Le tre autorità di vigilanza europee (ESAs) hanno pubblicato la prima serie di progetti di norme tecniche (cd. RTS e ITS) di attuazione del Regolamento DORA (Digital Operational Resilience Act).
I progetti di norme tecniche sono stati elaborati in conformità agli artt. 15, 16 par. 3, 18 par. 3, 28 par. 9 e 28 par. 10 del Regolamento (UE) 2022/2554 (DORA).
La consultazione pubblica sui progetti di RTS e ITS, condotta dalle ESAs dal 19 giugno all’11 settembre 2023, ha portato a modifiche specifiche agli standard tecnici, tra cui la semplificazione e la razionalizzazione dei requisiti, una maggiore proporzionalità e la risoluzione di problemi specifici del settore.
Le norme tecniche DORA sono dunque finalizzate a migliorare la resilienza operativa digitale del settore finanziario dell’UE, rafforzando le tecnologie dell’informazione e della comunicazione (ITC) e i quadri di gestione del rischio di terzi e di segnalazione degli incidenti delle entità finanziarie.
L’obbiettivo è garantire che le entità finanziarie mantengano il controllo dei propri rischi operativi, della sicurezza delle informazioni e della continuità operativa durante l’intero ciclo di vita degli accordi contrattuali con tali fornitori terzi di servizi ICT.
I progetti finali di norme tecniche comprendono:
- norme tecniche di regolamentazione (RTS) sul quadro di gestione del rischio ICT e sul quadro semplificato di gestione del rischio ICT;
- RTS sui criteri per la classificazione degli incidenti legati alle ICT, che specificano:
- I criteri e l’approccio per la classificazione degli incidenti gravi legati alle ICT;
- Le soglie di rilevanza di ciascun criterio di classificazione;
- I criteri e le soglie di rilevanza per determinare le minacce informatiche significative;
- I criteri per la valutazione da parte delle autorità competenti della rilevanza degli incidenti e i dettagli degli incidenti da condividere.
- RTS relativi alla politica sui servizi ICT che supportino funzioni critiche o importanti forniti da fornitori di servizi ICT di terze parti (TPP), contenenti disposizioni di governance, della gestione del rischio e del quadro di controllo interno che le entità finanziarie dovrebbero adottare in merito all’utilizzo di fornitori terzi di servizi ICT.
- norme tecniche di attuazione (ITS) per stabilire i modelli per il registro delle informazioni sugli accordi contrattuali con i fornitori di servizi ICT terzi: il registro sarà utilizzato dalle autorità competenti e dalle autorità di vigilanza europee per supervisionare la conformità delle entità finanziarie al DORA e per designare i fornitori critici di servizi TIC di terzi soggetti al regime di sorveglianza del DORA.
I progetti finali di norme tecniche sono stati inviati alla Commissione europea che dovrà adottarli nei prossimi mesi.
