorità di Vigilanza europee (EBA, ESMA, EIOPA— ESAs) hanno pubblicato le bozze finali di alcuni set di norme tecniche (documenti integrali) ai sensi del Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario, meglio noto come Regolamento Digital Operational Resilience Act—DORA (documento integrale), applicabile dal 17 gennaio 2025, il quale istituisce un quadro normativo europeo al fine di garantire la sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie regolamentate.

In particolare, nel rispetto degli articoli 15, 16, 18 e 28 del Regolmento DORA, le ESAs hanno pubblicato le bozze dei seguenti Regulatory Technical Standard (RTS) e Implementing Technical Standard (ITS):

– RTS sul quadro di gestione del rischio ICT, i quali intendono specificare ulteriori
elementi da inserire nelle strategie, nelle politiche, nelle procedure, nei protocolli e negli strumenti in materia di sicurezza ICT al fine di armonizzare strumenti, metodi, processi e politiche. Inoltre, gli RTS identificano gli elementi che le entità finanziarie devono possedere per essere soggette al quadro semplificato per la gestione dei rischi informatici ex art. 16 del Regolamento DORA;

– RTS sulla classificazione degli incidenti connessi all’ICT, i quali stabiliscono i criteri e le soglie di rilevanza per la determinazione dei gravi incidenti ICT, comprese soglie di rilevanza elevate per la determinazione delle minacce informatiche significative;

– RTS per specificare la politica sui servizi ICT forniti da fornitori terzi, i quali specificano alcune parti degli accordi di governance, della gestione del rischio e del quadro di controllo interno da adottare in merito all’utilizzo di fornitori di servizi ICT terzi al fine di garantire il mantenimento del controllo dei propri rischi;

– ITS per stabilire i modelli per il registro delle informazioni, i quali stabiliscono i modelli che gli enti finanziari devono mantenere e aggiornare in relazione ai loro accordi contrattuali con i fornitori di servizi ICT terzi.

Le suddette bozze di RTS e ITS sono state presentate alla Commissione per la loro adozione.

Da ultimo, si segnala che, secondo artt. 11, 20, 26, 30 e 41 del Regolamento DORA, le ESAs dovranno presentare alla Commissione un secondo set di norme tecniche entro il 17 luglio 2024 in merito alla stima dei costi e delle perdite annuali aggregati causati da incidenti gravi connessi all’ICT; al contenuto delle segnalazioni relative agli incidenti gravi connessi all’ITC e ai termini di notifica iniziale e delle relazioni intermedie e finali; ai formati, modelli e procedure standard per segnalare un grave incidente ICT o una minaccia informatica significativa; ai test avanzati di strumenti, sistemi e processi di ICT basati su test di penetrazione guidati dalla minaccia (TLPT); al contenuto degli accordi contrattuali per l’utilizzo di servizi ICT per specificare gli elementi da valutare nel caso di subappalto di servizi ICT a supporto di funzioni essenziali o importanti; nonché all’armonizzazione delle condizioni per lo svolgimento delle attività di sorveglianza (es. informazioni che il fornitore di servizi ICT deve fornire nella domanda di designazione volontaria quale fornitore critico, informazioni da trasmettere da parte dei fornitori di servizi ICT).