Home Articoli Il settore finanziario si prepari alla Digital Operational Resilience

Il settore finanziario si prepari alla Digital Operational Resilience

419
© virtosmedia, 123RF Free Images
billboard with clouds in the sky. 3d render illustration.

Il nuovo Regolamento è entrato in vigore il 17 gennaio u.s. e si applica dal 17 gennaio 2025.

Che cosa prevede?   Lo specifichiamo utilizzando le stesse parole della versione italiana (da notare che la traduzione di diverse parole non è pienamente condivisibile; ad esempio, “business continuity” è stata tradotta “continuità operativa”, che a parere di alcuni Enti è più limitativa).

Premessa:

<<Benché a livello dell’Unione e nazionale siano state adottate iniziative politiche e legislative mirate, i rischi informatici continuano a rappresentare una sfida per la resilienza operativa, le prestazioni e la stabilità del sistema finanziario dell’Unione.>>

(…)

<<Nella comunicazione del 8 marzo 2018 intitolata «Piano d’azione per le tecnologie finanziarie: per un settore finanziario europeo più competitivo e innovativo» la Commissione ha sottolineato la fondamentale importanza di una maggiore resilienza del settore finanziario dell’Unione, anche da un punto di vista operativo, allo scopo di garantirne il buon funzionamento e la sicurezza tecnologica nonché la rapida ripresa dopo incidenti e violazioni delle TIC (nella versione in inglese è “ICT”), consentendo in ultima analisi la fornitura efficace e ordinata dei servizi finanziari in tutta l’Unione, anche in situazioni di stress, preservando nel contempo la fiducia dei consumatori e degli operatori del mercato.>>

(…)

<<Inoltre, qualora non si richiedano test relativi alle TIC, le vulnerabilità non sono individuate ed espongono quindi un’entità finanziaria a rischi informatici e, in ultima analisi, creano un rischio più elevato per la stabilità e l’integrità del settore finanziario. Senza un intervento dell’Unione, i test in materia di resilienza operativa digitale continuerebbero a essere incoerenti e non disporrebbero di un sistema di riconoscimento reciproco dei risultati dei test informatici fra le diverse giurisdizioni. È inoltre improbabile che altri sottosettori finanziari adottino regimi di test su scala significativa; pertanto essi si lascerebbero sfuggire i potenziali benefici di un quadro in materia di test, in termini di individuazione di vulnerabilità e rischi informatici, e verifica delle capacità di difesa e della continuità operativa, che contribuisca ad aumentare la fiducia di clienti, fornitori e partner commerciali. Per porre rimedio a tali sovrapposizioni, divergenze e carenze è necessario stabilire norme per un regime coordinato di test e agevolare così il riconoscimento reciproco dei test avanzati per le entità finanziarie che soddisfino i criteri di cui al presente regolamento.>>.

(…)

<<La trasformazione digitale che interessa i servizi finanziari ha portato a un livello senza precedenti di utilizzo dei servizi TIC e di dipendenza da essi. Poiché è divenuto inconcepibile fornire servizi finanziari senza l’utilizzo di servizi di cloud computing, soluzioni software e servizi connessi ai dati, l’ecosistema finanziario dell’Unione è diventato intrinsecamente codipendente da taluni servizi TIC prestati dai fornitori di servizi TIC.>>

(…)

Quindi:

<< (106)  Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio(29), il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 10 maggio 2021(30),
HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
del 14 dicembre 2022  relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011>>

<<  Articolo 1
Oggetto
1.Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:
a)obblighi applicabili alle entità finanziarie in materia di:
i)gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
ii)segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
iii)segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
iv)test di resilienza operativa digitale;
v)condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
vi)misure relative alla solida gestione dei rischi informatici derivanti da terzi;
b)obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie;
c)norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;
d)norme sulla cooperazione tra autorità competenti e norme sulla vigilanza e l’applicazione da parte delle autorità competenti in relazione a tutte le materie trattate dal presente regolamento.>>.

Definizione:

<<resilienza operativa digitale»: la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza dei sistemi informatici e di rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni (nella versione in inglese è “disruption”);>>.

Conclusione:

<< Articolo 64
Entrata in vigore e applicazione
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Esso si applica a decorrere dal 17 gennaio 2025.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Strasburgo, il 14 dicembre 2022
Per il Parlamento europeo
La presidente
R. METSOLA
Per il Consiglio
Il presidente
M. BEK

>

 

Previous articleQuali informazioni ci hanno rubato?
Next articleNewsletter Feb. 2023