RTS e ITS sulla Segnalazione degli incidenti significativi

In questa sezione riportiamo il testo completo degli allegati tecnici di regolamentazione (RTS) e implementazione (ITS) sulla segnalazione di incidenti significativi, che completano l’impianto normativo di DORA.

Sono stati presentati dalle Autorità Europee di Vigilanza (ESAs) alla Commissione Europea nel Luglio 2024, come previsto dall’Articolo 20 di DORA e al momento sono nella versione finale del Report. La consultazione è chiusa ma il documento non è consolidato.

Ti invitiamo a confrontare e verificare il testo completo sul sito web dell’EBA.

Gli RTS e ITS sulla classificazione e segnalazione di incidenti significativi mirano a standardizzare e semplificare il regime di segnalazione degli incidenti TIC per le entità finanziarie in tutta l’UE.

Prevista dall’Articolo 20 di DORA, introduce limiti temporali per la segnalazione degli incidenti, in linea con la Direttiva (UE) 2022/2555 (NIS2) e adattati alle diverse dimensioni e tipologie di entità finanziarie. Inoltre, gli RTS e ITS delineano i tipi di informazioni da includere nelle notifiche e nei rapporti sugli incidenti, enfatizzando i campi dati essenziali, pur offrendo flessibilità per diversi tipi di incidenti e dimensioni delle entità.

Regulatory Technical Standards sulla segnalazione degli incidenti significativi

Articolo 1 – Disposizioni Generali

Articolo 2 – Informazioni generali per la notifica iniziale, i rapporti intermedi e finali degli incidenti rilevanti

Articolo 3 – Contenuto della notifica iniziale

Articolo 4 – Contenuto del report intermedio

Articolo 5 – Contenuto del report finale

Articolo 6 – Tempi limite per notifica iniziale, report intermedio e report finale

Articolo 7 – Contenuto della notifica volontaria per minacce cyber significative

Implementing Technical Standards sulla segnalazione degli incidenti significativi

Articolo 1 – Modulo standard per la segnalazione di incidenti significativi legati alle TIC

Articolo 2 – Invio congiunto di notifica iniziale, report intermedio e finale

Articolo 3 – Incidenti ricorrenti

Articolo 4 – Utilizzo di canali sicuri in caso di deviazione dai canali stabiliti o dai tempi limite

Articolo 5 – Riclassificazione degli incidenti significativi

Articolo 6 – Notifica dell’esternalizzazione degli obblighi di segnalazione

Articolo 7 – Report aggregati

Articolo 8 – Modulo standard per la segnalazione volontaria di notifiche di minacce informatiche significative