EBA ha pubblicato una Q&A (n. 7050), in ambito DORA, relativamente alla segnalazione degli incidenti legati alle ICT da parte degli enti classificati come significativi ex art. 6, par. 4, del Regolamento (UE) n. 1024/2013.
La tematica afferente la gestione degli incidenti ITC verrà altresì affrontata durante il nostro prossimo corso del 20 febbraio 2025 “DORA: le richieste Banca d’Italia sulla gestione del rischio ICT“.
La domanda posta è la seguente:
Oltre che alla segnalazione degli incidenti ICT ai sensi dell’art. 19 del Regolamento DORA, è necessaria una duplice segnalazione degli incidenti, tramite il quadro di segnalazione degli incidenti informatici dell’SSM della BCE?
Il considerando 51 del Regolamento DORA chiarisce che la segnalazione degli incidenti legati alle ITC deve essere armonizzata attraverso l’introduzione dell’obbligo, per tutti i soggetti finanziari, di segnalare direttamente alle rispettive autorità competenti.
Per EBA quindi, qualora un’entità finanziaria sia soggetta alla vigilanza di più di un’autorità nazionale competente, gli Stati membri dovrebbero designare un’unica autorità competente come destinataria di tale segnalazione.
Gli enti creditizi classificati come significativi ai sensi dell’art. 6, par. 4, del Regolamento (UE) n. 1024/2013, dovrebbero presentare tale segnalazione alle autorità nazionali competenti, che dovrebbero successivamente trasmettere la segnalazione alla BCE.
Di conseguenza, gli incidenti rilevanti connessi alle ICT, compresi gli incidenti informatici, che colpiscono gli enti significativi ai sensi dell’art. 6, par. 4, del Regolamento (UE) n. 1024/2013, dovrebbero essere classificati e segnalati solo ai sensi del Regolamento DORA e delle relative norme tecniche.
