L'Autorità bancaria europea (EBA) ha ristretto la portata delle sue attuali linee guida sulle misure di gestione dei rischi ICT e di sicurezza, a causa dell'applicazione di requisiti armonizzati di gestione dei rischi ICT ai sensi del Digital Operational Resilience Act (DORA) a partire dal 17 gennaio 2025. Tali modifiche mirano a semplificare il quadro di gestione dei rischi ICT e a fornire chiarezza giuridica al mercato.
DORA ha introdotto requisiti armonizzati sulla gestione del rischio ICT che si applicano alle entità finanziarie nei settori bancario, titoli/mercati, assicurativo e pensionistico.
Per evitare duplicazioni di requisiti e per fornire chiarezza giuridica al mercato, l'EBA ha modificato le sue Linee guida sulla gestione dei rischi per la sicurezza e l'ICT. In particolare, l'EBA ha ridotto:
l'ambito di applicazione delle Linee guida solo a quelli coperti da DORA, vale a dire istituti di credito, istituti di pagamento, fornitori di servizi di informazione sui conti, istituti di pagamento esentati e istituti di moneta elettronica esentati; e
l'ambito di applicazione delle Linee guida ai requisiti relativi alla gestione delle relazioni degli utenti dei servizi di pagamento in relazione alla fornitura di servizi di pagamento.
È importante notare che i requisiti di sicurezza e gestione del rischio operativo ai sensi della direttiva sui servizi di pagamento (PSD2), applicabili da marzo 2018, continuano ad applicarsi ad altri tipi di fornitori di servizi di pagamento (PSP), come gli istituti di giroconto postale e le cooperative di credito, che non sono coperti da DORA. I PSP che sono ancora soggetti alla sicurezza e alla gestione del rischio operativo ai sensi della PSD2 possono potenzialmente essere soggetti a requisiti nazionali aggiuntivi, indipendentemente dall'esistenza delle linee guida EBA che si applicherebbero a loro. Le autorità competenti o i governi degli Stati membri che desiderano mantenere l'approccio stabilito nelle linee guida EBA per tali PSP possono continuare a farlo ai sensi del loro quadro giuridico nazionale o delle misure di vigilanza.
Contesto, base giuridica e prossimi passi
Il 27 novembre 2019, l' EBA ha pubblicato le Linee guida sulla gestione dei rischi ICT e per la sicurezza (EBA/GL/2019/04) ("Linee guida") che si basano sulle disposizioni dell'articolo 74 della direttiva 2013/36/UE (CRD) [1] e dell'articolo 95(3) della direttiva (UE) 2015/2366 (PSD2) [2] . Tali Linee guida stabiliscono requisiti per gli istituti di credito, le imprese di investimento e i PSP in materia di mitigazione e gestione dei loro rischi ICT e per la sicurezza e mirano a garantire un approccio coerente e solido in tutto il mercato unico. Le Linee guida sono entrate in vigore nel 2020 e hanno sostituito e abrogato le precedenti Linee guida sulle misure di sicurezza per i rischi operativi e per la sicurezza che l'EBA aveva emanato tre anni prima in adempimento di un mandato ai sensi della PSD2 (EBA GL/2017/17).
Dal 17 gennaio 2025, DORA applica e introduce, tra l'altro, requisiti armonizzati per il quadro di gestione dei rischi ICT (RMF), la segnalazione degli incidenti e la gestione e i test dei rischi di terze parti.
Le Linee guida modificate entreranno in vigore entro due mesi dalla pubblicazione delle versioni tradotte.
11 febbraio 2025
Fonte: eba.europa.eu
Comments