DORA impone agli enti finanziari di gestire, classificare e segnalare i gravi incidenti connessi alle TIC alle autorità competenti, rispettando tempistiche e modelli armonizzati a livello europeo.
Gli Articoli da 17 a 23 di DORA definiscono il processo di gestione e segnalazione degli incidenti connessi alle TIC. Ogni ente finanziario deve istituire un processo per rilevare, gestire e notificare gli incidenti, registrando tutti gli eventi rilevanti e le minacce informatiche significative.
L'obiettivo è duplice: garantire una risposta tempestiva all'interno dell'ente e fornire alle autorità una visione armonizzata degli incidenti che interessano il sistema finanziario europeo.
Il Regolamento delegato (UE) 2024/1772 (RTS) stabilisce i criteri per classificare un incidente come grave. I sette criteri di rilevanza sono:
Un incidente è grave quando supera le soglie definite per una combinazione di tali criteri.
DORA prevede un processo di segnalazione in tre fasi, con termini precisi:
Il Regolamento (UE) 2025/301 stabilisce le norme tecniche di regolamentazione (RTS) e di attuazione (ITS) che definiscono il contenuto e i modelli standard per ciascuna fase della segnalazione.
I modelli specificano i campi obbligatori per la notifica iniziale, la relazione intermedia e la relazione finale, garantendo che le informazioni trasmesse siano coerenti e confrontabili tra tutti gli enti e in tutti gli Stati membri. Per il quadro completo delle norme consulti la pagina RTS e ITS.
Le segnalazioni sono indirizzate all'autorità competente designata per il settore dell'ente (per esempio, l'autorità di vigilanza bancaria, assicurativa o dei mercati finanziari del proprio Stato membro).
L'autorità competente trasmette le informazioni rilevanti, secondo i casi, alle Autorità europee di vigilanza, alla Banca centrale europea e ad altre autorità interessate. È inoltre previsto che l'ente informi i propri clienti quando l'incidente ha o può avere un impatto sui loro interessi finanziari.
Oltre all'obbligo di segnalazione degli incidenti gravi, DORA consente agli enti finanziari di notificare su base volontaria le gravi minacce informatiche quando le ritengono rilevanti per il sistema finanziario, gli utenti o i clienti.
Questa facoltà favorisce la condivisione tempestiva delle informazioni sulle minacce e rafforza la capacità collettiva di prevenzione, in coerenza con il pilastro di DORA dedicato alla condivisione delle informazioni.
Genera la relazione sull'incidente →
La gestione, la classificazione e la segnalazione dei gravi incidenti connessi alle TIC sono disciplinate dagli Articoli da 17 a 23 di DORA, completati dalle relative norme tecniche di regolamentazione e di attuazione.
Un incidente è grave quando supera le soglie definite dal Regolamento delegato (UE) 2024/1772 su una combinazione di sette criteri, tra cui clienti interessati, perdita di dati, durata, diffusione geografica e impatto economico.
La notifica iniziale deve essere trasmessa entro 4 ore dalla classificazione dell'incidente come grave e comunque entro 24 ore dalla scoperta dell'incidente.
La relazione intermedia va presentata entro 72 ore dalla notifica iniziale, mentre la relazione finale va trasmessa entro 1 mese, una volta completata l'analisi delle cause profonde dell'incidente.
Si utilizzano i modelli armonizzati definiti dal Regolamento (UE) 2025/301, che specifica il contenuto e i formati standard per la notifica iniziale, la relazione intermedia e la relazione finale.
Le segnalazioni vanno inviate all'autorità competente del settore dell'ente, che a sua volta trasmette le informazioni rilevanti alle Autorità europee di vigilanza, alla BCE e alle altre autorità interessate.
Questa pagina è un supporto professionale, non una consulenza legale. · Versione inglese