Le tre autorità di vigilanza europee (EBA, EIOPA e ESMA – le ESAs) hanno pubblicato oggi una relazione sulla fattibilità di un’ulteriore centralizzazione della segnalazione di incidenti rilevanti legati alle ITC da parte delle entità finanziarie, ai sensi dell’art. 21 del Regolamento DORA.
Delle tematiche afferenti alle segnalazioni degli incidenti ITC in ambito DORA, se ne discuterà altresì nel corso del prossimo webinar DB del 20 febbraio 2025 “DORA: le richieste Banca d’Italia sulla gestione del rischio ICT“.
L’art. 21 prevede che le ESAs preparino una relazione congiunta che valuti la fattibilità di un’ulteriore centralizzazione della segnalazione di incidenti attraverso
l’istituzione di un unico hub UE per la segnalazione degli incidenti legati alle ITC.
La relazione valuta la fattibilità di tre diversi modelli:
- il modello di base: è il modello che implementa gli attuali flussi di segnalazione degli incidenti DORA, come previsto dall’art. 19, e che, secondo il Regolamento, dovrebbe essere operativo dal 17 gennaio 2025; questo modello rimane ampiamente decentralizzato, in cui le entità finanziarie segnalano direttamente alle autorità competenti designate, secondo le modalità e gli strumenti di segnalazione in vigore a livello nazionale; le autorità competenti trasmettono poi le segnalazioni ad altre autorità nazionali ed europee, mentre le autorità di vigilanza europee diffondono poi gli incidenti alle autorità competenti interessate
- un modello con accordi di condivisione dei dati rafforzati (modello di base che comprende però anche altre autorità nazionali, come ad es. le autorità NIS): le entità finanziarie continueranno a segnalare gli incidenti alle autorità competenti responsabili della loro vigilanza, secondo le modalità e gli strumenti di segnalazione in vigore a livello nazionale; la differenza principale, tuttavia, è che in questo scenario non è più richiesta la diffusione decentrata; una volta che la segnalazione è stata presentata alla soluzione unica a disposizione delle autorità competenti, viene automaticamente diffuso a livello nazionale ed europeo alle parti interessate, in base alle rispettive responsabilità.
- un modello completamente centralizzato (single EU hub): le entità finanziarie riferirebbero direttamente all’hub dell’UE, che sarebbe accessibile agli stakeholder in base ai loro specifici ruoli e responsabilità e da cui ricevono le notifiche; questo modello consente inoltre di sviluppare capacità analitiche avanzate, eliminando la necessità di duplicare tali capacità a livello decentrato; i questo scenario, mentre le entità finanziarie riferiranno a un sistema sistema centralizzato, le autorità competenti continueranno a rappresentare un primo punto di contatto dal punto di vista dell’impegno di vigilanza, della risposta e del follow-up. Questa soluzione mira a facilitare la raccolta, la diffusione e l’offerta di capacità analitiche avanzate degli incidenti e di creare efficienze a livello europeo.
La relazione prende quindi in considerazione le potenziali riduzioni di oneri e costi, nonché i guadagni in termini di efficienza ed efficacia che ciascun modello comporterebbe per le pratiche di vigilanza intersettoriali.
La relazione congiunta è stata presentata al Parlamento UE, al Consiglio europeo e alla Commissione europea, che ne prenderanno in considerazione i risultati per i potenziali sviluppi futuri in relazione all’ulteriore centralizzazione della segnalazione di incidenti gravi legati alle ITC nel settore finanziario.
