Pubblicato in Gazzetta Ufficiale dell’Unione Europea il Regolamento delegato (UE) 2025/301 del 23 ottobre 2024, che integra il Regolamento (UE) 2022/2554 (DORA) per quanto riguarda le norme tecniche di regolamentazione (RTS), sul contenuto e i termini della notifica che gli operatori devono obbligatoriamente effettuare alle Autorità competenti in caso di incidenti gravi ICT e, volontariamente, di minacce informatiche significative.
In particolare, per gli incidenti gravi connessi alle ITC, gli operatori sono tenuti ad effettuare una notifica iniziale, quindi una relazione intermedia e infine una relazione finale.
Al fine di garantire l’armonizzazione e la semplificazione degli obblighi di notifica e di segnalazione degli incidenti gravi connessi alle ITC di cui all’art. 19, par. 4, del Regolamento DORA, i termini per la segnalazione degli incidenti gravi connessi alle ITC seguono un approccio coerente per tutti i tipi di entità finanziarie.
Al fine di evitare di imporre un onere di segnalazione eccessivo alle entità finanziarie nel momento in cui trattano l’incidente connesso alle ITC, il contenuto della notifica iniziale è stato essere limitato alle informazioni più significative, in modo tale che le autorità competenti possano ricevere le informazioni sugli incidenti gravi connessi alle ITC il più rapidamente possibile dopo che l’entità finanziaria ha classificato un incidente connesso alle ITC come grave.
Solo dopo aver ricevuto la notifica iniziale, le autorità competenti riceveranno quindi dagli operatori, nella relazione intermedia, le informazioni più dettagliate sull’incidente connesso alle ITC; infine, nella relazione finale riceveranno tutte le informazioni pertinenti all’incidente.
Le informazioni contenute in tali relazioni consentiranno alle autorità competenti di esaminare ulteriormente l’incidente connesso alle ITC, e di valutare le misure di vigilanza che potrebbero adottare.
I termini per la segnalazione di cui all’art. 20, c. 1, lett. a), ii), di DORA sono stati indicati per trovare un equilibrio tra la necessità per le autorità competenti di ricevere le informazioni rapidamente e la necessità di concedere alle entità finanziarie il tempo sufficiente per ottenere informazioni complete e accurate; inoltre, i termini per la segnalazione sono stati posti al fine di non comportare un onere sproporzionato per le microimprese e le altre entità finanziarie che non sono significative.
Poiché le minacce informatiche significative devono essere notificate su base volontaria, il contenuto di tali notifiche non costituirà un onere per le entità finanziarie e sarà più limitato rispetto alle informazioni richieste per gli incidenti gravi connessi alle ITC.
