WEBINAR / 21 Novembre
Il pignoramento esattoriale dei rapporti bancari


Obblighi delle banche e problematiche operative

ZOOM MEETING
Offerte per iscrizioni entro il 31/10


WEBINAR / 21 Novembre
Il pignoramento esattoriale dei rapporti bancari
www.dirittobancario.it
Flash News

Regolamento DORA: criteri per la classificazione degli incidenti

20 Giugno 2023
Di cosa si parla in questo articolo

Tra gli standard tecnici di attuazione (RTS e ITS) del Regolamento (UE) 2022/2554 (DORA) posti in consultazione dalle Autorità di vigilanza europee (ESAs) vi sono i progetti comuni di norme tecniche di regolamentazione (RTS) relativi ai criteri per la classificazione degli incidenti legati alle tecnologie dell’informazione e della comunicazione (TIC), le soglie di rilevanza per gli incidenti gravi e le minacce informatiche significative.

Uno degli obiettivi del DORA è quello di armonizzare e semplificare il regime di segnalazione degli incidenti legati alle TIC per gli enti finanziari nell’Unione europea.

Gli RTS in consultazione sui criteri per la classificazione degli incidenti legati alle TIC, emanati in attuazione dell’articolo 18, paragrafo 3, del DORA, specifichino ulteriormente:

  • i criteri di classificazione degli incidenti legati alle TIC o, se del caso, degli incidenti operativi o legati alla sicurezza dei pagamenti;
  • le soglie di rilevanza per determinare gli incidenti gravi;
  • i criteri e le soglie di rilevanza per determinare le minacce informatiche significative; e
  • i criteri per le autorità competenti per valutare la rilevanza degli incidenti per le autorità competenti interessate in altri Stati membri e i dettagli degli incidenti da condividere con altre CA.

L’articolo 18, paragrafo 4, del DORA richiede inoltre che gli RTS siano proporzionati e che seguano gli standard, gli orientamenti e le specifiche pubblicati dalla European Union Agency for Cybersecurity (ENISA).

Gli RTS del Regolamento DORA in consultazione propongono quindi i criteri di classificazione degli incidenti e ne stabilisce le soglie di rilevanza.

Inoltre, gli RTS DORA in consultazione propongono criteri con incidenze diverse nella classificazione degli incidenti gravi, qualificando come primari i criteri connessi a:

  • Clienti, controparti finanziarie e transazioni colpite,
  • Perdite di dati,
  • Servizi critici colpiti,

e secondari i criteri:

  • Impatto sulla reputazione,
  • Durata e tempi di inattività del servizio,
  • Diffusione geografica,
  • Impatto economico.

Gli RTS del Regolamento DORA in consultazione propongono inoltre di classificare come gravi gli incidenti ricorrenti accomunati dalla stessa apparente causa principale, natura e impatto, che singolarmente non sarebbe classificabili come gravi ma che cumulativamente soddisfano i criteri di classificazione.

In relazione alla classificazione delle minacce informatiche significative, il documento in consultazione propone un approccio basato sulla probabilità di concretizzazione della minaccia, sul fatto che la minaccia possa influire su funzioni critiche o importanti dell’entità finanziaria e sul fatto che possa soddisfare le condizioni per un incidente grave qualora si concretizzi.

Infine, le RTS DORA in consultazione propongono che la valutazione della rilevanza per le autorità competenti di altri Stati membri si basi sulla significatività dell’impatto nella rispettiva giurisdizione e che tutti i dettagli degli incidenti siano condivisi con le altre autorità competenti interessate.

Di cosa si parla in questo articolo

WEBINAR / 21 Novembre
Il pignoramento esattoriale dei rapporti bancari


Obblighi delle banche e problematiche operative

ZOOM MEETING
Offerte per iscrizioni entro il 31/10


WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12

Iscriviti alla nostra Newsletter