DORA: Nuove Norme per la Gestione dei Rischi Informatici nelle Entità Finanziarie: Il Regolamento Delegato (UE) 2024/1774
Il Regolamento Delegato (UE) 2024/1774 della Commissione Europea, emanato il 13 marzo 2024 e pubblicato oggi nella Gazzetta Ufficiale dell’Unione Europea, integra il Regolamento (UE) 2022/2554, stabilendo norme tecniche di regolamentazione per la gestione dei rischi informatici nelle entità finanziarie. Questo regolamento considera la diversità delle entità finanziarie in termini di dimensioni, struttura, organizzazione, natura e complessità delle attività, e si propone di essere proporzionato ai rischi corrispondenti.
Le entità finanziarie devono garantire la resilienza operativa digitale attraverso politiche, procedure, protocolli e strumenti specifici per la sicurezza delle TIC. Queste includono la gestione delle risorse TIC, che prevede il monitoraggio e la manutenzione delle risorse durante il loro ciclo di vita, assicurando l’ottimizzazione del funzionamento dei sistemi e la soddisfazione degli obiettivi aziendali e di sicurezza delle informazioni. La gestione delle prestazioni e delle capacità delle TIC deve assicurare che i sistemi operino in modo efficace, riducendo al minimo il rischio di perdita di riservatezza, integrità e disponibilità dei dati.
Il regolamento stabilisce anche che le politiche e procedure per le operazioni TIC devono garantire un funzionamento quotidiano regolare ed efficace dei sistemi, fornendo salvaguardie contro intrusioni e usi impropri dei dati. Ciò include misure per preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, cruciali per la sicurezza delle reti.
Le politiche di gestione dei rischi informatici devono tener conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura e complessità dei suoi servizi e attività. Questo include aspetti come la cifratura e crittografia, la sicurezza delle operazioni TIC, la sicurezza della rete, la gestione dei progetti e delle modifiche TIC, e l’impatto potenziale dei rischi informatici sulla riservatezza, integrità e disponibilità dei dati, nonché sulla continuità delle attività.
In sintesi, il Regolamento Delegato (UE) 2024/1774 fornisce un quadro normativo dettagliato e proporzionato per la gestione dei rischi informatici, assicurando che le entità finanziarie siano preparate a proteggere i dati e mantenere la continuità operativa di fronte a minacce informatiche.
Documentazione
REGOLAMENTO DELEGATO (UE) 2024/1774 DELLA COMMISSIONE del 13 marzo 2024 che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano gli strumenti, i metodi, i processi e
le politiche per la gestione dei rischi informatici e il quadro semplificato per la gestione dei rischi informatici