Pubblicato in Gazzetta Ufficiale UE del 25 giugno 2024 il Regolamento delegato (UE) 2024/1772 del 13 marzo 2024 che integra il Regolamento DORA per quanto riguarda gli standard tecnici relativi ai criteri per la classificazione degli incidenti connessi alle ICT e delle minacce informatiche, alle soglie di rilevanza ed ai dettagli delle segnalazioni di gravi incidenti.
Il Regolamento (UE) 2022/2554 (DORA) è volto ad armonizzare e razionalizzare gli obblighi di segnalazione degli incidenti connessi alle ICT e degli incidenti operativi o relativi alla sicurezza dei pagamenti riguardanti enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti e istituti di moneta elettronica.
Al fine di garantire la proporzionalità, i criteri di classificazione e le soglie di rilevanza previsti nel Regolamento attuativo dell’art. 18 del DORA, riflettono le dimensioni e il profilo di rischio complessivo dell’ente finanziario, nonché la natura, la portata e la complessità dei servizi di tutte le entità finanziarie: sono quindi concepiti in modo tale da essere applicati in modo coerente a tutte le entità finanziarie, indipendentemente dalle loro dimensioni e dal loro profilo di rischio, e non comportare un onere di segnalazione sproporzionato per le entità finanziarie più piccole.
In relazione ai quadri per la segnalazione degli incidenti, che esistevano prima dell’entrata in vigore del DORA, è stata garantita la continuità per le entità finanziarie, e, pertanto, i criteri di classificazione e le soglie di rilevanza sono da intendersi allineati:
- agli orientamenti EBA sulla segnalazione degli incidenti gravi ai sensi della Direttiva (UE) 2015/2366
- agli orientamenti sulle informazioni periodiche e sulla comunicazione delle modifiche sostanziali che i repertori di dati sulle negoziazioni devono presentare all’ESMA
- al quadro di riferimento della BCE/SSM per la segnalazione degli incidenti informatici e ad altri orientamenti pertinenti.
I criteri di classificazione degli incidenti ICT ai sensi del DORA
- quanto al criterio di classificazione “Quantità o numero di transazioni interessate” (art. 18, par. 1, lett. a) DORA), nel Regolamento delegato si specifica che il concetto di transazione include le operazioni di pagamento e tutte le forme di scambio di strumenti finanziari, cripto-attività, merci o qualsiasi altra attività, anche sotto forma di margine, garanzia o pegno, sia a fronte di contanti che di qualsiasi altra attività; ai fini della classificazione dovranno essere presi in considerazione tutte le transazioni che coinvolgono attività il cui valore può essere espresso in termini monetari
- i criteri di classificazione “Servizi critici colpiti” e “Perdite di dati” (rispettivamente, previsti dalla lett. e) e lett. d) dell’art. 18, par. 1, DORA) sono specificati in modo tale da rilevare quelle intrusioni non autorizzate che, anche qualora gli impatti non siano immediatamente noti, possano comportare gravi conseguenze, in particolare violazioni e fughe di dati
- il criterio relativo all’estensione geografica di un incidente di cui all’art. 18, paragrafo 1, lettera c), del DORA dovrebbe concentrarsi sull’impatto transfrontaliero dell’incidente, poiché l’impatto di un incidente sull’attività di un’entità finanziaria all’interno di una singola giurisdizione sarà rilevato dagli altri criteri stabiliti nel suddetto articolo
- l’approccio per individuare gli incidenti ICT gravi da segnalare ai sensi dell’art. 19, paragrafo 1, del DORA dovrà basarsi su una combinazione di criteri, in cui alcuni criteri, che sono strettamente correlati alle definizioni di incidente connesso alle ICT, e di grave incidente ICT di cui all’art. 3, punti 8) e 10), del DORA, dovrebbero avere maggiore importanza nella classificazione degli incidenti gravi rispetto ad altri criteri
Le soglie di rilevanza
- Le soglie di rilevanza devono consentire di rilevare gli incidenti gravi, concentrandosi:
- sull’impatto sui servizi critici specifici dell’entità
- sulle soglie specifiche assolute e relative di clienti o controparti finanziarie
- sulle transazioni che indicano un impatto significativo sull’entità finanziaria
- sulla rilevanza dell’impatto in altri Stati membri
Sono quindi considerati incidenti gravi:
-
- gli incidenti che interessano i servizi ICT o i sistemi informatici e di rete a supporto di funzioni essenziali o importanti o che interessano i servizi finanziari che richiedono un’autorizzazione
- l’accesso doloso e non autorizzato ai sistemi informatici e di rete a supporto di funzioni essenziali o importanti delle entità finanziarie
- gli incidenti ricorrenti, quando si verificano ripetutamente per un determinato periodo di tempo
- La classificazione di una minaccia informatica come significativa dipende:
- dalla probabilità che i criteri di classificazione per gli incidenti gravi e la relativa soglia sarebbero soddisfatti laddove la minaccia si concretizzasse
- dal tipo di minaccia informatica
- dalle informazioni a disposizione dell’entità finanziarie
- La valutazione dell’impatto in un’altra giurisdizione, ai sensi dell’art. 19, paragrafo 7, del DORA, deve infine basarsi:
- sulla causa di fondo dell’incidente
- sul potenziale contagio attraverso fornitori terzi e alle infrastrutture dei mercati finanziari
- sull’impatto dell’incidente su gruppi significativi di clienti o controparti finanziarie.
