31/12/2024
Banca d'Italia: Comunicazione in merito all'applicazione del Regolamento DORA
In data 30 dicembre 2024 la Banca d'Italia ha pubblicato una comunicazione per chiarire alcune previsioni del Regolamento (UE) 2022/2554 in materia di resilienza operativa digitale del settore finanziario (DORA). La comunicazione, che si rivolge agli intermediari vigilati rientrati nel perimetro di applicazione del Regolamento, riguarda la collocazione organizzativa della funzione di controllo relativa ai rischi ICT, la comunicazione di accordi contrattuali con controparti esterne, la segnalazione dei gravi incidenti ICT e delle minacce informatiche significative, i Threat-Led Penetration Test
Vai alla Comunicazione
In particolare, per quanto concerne il
collocamento della funzione di controllo dei rischi ICT (cfr. art. 6 del Regolamento DORA), gli intermediari destinatari potranno valutare se istituire o confermare un’autonoma funzione di controllo ICT, avente i requisiti delle funzioni aziendali di controllo di secondo livello, oppure attribuire i compiti della funzione di controllo ICT alla funzione di risk management e a quella di compliance, ove istituite, in relazione ai ruoli, alle responsabilità e alle competenze proprie delle due funzioni, oppure affidare lo svolgimento della funzione di controllo ICT alla struttura che svolge la funzione di risk management o a quella che svolge la funzione di compliance. Nei casi in cui le funzioni di risk management e di compliance siano affidate a un’unica struttura, anche la funzione di controllo ICT può essere affidata a quest’ultima.
Con riferimento alla comunicazione all’autorità competente di eventuali accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti (cfr. art. 28 Regolamento DORA), a partire dal 17 gennaio 2025, non devono ritenersi più applicabili i procedimenti amministrativi di divieto dell’esternalizzazione previsti dalla normativa secondaria della Banca d’Italia, ove aventi ad oggetto l’esternalizzazione di servizi ICT a supporto di FEI.
Per quanto riguarda la segnalazione dei gravi incidenti ICT e delle minacce informatiche significative (cfr. art. 19 Regolamento DORA), gli intermediari destinatari del Regolamento segnalano alla Banca d’Italia, utilizzando la piattaforma Infostat, gli incidenti ICT
attraverso la rilevazione denominata “DORA – Segnalazione gravi incidenti ICT (DORAI)”
e, su base volontaria, le minacce informatiche significative attraverso la rilevazione
denominata “DORA – Segnalazione minacce informatiche significative (DORAM)”, tenendo conto dell’atto adottato dalla Commissione europea il 23 ottobre 20241 che specifica il contenuto e le tempistiche per la segnalazione.
Infine, con riferimento ai test avanzati di penetrazione basati sulle minacce (Threat-Led Penetration Test) (cfr. art. 26 Regolamento DORA), gli intermediari identificati secondo i criteri definiti dall’apposito atto delegato in corso di adozione, sono tenuti ad effettuare test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test - TLPT) con cadenza almeno triennale, tali test rientrano tra gli strumenti utilizzati dalla Vigilanza, i cui esiti saranno incorporati nei processi di supervisione. Per quanto riguarda gli intermediari vigilati direttamente dalla Banca d’Italia, il processo di
identificazione di cui sopra è ancora in corso e una volta concluso si procederà ad informare i soggetti
interessati nonché a definire, successivamente, una pianificazione per l’esecuzione dei test.