A cura di Fabrizio Cascinelli, Francesco Della Scala, Domenica Esposito
In data 19 giugno 2023, le Autorità di Vigilanza europee (EBA, ESMA, EIOPA, nel complesso le cd. “ESAs”) hanno avviato una consultazione pubblica volta all’elaborazione di un primo set di norme tecniche ai sensi del Regolamento DORA (Regolamento (UE) 2022/2554, Digital Operational Resilience Act).
Il Regolamento DORA, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea del 27 dicembre 2022 e applicabile dal 17 gennaio 2025, istituisce un quadro normativo europeo sulla resilienza operativa digitale nel settore finanziario al fine di garantire la sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie regolamentate.
Alle ESAs è conferito il mandato di sviluppare i progetti delle norme tecniche di regolamentazione (RTS – Regulatory Technical Standard) e di attuazione (ITS – Implementing Technical Standard) che specificheranno determinati aspetti della materia; le norme tecniche saranno successivamente adottate dalla Commissione europea mediante atti delegati e di esecuzione.
Nello specifico, il Regolamento DORA prevede che un primo set di norme tecniche sia sottoposto alla Commissione europea entro il 17 gennaio 2024 e che un secondo gruppo di norme tecniche sia presentato all’Autorità entro il 17 luglio 2024.
Pertanto, le bozze di norme tecniche pubblicate dalle ESAs il 19 giugno 2023 rappresentano il primo set di norme tecniche da sviluppare e riguardano, nel dettaglio:
- RTS sul quadro di gestione del rischio ICT (ai sensi degli articoli 15 e 16(3), DORA);
- RTS sui criteri per la classificazione degli incidenti legati alle TIC (ai sensi dell’art. 18, DORA);
- ITS per stabilire i modelli per il registro delle informazioni (ai sensi dell’art. 28(9), DORA);
- RTS per specificare la politica sui servizi ICT forniti da fornitori terzi di ICT (ai sensi dell’art. 28(10), DORA).
A supporto, le ESAs hanno pubblicato anche una “Introductory Note” esplicativa dei contenuti e delle tempistiche previste per l’emanazione delle norme; dal documento si evince che le ESAs avvieranno la consultazione pubblica relativa al secondo set di norme tecniche a fine anno, tra novembre e dicembre 2023.
È possibile partecipare alla presente consultazione entro l’11 settembre 2023.
Consultation paper on draft RTSs ICT risk management tools methods processes and policies
Consultation paper on draft RTS on classification of ICT incidents
Consultation paper on draft ITS on register of information
Consultation paper on draft RTS on policy on the use of ICT services regarding CI functions
Let’s Talk
PwC TLS Avvocati e Commercialisti
Partner