+

Hai domande? Scrivici!

I nostri professionisti sono pronti a risolvere i tuoi dubbi.
Scrivici, sarai ricontattato quanto prima!


DORA: Nuove Regole per la Segnalazione degli Incidenti Informatici nelle Entità Finanziarie: Il Regolamento Delegato (UE) 2024/1772

DORA: Nuove Regole per la Segnalazione degli Incidenti Informatici nelle Entità Finanziarie: Il Regolamento Delegato (UE) 2024/1772

Il Regolamento Delegato (UE) 2024/1772 della Commissione Europea, emanato il 13 marzo 2024 e pubblicato oggi nella Gazzetta Ufficiale dell’Unione Europea, integra il Regolamento (UE) 2022/2554, specificando i criteri per la classificazione degli incidenti informatici e delle minacce cibernetiche, stabilendo le soglie di rilevanza e i dettagli delle segnalazioni di incidenti gravi.

L’obiettivo del Regolamento (UE) 2022/2554 è armonizzare gli obblighi di segnalazione per gli incidenti informatici e operativi che coinvolgono enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti e istituti di moneta elettronica. Visti i diversi tipi di entità finanziarie coinvolte, il regolamento stabilisce criteri chiari e coerenti per identificare e segnalare incidenti gravi e minacce informatiche significative, rispettando le specificità dei servizi offerti da ciascuna entità.

I criteri di classificazione e le soglie di rilevanza sono progettati per riflettere le dimensioni, il profilo di rischio, la natura, la portata e la complessità dei servizi delle entità finanziarie. L’approccio adottato garantisce che le norme siano applicate uniformemente, senza imporre oneri sproporzionati alle entità più piccole. Per gli incidenti che coinvolgono un numero significativo di clienti, il regolamento stabilisce una soglia assoluta, mirata principalmente alle entità più grandi.

In continuità con i quadri di segnalazione precedenti al DORA, i criteri di classificazione e le soglie di rilevanza sono allineati con:

  • Gli orientamenti EBA sulla segnalazione degli incidenti gravi (Direttiva (UE) 2015/2366).
  • Gli orientamenti ESMA sulle informazioni periodiche e le modifiche sostanziali per i repertori di dati sulle negoziazioni.
  • Il quadro BCE/SSM per la segnalazione degli incidenti informatici.

Il regolamento include tutte le forme di transazione, inclusi pagamenti e scambi di strumenti finanziari, cripto-attività e merci, considerando tutte le transazioni rilevanti in termini monetari.

I criteri di classificazione “Servizi critici colpiti” e “Perdite di dati” sono definiti per rilevare intrusioni non autorizzate con potenziali gravi conseguenze, anche se gli impatti immediati non sono noti. L’estensione geografica dell’incidente si concentra sull’impatto transfrontaliero, mentre altri criteri coprono l’impatto all’interno di una singola giurisdizione, come stabilito nell’articolo 18 del DORA.

L’identificazione degli incidenti ICT gravi da segnalare si basa su una combinazione di criteri, con particolare attenzione alle definizioni di incidente ICT e grave incidente ICT. Le soglie di rilevanza considerano l’impatto sui servizi critici, il numero di clienti e controparti finanziarie coinvolte, e la rilevanza dell’incidente in altri Stati membri.

Infine, gli incidenti che colpiscono i servizi ICT, i sistemi informatici e di rete essenziali, o che comportano accessi dolosi non autorizzati, sono sempre considerati gravi e devono essere segnalati. Questi incidenti rappresentano seri rischi per l’entità finanziaria e possono avere ripercussioni significative su altre entità, richiedendo un’attenta e tempestiva segnalazione.

Documentazione

REGOLAMENTO DELEGATO (UE) 2024/1772 DELLA COMMISSIONE del 13 marzo 2024 che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano i criteri per la classificazione degli incidenti connessi alle TIC e delle minacce informatiche, stabiliscono le soglie di rilevanza e specificano i dettagli delle segnalazioni di gravi incidenti

Sede di Milano

Via Vincenzo Monti, 8 - 20123 Milano
(+39) 02 87186784

Uffici di Roma

Viale Angelico, 90 - 00195 Roma
(+39) 06 45665431

Recapiti Email