GERMANIA: BAFIN PUBBLICA ISTRUZIONI ATTUATIVE RELATIVAMENTE ALLE NORME DORA
“BaFin veröffentlicht Umsetzungshinweise zu DORA” (WEBPAGE di presentazione, 08.07.2024) “Aufsichtsmitteilung Umsetzungshinweise DORA” - Aufsichtsmitteilung Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement (Fassung vom Juli 2024, 08.07.2024) “Mindestvertragsinhalte DORA” (Fassung vom Juni 2024)
BAFIN – BUNDESANSTALT FÜR FINANZDIENSTLEISTUNGSAUFSICHT
http://www.bafin.de
BAFIN – WEBPAGE di presentazione dedicata al tema
BAFIN – “Aufsichtsmitteilung Umsetzungshinweise DORA”
BAFIN – “Mindestvertragsinhalte DORA”
L’Autorità di vigilanza tedesca sui servizi finanziari (BAFIN) ha recentemente pubblicato materiale informativo/di supporto relativamente all’obbligo – a carico della maggior parte delle imprese del settore bancario e assicurativo vigilate – di applicare il framework di gestione dei rischi previsto dalla normativa sulla resilienza operativa digitale (DORA - Digital Operation Resilience Act). A partire dal 17 gennaio 2025, indica la Vigilanza tedesca, sarà necessario gestire i rischi legati alle tecnologie dell'informazione e della comunicazione in conformità con i requisiti DORA.
Quanto pubblicato da BAFIN, in particolare, è basato sui risultati dell’attività svolta in precedenza da sei gruppi di lavoro (istituiti dall’Autorità nel 2023, cui hanno contribuito rappresentanti dell'industria, della Deutsche Bundesbank e della stessa BAFIN). Con l’emanazione di DORA, l'Unione Europea ha introdotto un Regolamento europeo intersettoriale sui temi della resilienza operativa digitale, dei rischi ICT e della cybersecurity e molti requisiti di tale Regolamento coincidono con i contenuti delle Circolari BAFIN che hanno finora regolato la materia. L’Autorità intende pertanto abrogare tali Circolari.
L'utilizzo del materiale pubblicato (istruzioni attuative) non è vincolante; nell’intento della Vigilanza, ha solo lo scopo di supportare le aziende nell'implementazione dei requisiti DORA nella regolare gestione del rischio ICT (anche di terze parti). Le istruzioni attuative contengono, inoltre, una panoramica dei contenuti contrattuali minimi che le imprese vigilate devono concordare con i fornitori terzi di servizi ICT.
Sullo stesso tema, si veda anche il recente articolo di approfondimento, sempre pubblicato sul sito BAFIN:
“Von Altbewährtem lösen - Die Finanzaufsicht BaFin unterstützt Unternehmen auf ihrem Weg zu DORA. Eine Aufsichtsmitteilung stellt die Unterschiede zu aktuellen Regelungen zusammen”
(BAFIN Journal) 08.07.2024
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2024/fa_bj_0708_Interview_Kosche_Steinbrecher.html?nn=19659504