Le Autorità europee di vigilanza (EBA, EIOPA ed ESMA – le ESAs) hanno posto in pubblica consultazione i nuovi RTS e ITS sulla segnalazione degli incidenti legati alle TIC, in attuazione del Regolamento (UE) 2022/2554 (DORA).
Nello specifico, l’art. 20 della DORA incarica le ESAs di elaborare:
- Progetti di norme tecniche di regolamentazione (RTS) che stabiliscano il contenuto delle segnalazioni per gli incidenti legati alle TIC e la notifica delle minacce informatiche significative, nonché i termini per la segnalazione di tali incidenti da parte degli enti finanziari alle autorità competenti.
- Standard Tecnici di Implementazione (ITS) che stabiliscano i moduli standard, i modelli e le procedure per la segnalazione di un incidente importante da parte degli enti, nonché le procedure che segnalino un incidente rilevante legato alle TIC o notifichino una minaccia informatica significativa.
Tali requisiti, sempre in conformità al citato art. 20, sono proporzionati e coerenti con l’approccio per la segnalazione di incidenti dettato dalla Direttiva (UE) 2022/2555 (NIS2).
Il documento delle ESAs propone diversi limiti temporali per la comunicazione dell’incidente, in linea con la direttiva NIS2, ed in modo proporzionato alle diverse tipologie e dimensioni degli operatori del settore finanziario che rientrano nell’ambito di applicazione della DORA.
Inoltre, gli RTS e gli ITS specificano le informazioni rilevanti da raccogliere in caso di incidenti gravi e minacce informatiche significative e le modalità di comunicazione.
Tali informazioni riguardano:
- il soggetto che effettua la segnalazione;
- l’impatto dell’incidente;
- i criteri di classificazione;
- la gestione dell’incidente;
- la causa principale dell’incidente;
- le misure adottate per prevenire incidenti simili in futuro.
Si ricorda che il periodo di consultazione durerà fino al 4 marzo 2024.
La bozza finale di RTS e ITS sarà quindi pubblicata dopo la consultazione pubblica entro il 17 luglio 2024.