Le tre autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESAs) hanno pubblicato oggi il secondo gruppo di standard tecnici e linee guida nell’ambito del Digital Operational Resilience Act (DORA), relativi alle segnalazioni degli incidenti informatici ed alle minacce informatiche gravi ed al quadro di sorveglianza fra ESAs e Autorità compenti.
I progetti definitivi di standard tecnici sono stati elaborati in conformità agli artt. 20, lett. a) e b), 26, par. 11 e 41, par. 1 del Regolamento (UE) 2022/2554 (DORA); le linee guida sono state redatte sulla base degli artt. 11, par. 1 e 32, par. 7 dello stesso Regolamento.
Il pacchetto, in ambito DORA, si concentra sul quadro di segnalazione degli incidenti informatici gravi legati alle TIC (chiarezza della segnalazione, modelli) e sui test di penetrazione basati sulle minacce, introducendo anche alcuni requisiti sulla progettazione del quadro di supervisione, che rafforzano la resilienza operativa digitale del settore finanziario dell’UE, garantendo così anche la fornitura continua e ininterrotta di servizi finanziari ai clienti e la sicurezza dei loro dati.
Gli standard tecnici pubblicati sono i seguenti:
- RTS e ITS sul contenuto, il formato, i modelli e le scadenze per la segnalazione di incidenti rilevanti legati alle TIC e di minacce informatiche significative
- RTS sull’armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza
- RTS che specificano i criteri per determinare la composizione del gruppo di esame congiunto (JET)
- RTS sui test di penetrazione guidati dalle minacce (TLPT).
L’insieme delle linee guida comprende invece:
- Linee guida sulla stima dei costi/perdite aggregati causati da incidenti gravi legati alle TIC
- Linee guida sulla cooperazione in materia di supervisione tra le ESAs e le Autorità Competenti.
