Il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale (DORA), che si applicherà a decorrere dal 17 gennaio 2025, richiede agli operatori finanziari di gestire adeguatamente gli incidenti informatici, al fine di mantenere il pieno controllo sui rischi ICT.
In particolare, è richiesto agli enti di definire ed attuare un processo di gestione che consenta primariamente di prevenire gli incidenti informatici, nonché di individuarli, gestirli e infine segnalarli alle Autorità competenti.
Oltre alle prescrizioni del DORA, gli operatori dovranno rispettare gli standard tecnici di attuazione di cui al Regolamento delegato (UE) 2024/1772, pubblicati in GU UE lo scorso 25 giugno, nonché gli standard e le linee guida definiti dalle ESAs, pubblicati il 17 luglio, relativi al contenuto delle segnalazioni degli incidenti gravi ITC e delle minacce significative, ai test di penetrazione guidati dalle minacce (TLPT) ed alla stima dei costi/perdite aggregati causati da incidenti gravi ICT.
Gli operatori dovranno quindi: (i) implementare un processo di gestione degli incidenti informatici, con le opportune misure di governance (ii) classificare gli incidenti informatici e le minacce informatiche, individuando gli incidenti gravi e le minacce significative; (iii) segnalare i gravi incidenti ICT alle Autorità competenti; (iv) programmare, a fini preventivi, test di resilienza operativa digitale periodici.
In tale contesto il corso andrà ad approfondire gli obblighi delineati dal framework DORA, soffermandosi sulle problematiche operative e sulle misure organizzative da porre in essere entro gennaio 2025.
Tematiche oggetto di attenzione e discussione
La gestione e classificazione degli incidenti e delle minacce informatiche significative
- Gli incidenti informatici che entrano nel campo di applicazione di DORA
- Misure di governance nell’ambito del processo di gestione degli incidenti
- Le procedure ed i processi per prevenire, trattare e monitorare gli incidenti ICT
- I criteri di classificazione degli incidenti ICT
- Quando un incidente ICT è considerato grave: le soglie di rilevanza
- La differenza fra incidenti ICT e minacce informatiche significative: quando sussiste l’obbligo di classificazione
Gli obblighi di segnalazione
- Gli obblighi di segnalazione dei gravi incidenti ICT all’Autorità nazionale competente e l’identificazione dell’Autorità nazionale competente
- La notifica iniziale: contenuto, modelli e termini di presentazione della segnalazione
- Obbligatorietà, termini e contenuto dell’informativa ai clienti
- Contenuto e termini di presentazione delle relazioni intermedie: gli indicatori di compromissione
- La relazione finale: contenuto e termini di presentazione
- Modalità di determinazione dei costi e delle perdite dirette e indirette causate dall’incidente ICT
- Condizioni e contenuto della notifica volontaria di minacce significative
- Limiti all’esternalizzazione degli obblighi di segnalazione
L’attività di testing obbligatoria
- L’obbligo di istituire, programmare e condurre test di resilienza operativa digitale
- La definizione di un programma di test di resilienza operativa digitale: tipologia e principali caratteristiche
- Il processo di testing (testing process): tecniche di gestione
- I test avanzati TLPT (test di penetrazione guidati dalla minaccia)
- L’identificazione delle entità finanziarie tenute a svolgere i test TLPT
- Le funzioni dell’entità finanziaria da coinvolgere nel test TLPT
- Il ruolo dei fornitori terzi di servizi ICT
- Requisiti dei soggetti (esterni) incaricati dello svolgimento dei test TLPT
- Condizioni e limiti per lo svolgimento di test da parte tester interni
- La gestione degli esiti dello svolgimento dei test: i piani correttivi e gli obblighi di notifica all’Autorità competente