In data 17 luglio 2024, le tre Autorità europee di vigilanza (EBA, EIOPA ed ESMA – insieme, le ESA – European Supervisory Authorities) hanno reso nota la seconda serie di normative previste dal Digital Operational Resilience Act (DORA), composta da quattro progetti finali di norme tecniche di regolamentazione (RTS), un insieme di norme tecniche di attuazione (ITS) e due orientamenti. Tali misure sono volte a rafforzare la resilienza operativa digitale del settore finanziario dell’Unione Europea.
Questo pacchetto normativo pone particolare attenzione al quadro di segnalazione degli incidenti legati alle tecnologie dell’informazione e della comunicazione (ICT), garantendo maggiore chiarezza nelle segnalazioni e nei modelli, nonché ai test di penetrazione guidati dalla minaccia (TLPT). Inoltre, introduce specifici requisiti per la progettazione del quadro di sorveglianza, migliorando così la resilienza operativa digitale del settore finanziario dell’UE e assicurando la continua e ininterrotta fornitura di servizi finanziari ai clienti, oltre a garantire la sicurezza dei loro dati.
Le ESA hanno pubblicato i seguenti progetti finali di norme tecniche:
- RTS e ITS riguardanti il contenuto, il formato, i modelli e le tempistiche per la segnalazione degli incidenti ICT più gravi e delle minacce informatiche significative;
- RTS sull’armonizzazione delle condizioni che permettono lo svolgimento delle attività di sorveglianza;
- RTS che specificano i criteri per determinare la composizione del gruppo di esaminatori congiunto (Joint Examination Team, JET);
- RTS sui test di penetrazione guidati dalla minaccia (TLPT).
La serie di linee guida comprende:
- Linee guida sulla stima dei costi e delle perdite aggregate causati da gravi incidenti ICT;
- Linee guida sulla cooperazione in materia di sorveglianza.
Le linee guida sono state ufficialmente adottate dai Board of Supervisors delle tre Autorità europee di vigilanza (EBA, EIOPA ed ESMA). La bozza finale degli standard tecnici è stata presentata alla Commissione Europea, che ora avvierà il processo di revisione con l’obiettivo di adottare queste nuove politiche nei prossimi mesi. Gli ulteriori standard tecnici di regolamentazione (RTS) relativi al subappalto saranno pubblicati a tempo debito.