L’Eurosistema ha aggiornato la strategia di resilienza cibernetica per le infrastrutture dei mercati finanziari, adottata nel 2017 con l’obiettivo di fornire al sistema finanziario un approccio coerente per affrontare il rischio informatico. La strategia di resilienza cibernetica dell’Eurosistema, annunciata il 18 ottobre scorso, è stata aggiornata alla luce dell’evoluzione del panorama delle minacce cibernetiche, delle accresciute interdipendenze e dell’entrata in vigore del regolamento europeo Dora, prevista per gennaio 2025 allo scopo di irrobustire e armonizzare le regole in materia di resilienza operativa digitale nel settore.
Nuovi ambiti di applicazione
La nuova strategia di resilienza cibernetica dell’Eurosistema si applicherà a nuovi soggetti, oltre che alle infrastrutture finanziarie e ai sistemi di pagamento. Si tratta degli operatori che ricadono sotto la supervisione dell’Eurosistema per gli strumenti, i servizi e gli schemi di pagamento elettronici (Pisa).
Viene inoltre introdotta una componente “globale”, nell’ottica di agevolare il monitoraggio dettagliato e il miglioramento continuo. “Ciò ci aiuterà a monitorare i progressi, implementare la strategia in modo armonizzato in tutte le giurisdizioni e consentire aggiustamenti per garantire che la strategia continui a essere efficace”, si legge nel documento.
Nuovi strumenti
La strategia aggiornata a ottobre mette inoltre in campo nuovi strumenti con l’obiettivo di aumentare la resilienza informatica delle entità. I nuovi strumenti permetteranno inoltre alle autorità di vigilanza di:
- valutare la resilienza informatica delle entità in linea con la cyber guidance del Cpmi-Iosco: le aspettative di supervisione della resilienza informatica dell’Eurosistema (Croe);
- avere una visione generale e tempestiva del livello di maturità di tali entità in termini di resilienza informatica: la Cyber resilience survey;
- testare la resilienza informatica delle entità secondo un quadro che richiede un livello sufficiente di sicurezza e qualità nella gestione del test: il quadro Tiber-Eu.
È infine previsto il Cyber resilience stress testing, per valutare l’efficacia delle singole entità nel ripristinare e riprendere le operazioni aziendali in caso di attacco informatico andato a buon fine.
