Tra gli standard tecnici di attuazione (RTS e ITS) del Regolamento (UE) 2022/2554 (DORA) posti in consultazione dalle Autorità di vigilanza europee (ESAs) vi sono i progetti comuni di norme tecniche di regolamentazione (RTS) relativi ai criteri per la classificazione degli incidenti legati alle tecnologie dell’informazione e della comunicazione (TIC), le soglie di rilevanza per gli incidenti gravi e le minacce informatiche significative.
Uno degli obiettivi del DORA è quello di armonizzare e semplificare il regime di segnalazione degli incidenti legati alle TIC per gli enti finanziari nell’Unione europea.
Gli RTS in consultazione sui criteri per la classificazione degli incidenti legati alle TIC, emanati in attuazione dell’articolo 18, paragrafo 3, del DORA, specifichino ulteriormente:
- i criteri di classificazione degli incidenti legati alle TIC o, se del caso, degli incidenti operativi o legati alla sicurezza dei pagamenti;
- le soglie di rilevanza per determinare gli incidenti gravi;
- i criteri e le soglie di rilevanza per determinare le minacce informatiche significative; e
- i criteri per le autorità competenti per valutare la rilevanza degli incidenti per le autorità competenti interessate in altri Stati membri e i dettagli degli incidenti da condividere con altre CA.
L’articolo 18, paragrafo 4, del DORA richiede inoltre che gli RTS siano proporzionati e che seguano gli standard, gli orientamenti e le specifiche pubblicati dalla European Union Agency for Cybersecurity (ENISA).
Gli RTS del Regolamento DORA in consultazione propongono quindi i criteri di classificazione degli incidenti e ne stabilisce le soglie di rilevanza.
Inoltre, gli RTS DORA in consultazione propongono criteri con incidenze diverse nella classificazione degli incidenti gravi, qualificando come primari i criteri connessi a:
- Clienti, controparti finanziarie e transazioni colpite,
- Perdite di dati,
- Servizi critici colpiti,
e secondari i criteri:
- Impatto sulla reputazione,
- Durata e tempi di inattività del servizio,
- Diffusione geografica,
- Impatto economico.
Gli RTS del Regolamento DORA in consultazione propongono inoltre di classificare come gravi gli incidenti ricorrenti accomunati dalla stessa apparente causa principale, natura e impatto, che singolarmente non sarebbe classificabili come gravi ma che cumulativamente soddisfano i criteri di classificazione.
In relazione alla classificazione delle minacce informatiche significative, il documento in consultazione propone un approccio basato sulla probabilità di concretizzazione della minaccia, sul fatto che la minaccia possa influire su funzioni critiche o importanti dell’entità finanziaria e sul fatto che possa soddisfare le condizioni per un incidente grave qualora si concretizzi.
Infine, le RTS DORA in consultazione propongono che la valutazione della rilevanza per le autorità competenti di altri Stati membri si basi sulla significatività dell’impatto nella rispettiva giurisdizione e che tutti i dettagli degli incidenti siano condivisi con le altre autorità competenti interessate.
