Pubblicata la Comunicazione Banca d’Italia del 30 dicembre 2024, che chiarisce alcune previsioni del Regolamento (UE) 2022/2554 in materia di resilienza operativa digitale del settore finanziario (DORA).
La Comunicazione si concentra sui seguenti profili:
- la collocazione della funzione di controllo dei rischi ICT;
- la comunicazione all’autorità competente di eventuali accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti;
- la segnalazione dei gravi incidenti ICT e delle minacce informatiche significative;
- i test avanzati di penetrazione basati sulle minacce (Threat-Led Penetration Test).
La presente Comunicazione segue quella del 23 dicembre 2024, con cui Banca d’Italia ha richiamato l’attenzione degli operatori al rispetto degli obblighi in materia di sicurezza ICT conseguenti all’applicazione del Regolamento DORA.
Nella Comunicazione del 23 dicembre 2024, Banca d’Italia ha altresì richiesto agli intermediari sotto la propria vigilanza di:
- effettuare una autovalutazione del proprio sistema di gestione dei rischi ICT;
- far approvare l’autovalutazione dall’organo di amministrazione, coinvolgendo le funzioni di controllo di secondo e terzo livello;
- trasmettere l’autovalutazione alla Banca d’Italia entro il 30 aprile 2025.