WEBINAR / 7 novembre
Finanza sostenibile e servizi di investimento: novità regolamentari


Indicazioni Consob, evoluzioni del contesto regolamentare UE e di revisione SFDR

ZOOM MEETING
Offerte per iscrizioni entro il 17/10


WEBINAR / 7 novembre
Finanza sostenibile e servizi di investimento: novità regolamentari - Indicazioni Consob, evoluzioni del contesto regolamentare UE e di revisione SFDR
www.dirittobancario.it
Flash News

ICT risk: nuova policy BCE

23 Febbraio 2024
Di cosa si parla in questo articolo

La BCE comunica, in data 21 febbraio 2024, di aver adottato una nuova policy per una maggiore competenza dei consigli di amministrazione delle banche in materia di ICT e rischi per la sicurezza (ICT risk).

In particolare, ricorda che le priorità di vigilanza dell’SSM per il 2024-26 stabiliscono che le banche devono affrontare i rischi legati alle tecnologie dell’informazione e della comunicazione (ICT), nonché alla sicurezza derivanti dalla digitalizzazione dei servizi bancari.

Ciò richiede, tra l’altro, che l’organo di gestione di una banca abbia una comprensione adeguata dell’evoluzione e della rilevanza di tali rischi, al fine di prendere decisioni adeguate e tempestive per gestirli.

Negli ultimi anni, tuttavia, l’attività di vigilanza ha individuato carenze nelle conoscenze e nelle competenze collettive degli organi di gestione delle banche sottoposte a vigilanza in materia di ICT e rischi per la sicurezza.

In questo contesto, la BCE e le autorità di vigilanza nazionali hanno collaborato allo sviluppo di una specifica policy per la valutazione delle conoscenze collettive dell’organo di gestione nel contesto delle valutazioni di idoneità e correttezza: contiene diverse aspettative di vigilanza, che sono anche incluse nella bozza della Guida della BCE sull’aggregazione efficace dei dati e sulla segnalazione dei rischi.

In sintesi, le aspettative chiave nell’ambito dell’ICT risk sono le seguenti:

  • i membri dell’organo di gestione e delle funzioni di controllo interno, compresi i responsabili della gestione del rischio, della compliance e dell’audit, devono avere una comprensione sufficiente dei rischi legati alle ITC e alla sicurezza, nonché dei dati e dei requisiti di reporting correlati
  • nel valutare l’idoneità collettiva dei membri dell’organo di gestione, occorre considerare le loro conoscenze, competenze ed esperienze in materia di ICT e rischi per la sicurezza: a tal fine, l’organo di gestione dovrebbe avere almeno un membro non esecutivo con conoscenze e competenze rilevanti e recenti in materia di ITC risk ; nel valutare il soddisfacimento di questa aspettativa da parte di una banca, la BCE adotterà un approccio basato sul rischio
  • tutti i membri dell’organo direttivo dovrebbero seguire una formazione regolare (almeno una volta all’anno) per garantire che i singoli membri possiedano conoscenze e competenze sufficientemente aggiornate da consentire loro di comprendere e valutare l’attività della banca e i suoi principali rischi ICT e di sicurezza: poiché anche la DORA conterrà un requisito simile per l’organizzazione di una formazione periodica, le banche sottoposte a vigilanza sono incoraggiate a prendere in considerazione l’organizzazione di tale formazione per i propri membri del consiglio di amministrazione già nel 2024.

La nuova policy si applicherà a partire dal 1° marzo 2024 e sottolinea l’importanza di solidi accordi di governance interna per le banche vigilate.

Di cosa si parla in questo articolo

WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10

Iscriviti alla nostra Newsletter