EBA ha pubblicato una Q&A (n. 7047), in ambito DORA, relativamente alla gestione, classificazione e segnalazione degli incidenti legati alle ICT.
La tematica afferente la gestione degli incidenti ITC verrà altresì affrontata durante il nostro prossimo corso del 30 dicembre 2025 “DORA: le richieste Banca d’Italia sulla gestione del rischio ICT“.
La domanda posta è la seguente:
L’art. 6 del Regolamento delegato sulla classificazione degli incidenti ICT gravi stabilisce che, al fine di determinare la criticità dei servizi colpiti di cui all’art. 18, par. 1, lett. e), del Regolamento DORA, i soggetti finanziari devono valutare se l’incidente:
- colpisce o ha colpito i servizi ITC o i sistemi di rete e informativi che supportano funzioni critiche o importanti dell’entità finanziaria
- influisce o ha influito sui servizi finanziari forniti dall’entità finanziaria che richiedono un’autorizzazione, una registrazione o che sono sottoposti a vigilanza da parte delle autorità competenti
- costituisce o ha costituito un accesso riuscito, doloso e non autorizzato alla rete e ai sistemi informativi dell’entità finanziaria.
Quindi tutte e tre le componenti sono cumulativamente necessarie per attivare i criteri sui servizi critici interessati?
Per EBA, ai sensi dell’art. 8 del Regolamento delegato della Commissione UE, un incidente ICT è considerato grave, e quindi deve essere segnalato all’autorità nazionale competente, quando ha interessato servizi critici ai sensi dell’art. 6 e quando sono soddisfatte le ulteriori condizioni specifiche di cui all’art. 8.
Conseguentemente, ai fini della classificazione degli incidenti ICT gravi ai sensi del Regolamento delegato e dell’art. 19, par. 1, del Regolamento DORA, un impatto su uno qualsiasi dei componenti elencati all’art. 6 del regolamento delegato deve essere considerato come un impatto sui servizi critici.
