Come anticipato dalla news di questa mattina, le ESAs hanno posto in pubblica consultazione un primo gruppo di standard tecnici (RTS e ITS) di attuazione del Regolamento (UE) 2022/2554 (Digital Operational Resilience Act – DORA), tra cui quelli rispettivamente previsti dagli articoli 15 e 16(3) del Regolamento DORA, di ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio ICT e di definizione di un quadro semplificato di gestione del rischio TIC per determinati soggetti finanziari.
Per quanto riguarda gli RTS DORA sulla gestione del rischio ICT, questi:
- definiscono elementi che devono essere incorporati nelle strategie, politiche, procedure, protocolli e strumenti relativi alla sicurezza delle tecnologie dell’informazione e della comunicazione (TIC) al fine di garantire la sicurezza delle reti, introdurre adeguate salvaguardie contro intrusioni e abusi dei dati, preservare la disponibilità, autenticità, integrità e riservatezza dei dati, utilizzare tecniche crittografiche e assicurare una trasmissione accurata e tempestiva dei dati senza gravi interruzioni o ritardi impropri;
- sviluppano le componenti dei controlli per la gestione degli accessi e delle relative politiche di risorse umane, specificando i diritti di accesso, le procedure per l’assegnazione e la revoca dei diritti, il monitoraggio di comportamenti anomali legati ai rischi informatici attraverso indicatori appropriati, inclusi modelli di utilizzo della rete, orari, attività informatiche e dispositivi sconosciuti;
- approfondiscono i meccanismi per rilevare tempestivamente attività anomale e stabilire criteri per l’avvio dei processi di individuazione degli incidenti correlati alle TIC e di risposta agli stessi;
- specificano le componenti della politica di continuità operativa delle TIC;
- raffinano i test dei piani di continuità operativa delle TIC per garantire che considerino adeguatamente gli scenari in cui la qualità dell’esercizio di una funzione essenziale o importante deteriori a un livello inaccettabile o venga meno, e tengano debito conto del potenziale impatto dell’insolvenza o di altre disfunzioni dei fornitori terzi di servizi TIC rilevanti e, se del caso, dei rischi politici nelle giurisdizioni dei rispettivi fornitori;
- specificano le componenti dei piani di risposta e ripristino relativi alle TIC;
- specificano il contenuto e il formato della relazione sul riesame del quadro per la gestione dei rischi informatici;
- precisano il contenuto e il formato della relazione di riesame del framework per la gestione dei rischi informatici.
Per quanto riguarda invece gli RTS DORA sul quadro semplificato di gestione del rischio ICT, questi:
- definiscono in modo più approfondito gli elementi da incorporare nel framework per la gestione dei rischi informatici;
- precisano gli aspetti relativi ai sistemi, protocolli e strumenti per ridurre al minimo l’impatto dei rischi informatici, al fine di garantire la sicurezza delle reti, introdurre adeguate protezioni contro intrusioni e abusi dei dati, e preservare la disponibilità, autenticità, integrità e riservatezza dei dati;
- dettagliano le componenti dei piani di continuità operativa delle TIC;
- specificano le disposizioni per i test dei piani di continuità operativa, garantendo l’efficacia dei controlli e assicurando che tali test tengano debitamente conto di scenari in cui la qualità dell’esercizio di una funzione essenziale o importante deteriori a un livello inaccettabile o venga meno;
- definiscono il contenuto e il formato della relazione sul riesame del framework per la gestione dei rischi informatici.
