Le Autorità europee di vigilanza (EBA, EIOPA ed ESMA – le ESAs) hanno posto in pubblica consultazione le Linee guida sulla stima dei costi annuali aggregati e delle perdite causate da incidenti gravi legati alle ICT, in attuazione del Regolamento (UE) 2022/2554 (DORA).
Nello specifico, l’art. 11 della DORA incarica le ESAs di elaborare “orientamenti comuni sulla stima dei costi annuali aggregati e delle perdite causate da incidenti gravi legati alle ICT”, da comunicarsi, ai sensi del paragrafo 10, all’autorità competente, su richiesta di quest’ultima.
Tale mandato è strettamente connesso agli specifici mandati conferiti alle ESAs sulla classificazione degli incidenti (art. 18 par. 3 DORA), nonché sulla segnalazione degli incidenti (art. 20 DORA), poiché in entrambi gli ambiti è richiesta una valutazione dei costi e delle perdite degli incidenti legati alle ICT.
Nelle Linee Guida viene precisato che tutti i criteri ivi indicati, compreso quello relativo alla valutazione dell’impatto economico, sono concepiti per garantirne la proporzionalità: le piccole entità finanziarie classificheranno infatti gli incidenti legati alle ICT come “gravi” con minore frequenza rispetto alle entità finanziarie più grandi.
In adempimento al mandato, le Linee guida prevedono quindi:
- di applicare, per la valutazione dei costi e delle perdite lorde e nette, lo stesso approccio delle norme tecniche di regolamentazione e di reporting relative agli incidenti gravi legati alle ICT, ai sensi dell’articolo 18, paragrafo 3, e dell’art. 20 della DORA;
- di fissare nell’anno contabile il periodo di riferimento per l’aggregazione di tutti i costi e delle perdite degli incidenti gravi connessi alle ICT, al fine di facilitare la stima basata sui dati disponibili dai bilanci;
- di includere solo gli incidenti legati alle ICT che siano stati classificati come gravi e per i quali sia stata fornita una stima finale dell’incidente (ai sensi dell’articolo 19, paragrafo 4, lettera c) del DORA) in quell’esercizio contabile o anche in anni precedenti, qualora abbia avuto un impatto sui costi e sulle perdite di quell’esercizio contabile;
- di riportare la ripartizione dei costi e delle perdite lorde, dei recuperi finanziari, nonché dei costi e delle perdite nette, per i principali incidenti legati alle ICT, al fine di comprovare le cifre aggregate.
Si ricorda che il periodo di consultazione durerà fino al 4 marzo 2024; successivamente la chiusura della pubblica consultazione, saranno pubblicate le Linee guida definitive.