La gestione degli incidenti ICT nel contesto DORA

Il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale (DORA), che si applicherà a decorrere dal 17 gennaio 2025, richiede agli operatori finanziari di gestire adeguatamente gli incidenti informatici, al fine di mantenere il pieno controllo sui rischi ICT.

In particolare, è richiesto agli enti di definire ed attuare un processo di gestione che consenta primariamente di prevenire gli incidenti informatici, nonché di individuarli, gestirli e infine segnalarli alle Autorità competenti.

Oltre alle prescrizioni del DORA, gli operatori dovranno rispettare gli standard tecnici di attuazione di cui al Regolamento delegato (UE) 2024/1772, pubblicati in GU UE lo scorso 25 giugno, nonché gli standard e le linee guida definiti dalle ESAs, pubblicati il 17 luglio, relativi al contenuto delle segnalazioni degli incidenti gravi ITC e delle minacce significative, ai test di penetrazione guidati dalle minacce (TLPT) ed alla stima dei costi/perdite aggregati causati da incidenti gravi ICT.

Gli operatori dovranno quindi: (i)…