In attuazione del Regolamento (UE) 2022/2554 sulla resilienza operativa digitale (DORA), pienamente applicabile dal 17 gennaio scorso, Banca d’Italia ha chiesto agli operatori vigilati di effettuare un’autovalutazione dei propri sistemi e procedure di gestione del rischio ICT.
In particolare, Banca d’Italia chiede di autovalutare l’effettiva conformità dei propri processi interni ai requisiti introdotti da DORA e (ii) l’adeguatezza del proprio sistema di gestione dei rischi ICT a prevenire violazioni della riservatezza dei dati/servizi ed a ridurre il rischio derivante dalla modifica dei sistemi ICT.
A tal fine, Banca d’Italia ha fornito lo scorso 13 febbraio 2025 le relativi istruzioni operative e i modelli standard da utilizzare ai fini dell’autovalutazione.
L’esercizio di autovalutazione dovrà essere completato e trasmesso a Banca d’Italia entro il 30 aprile 2025.
Inoltre, le Autorità nazionali competenti dovranno segnalare, entro il 30 aprile 2025, alle Autorità europee di vigilanza (ESAs), i registri delle informazioni sugli accordi contrattuali tra entità finanziarie e fornitori terzi critici di servizi ICT.
Il corso, in vista delle prossime scadenze dettate dall’Autorità di vigilanza, approfondirà gli specifici profili attenzionati da Banca d’Italia, fornendo delle indicazioni pratiche operative per il corretto esercizio di autovalutazione richiesto e la compilazione dei moduli previsti, compatibilmente con lo stato di implementazione dei piani di resilienza operativa digitale da parte del singolo operatore.
Tematiche oggetto di attenzione e discussione
- I modelli autovalutativi Banca d’Italia sulla conformità DORA
- La conformità del quadro per la gestione dei rischi informatici
- (segue) e del quadro semplificato per le microimprese
- L’organizzazione della funzione di controllo ICT e le competenze necessarie
- (segue) le funzioni supportate da tecnologie ICT e l’identificazione delle dipendenze interne
- Il monitoraggio della sicurezza della rete informatica, le gestione della continuità operativa e il processo di change management
- La rilevazione delle attività anomale e il controllo degli accessi: la relazione con i presidi GDPR
- Il processo di identificazione, gestione, monitoraggio e reporting degli incidenti ICT
- La definizione di piani di comunicazione delle crisi e di politiche di comunicazione interne ed esterne
- La programmazione di test di resilienza operativa digitale
- La strategia relativa alla gestione del rischio di terze parti
- La strategia a presidio del rischio di concentrazione a livello di entità
- La problematica definizione di terze parti, fornitori ed esternalizzazioni ICT
- L’allineamento degli accordi contrattuali con i fornitori di servizi ICT
- Il registro degli accordi contrattuali e l’inoltro all’Autorità di vigilanza