Le Autorità europee di vigilanza (EBA, EIOPA ed ESMA – le ESAs) hanno recentemente avviato una pubblica consultazione su un progetto di norme tecniche di regolamentazione (RTS) riguardanti i test di penetrazione guidati dalla minaccia (TLPT), in ottemperanza al Regolamento DORA.
Il Regolamento (UE) 2022/2554 (DORA), all’art. 26 c. 11, conferisce alle ESAs, “di concerto con la BCE”, il compito di elaborare progetti di RTS in conformità al quadro TIBER-EU applicato nell’Unione. Tale quadro costituisce un approccio europeo per il red-teaming etico basato sull’intelligence delle minacce.
Il progetto di RTS si propone di specificare:
- i criteri per identificare i soggetti finanziari tenuti a eseguire test di penetrazione basati su minacce.
- requisiti e standard per l’utilizzo di tester interni.
- requisiti relativi all’ambito, alla metodologia, all’approccio e alle fasi dei test, nonché alla gestione dei risultati, la chiusura e il rimedio.
- la cooperazione necessaria per la vigilanza durante l’attuazione dei test.
- altre forme di cooperazione per l’implementazione della TLPT e per agevolare il mutuo riconoscimento.
Il documento di consultazione è finalizzato a raccogliere il feedback delle parti interessate, inclusi dati qualitativi e quantitativi sui costi e sui benefici della bozza di RTS proposta. Le ESAs chiedono anche alle parti interessate di proporre soluzioni alternative e di specificare eventuali difficoltà tecniche nell’implementazione dei requisiti proposti.
Le ESAs evidenziano che un’analisi costi-benefici più dettagliata sarà possibile solo dopo il contributo delle parti interessate.
I feedback raccolti durante questa consultazione saranno presi in considerazione nel secondo trimestre del 2024, e le ESAs pubblicheranno una relazione finale insieme alla bozza di RTS presentata alla Commissione europea entro il 17 luglio 2024.