L’EBA ha pubblicato la conclusione della sua revisione inter pares su come le autorità competenti hanno attuato le Linee guida sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology – ICT) e di sicurezza nell’ambito del processo di revisione e valutazione prudenziale (SREP).
Le Linee guida specificano le misure di gestione dei rischi che gli istituti finanziari (quali definiti al paragrafo 9 delle Linee guida) devono adottare ai sensi dell’articolo 74 della CRD per gestire i rischi relativi all’uso delle tecnologie dell’informazione e della comunicazione (Information and Communication Technlogy – ICT) e alla sicurezza per tutte le attività e che i prestatori di servizi di pagamento devono adottare ai sensi dell’articolo 95, paragrafo 1, della PSD2, per gestire i rischi operativi e di sicurezza (intesi come «rischi ICT e di sicurezza») relativi ai servizi di pagamento che forniscono.
Le Linee guida comprendono requisiti relativi alla sicurezza dell’informazione, inclusa la sicurezza informatica, nella misura in cui le informazioni sono detenute su sistemi di Information and Communication Technlogy.
Nel complesso, l’analisi suggerisce che le autorità competenti in tutta l’UE hanno applicato un approccio basato sul rischio alla supervisione della gestione del rischio ICT.
L’EBA non ha individuato problematiche significative in merito alle pratiche di vigilanza, ma formula alcune raccomandazioni generali per ulteriori miglioramenti.
La revisione inter pares include anche raccomandazioni dell’EBA sull’incorporazione di una serie di buone pratiche identificate nelle Linee guida sulla valutazione del rischio ICT nell’ambito dello SREP quando quest’ultimo sarà riesaminato in futuro.
Nella revisione l’EBA ha seguito il principio per il quale tutti gli istituti finanziari dovrebbero essere conformi alle disposizioni contenute nelle Linee guida in modo proporzionato e tenendo conto della dimensione degli istituti finanziari, della loro organizzazione interna e della natura, portata, complessità e rischiosità dei prodotti e dei servizi che gli istituti finanziari forniscono o intendono fornire