Gestione del rischio ICT: EBA modifica le proprie linee guida

Tempo di lettura stimato:2 Minuti, 51 Secondi

L’Autorità Bancaria Europea (EBA) ha pubblicato quest’oggi il Final Report on Guidelines amending Guidelines EBA/GL/2019/04 on ICT and Security Risk Management (premere qui per leggere). Questo aggiornamento si inserisce in un contesto normativo in continua evoluzione, armonizzando le disposizioni esistenti con il Digital Operational Resilience Act (DORA). Le nuove linee guida mirano a garantire un quadro normativo chiaro e coerente per la gestione dei rischi ICT nel settore finanziario.

L’importanza della resilienza operativa digitale

Con l’entrata in vigore di DORA a gennaio 2023, l’Unione Europea ha introdotto un approccio uniforme alla resilienza digitale. Questo regolamento obbliga le istituzioni finanziarie a rafforzare la propria sicurezza informatica attraverso misure stringenti di governance, gestione del rischio e monitoraggio delle minacce.

Le nuove linee guida EBA si adattano a questo scenario, ridefinendo il perimetro di applicazione delle precedenti direttive e allineando gli obblighi normativi per evitare duplicazioni e incoerenze.

Principali novità

L’aggiornamento normativo introduce tre aree di intervento fondamentali:

Ridefinizione dell’ambito di applicazione
Le linee guida precedenti (EBA/GL/2019/04) sono state in parte abrogate, mantenendo la regolamentazione solo per la gestione della relazione con gli utenti dei servizi di pagamento. Questo ridimensionamento è stato necessario per evitare sovrapposizioni con DORA e garantire maggiore chiarezza normativa.
Adattamento alle disposizioni di DORA
La maggior parte dei requisiti in materia di gestione del rischio ICT ora rientra sotto la disciplina di DORA. Tuttavia, alcune tipologie di fornitori di servizi di pagamento (PSP), come gli istituti postali di giro, rimangono fuori dall’ambito di applicazione di DORA, rendendo necessario il mantenimento delle linee guida EBA per questi soggetti.
Maggiore chiarezza per le autorità di vigilanza
Le nuove linee guida eliminano parti ormai obsolete e conferiscono alle autorità nazionali la flessibilità di applicare requisiti ICT aggiuntivi ai PSP non coperti da DORA.

Implicazioni per il settore finanziario

Le nuove disposizioni avranno un impatto significativo su banche, istituti di pagamento e altri operatori finanziari. In particolare:

le istituzioni finanziarie devono adeguarsi ai requisiti di DORA, rivedendo le proprie strategie di sicurezza ICT e implementando misure di controllo più rigorose;
i fornitori di servizi di pagamento non coperti da DORA dovranno continuare a rispettare le linee guida EBA, con particolare attenzione alla gestione della relazione con gli utenti;
le autorità di vigilanza avranno un ruolo chiave nel monitorare l’adeguamento delle istituzioni e nell’applicare eventuali normative aggiuntive a livello nazionale.

Prospettive future e prossimi passi

Le linee guida EBA aggiornate entreranno in vigore entro due mesi dalla pubblicazione nelle lingue ufficiali dell’Unione Europea. Le autorità competenti dovranno notificare all’EBA la loro conformità entro il termine stabilito, pena il rischio di essere considerate non conformi.

L’armonizzazione tra DORA e le linee guida EBA rappresenta quindi un passo cruciale per il rafforzamento della sicurezza digitale nel settore finanziario europeo, e le istituzioni dovranno affrontare sfide significative per implementare i nuovi standard senza compromettere l’efficienza operativa.

Possiamo allora dire che l’aggiornamento delle linee guida EBA segna una svolta nella regolamentazione della sicurezza ICT nel settore finanziario. L’integrazione con DORA semplifica il quadro normativo, riducendo ridondanze e garantendo maggiore certezza giuridica per gli operatori.

Le istituzioni finanziarie devono ora concentrarsi sull’adeguamento ai nuovi standard, adottando un approccio proattivo alla gestione del rischio ICT. L’evoluzione normativa impone un cambio di paradigma: la resilienza digitale non è più un’opzione, ma un imperativo strategico per garantire la continuità operativa e la protezione degli utenti.

Bio
Ultimi Post

Anna Esposito

⚖️ Diritto commerciale e bancario a Studio Legale Nappi

*Avvocato, PhD in Diritto Commerciale e dell'Economia

Ultimi post di Anna Esposito (vedi tutti)

La risoluzione del concordato preventivo per inadempimento e il ruolo della contestazione del Credito - 24 Febbraio 2025
Sicurezza informatica e settore finanziario: l’Analisi ENISA sulle minacce emergenti - 24 Febbraio 2025
Gestione del rischio ICT: EBA modifica le proprie linee guida - 11 Febbraio 2025
La qualificazione giuridica e la tutela del materiale preparatorio di un software - 23 Gennaio 2025
Sulla legittimità del sequestro probatorio di criptovaluta - 16 Gennaio 2025

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.