Panorama Assicurativo Ania

🌎 Cyber risk

DAL CYBER EXPERT GROUP DEL G7 LA PROPOSTA PER UNA CLASSIFICAZIONE COMUNE DEGLI INCIDENTI CYBER

“A G-7 CEG’s Occasional Paper: “Proposal for a common categorisation of IT incidents”” “Proposal for a common categorisation of IT incidents” (Occasional paper, 6 April 2021)


ACPR - AUTORITÉ DE CONTRÔLE PRUDENTIEL ET DE RÉSOLUTION
https://acpr.banque-france.fr/


ACPR – Link alla WEBPAGE DI PRESENTAZIONE

ACPR – Link al PAPER


ACPR, Autorità di vigilanza prudenziale in Francia, è membro del G-7 Cyber ​​Expert Group (CEG), che riunisce le Autorità del settore finanziario dei Paesi del G-7. Con il supporto di altre nove Autorità, che rappresentano altre cinque giurisdizioni del G-7, ACPR ha sviluppato una proposta per la classificazione comune degli incidenti informatici. L'adozione di una classificazione comune da parte delle Autorità finanziarie dei diversi Paesi mira a facilitare la comprensione degli incidenti, la condivisione delle informazioni e la gestione delle crisi a livello internazionale.

Lo scopo della proposta, dunque, è promuovere l'armonizzazione delle varie segnalazioni di incidenti che le Autorità richiedono agli istituti finanziari, definendo principi coerenti e sviluppando una tassonomia comune. Le Autorità partecipanti all’iniziativa hanno tenuto conto nella proposta delle osservazioni formulate dai rappresentanti dei rispettivi settori finanziari di competenza. La proposta è rivolta alle Autorità di regolamentazione o agli organismi di normazione. Non intende, tuttavia, sostituire i quadri di riferimento esistenti, adattati alle missioni specifiche delle Autorità nazionali.

In primo luogo, la proposta stabilisce sei principi chiave come base per una segnalazione efficace degli incidenti. Tali principi mirano a facilitare la raccolta di informazioni, tenendo conto di tutti gli incidenti IT indipendentemente dalla loro natura e non obbligando le istituzioni finanziarie segnalanti a modificare la loro valutazione dell'incidente così come lo percepiscono. Consentono di considerare gli incidenti nelle diverse fasi di avanzamento. I principi incoraggiano anche l'adozione di tassonomie solide per evitare segnalazioni troppo specifiche, che ostacolerebbero i confronti.

In secondo luogo, la proposta di categorizzazione comune identifica quattro assi importanti per la costruzione di una relazione sull'incidente. Tale approccio multidimensionale combina tassonomie degli incidenti, dei loro vari impatti sui sistemi IT e sulle attività interessate dall'incidente e, infine, i criteri per la valutazione della gravità dell’evento.