EBA, EIOPA, ESMA (JOINT COMMITTEE): DUE NUOVI “JOINT ADVICE” SU ICT E CYBERSECURITY
“ESAs publish Joint Advice on Information and Communication Technology risk management and cybersecurity” (EIOPA News, 10.04.2019) “JOINT ADVICE on the need for legislative improvements relating to INFORMATION AND COMMUNICATION TECHNOLOGY (ICT) risk management requirements in the European Union (EU) financial sector” (JC 2019 26) “JOINT ADVICE on the costs and benefits of a coherent CYBER RESILIENCE TESTING FRAMEWORK for significant market participants and infrastructures within the EU financial sector” (JC 2019 25) --
ESA – EUROPEAN SUPERVISORY AUTHORITIES (JOINT COMMITTEE)
https://esas-joint-committee.europa.eu/
EIOPA – EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY
https://eiopa.europa.eu/
EIOPA Link alla NEWS (10.04.2019)
EIOPA Link al JOINT ADVICE (JC 2019 26 - 10.04.2019)
EIOPA Link al JOINT ADVICE (JC 2019 25 - 10.04.2019)
Il Comitato congiunto delle Autorità europee di vigilanza finanziaria (EBA, EIOPA ed ESMA) ha recentemente pubblicato due documenti (Joint Advice) in risposta alle richieste avanzate dalla Commissione europea con il FinTech Action Plan (marzo 2018)(1). Nello specifico, si tratta di:
- parere congiunto sulla necessità di miglioramenti normativi sui requisiti di risk management nell’ambito delle tecnologie dell'informazione e della comunicazione (ICT), applicabili al settore finanziario dell'Unione europea (JC 2019 26);
- parere congiunto su costi/benefici di un quadro coerente di test sulla resilienza informatica, con riguardo a ai maggiori operatori del mercato e alle infrastrutture nell’ambito del settore finanziario UE (JC 2019 25).
JOINT ADVICE - ICT risk management requirements (JC 2019 26)
Ogni operatore del mercato (relevant entity) dovrebbe essere soggetto a chiari requisiti generali sulla governance in materia di Information/CommunicationTechnology (ICT) - compresi gli aspetti legati alle sicurezza informatica -, al fine di garantire la sicurezza dei servizi forniti.
Le proposte presentate nel parere mirano a promuovere maggiore resilienza operativa e armonizzazione nel settore finanziario europeo, mediante modifiche alle normative settoriali. La segnalazione di eventuali “incidenti”/criticità è molto rilevante per la gestione del rischio ICT e consente alle relevant entities/alle Autorità competenti di monitorare, analizzare e reagire nei confronti degli “ICT incidents” (siano essi di natura operativa, legati alla sicurezza o alle frodi).
Le Autorità invitano a semplificare il quadro di segnalazione degli “ICT incidents” e suggeriscono di identificare soluzioni normative per un quadro di vigilanza in grado di monitorare adeguatamente le attività dei third party service providers.
JOINT ADVICE - costs and benefits of a coherent CYBER RESILIENCE TESTING FRAMEWORK (JC 2019 25)
Le ESA sottolineano i vantaggi connessi a un quadro coerente di test sulla resilienza informatica (esistono oggi differenze significative in merito al livello di maturità della cybersecurity).
Pertanto, le Autorità consigliano di concentrarsi, nel breve termine, sul raggiungimento di un livello minimo di cyber resilience nei vari settori della finanza, proporzionalmente alle esigenze e alle caratteristiche degli operatori del mercato. Propongono inoltre di istituire, su base volontaria, un “coherent testing framework” europeo, in collaborazione con altre Autorità, che tenga conto delle iniziative esistenti.
Nel lungo termine, invece, le ESA mirano a garantire un sufficiente livello di maturità informatica degli operatori cross-border.
Per la realizzazione di quanto proposto, le Autorità europee di vigilanza evidenziano la necessità di opportune basi giuridiche e di un mandato esplicito.
_________________________________________
(1) Si veda, al riguardo: “La Commissione UE pubblica il “FinTech Action Plan”, per una finanza più competitiva e innovativa”, in Panorama Assicurativo n. 174, aprile 2018 (Sezione “UNIONE EUROPEA”).
http://www.panoramassicurativo.ania.it/admin/plugin/panorama/view.html?id=39548&est=1