Banca d’Italia, Consob e IVASS hanno pubblicato l’aggiornamento della Guida Nazionale TIBER-IT per lo svolgimento dei test avanzati di cybersicurezza (TLPT), al fine di recepire le novità del Regolamento (UE) 2022/2554 (DORA).
DORA prevede infatti che alcune entità finanziare, identificate dalle competenti autorità secondo criteri quali-quantitativi, svolgano obbligatoriamente, con cadenza almeno triennale, test di tipo Threat-Led Penetration Testing (TLPT) sui propri sistemi ICT.
Il TIBER-IT aggiornato è lo strumento metodologico che consente lo svolgimento da parte delle entità finanziarie italiane dei test di tipo TLPT, sia di tipo obbligatorio ai sensi del regolamento DORA sia di tipo volontario.
Le entità finanziarie per le quali i TLPT sono obbligatori sono identificate dalle Autorità competenti secondo criteri quali-quantitativi definiti nel Regolamento Delegato (UE) 2025/1190 (RTS sui TLPT).
A livello nazionale, l’adeguamento a DORA è stato realizzato con il D. Lgs. 23/20259, che designa come Autorità competenti Banca d’Italia, Consob e IVASS per il rispetto degli obblighi posti dal regolamento a carico dei soggetti vigilati dalle stesse autorità; le attribuzioni riguardano anche lo svolgimento dei TLPT.
In relazione a quanto sopra, la Guida Nazionale TIBER-IT è stata integrata e aggiornata per tener conto:
- delle previsioni di DORA
- dell’RTS sui TLPT
- delle novità introdotte dalla nuova versione del framework TIBER-EU
- dalle richiamate disposizioni nazionali.
La Guida offre una metodologia e un modello operativo utilizzabili sia per i test di tipo volontario, sia per i TLPT obbligatori ai sensi di DORA, questi ultimi svolti dalle entità finanziarie identificate da Banca d’Italia, Consob e IVASS.
