Panorama Assicurativo Ania

🇪🇺 Cyber risk, Prevenzione

NUOVI STANDARD TECNICI DELLA COMMISSIONE IN MATERIA DI “THREAT-LED PENETRATION TESTING” (TLPT), SECONDO LE NORME DORA

“COMMISSION DELEGATED REGULATION (EU) …/... supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria used for identifying financial entities required to perform threat-led penetration testing, the requirements and standards governing the use of internal testers, the requirements in relation to the scope, testing methodology and approach for each phase of the testing, results, closure and remediation stages and the type of supervisory and other relevant cooperation needed for the implementation of TLPT and for the facilitation of mutual recognition” (RTS SPECIFYING ELEMENTS RELATED TO THREAT LED PENETRATION TESTS UNDER DORA Article 26(11)) (RTS on TLPT) Reference number C(2025)885 - (Register of delegated and implementing acts)

EUROPEAN COMMISSION
https://ec.europa.eu/

EUROPEAN COMMISSION - Link al TESTO NORMATIVO


La Commissione europea ha recentemente adottato alcuni nuovi Standard Tecnici di Regolamentazione (RTS) a complemento delle attuali norme UE in materia di resilienza operativa digitale per il settore finanziario (Regolamento 2022/2554, “Digital Operational Resilience Act” - DORA),  con specifico riferimento  ai “Threat Led Penetration Testing” (TLPT)(1), nel più ampio contesto della prevenzione e del contenimento del rischio cyber

Come è noto, DORA punta a rafforzare la sicurezza informatica di entità finanziarie come banche, compagnie assicuratrici e imprese di investimento, e a consentire al settore finanziario europeo di mantenersi resiliente anche in caso di gravi criticità sul fronte operativo. Quanto all’attività di “Threat Led Penetration Testing” (TLPT), in particolare, essa implica “testare da una prospettiva realistica" in che modo le minacce cyber possano effettivamente avere un impatto sulle funzioni aziendali considerate particolarmente rilevanti (“critical functions”). Come base del TLPT vengono utilizzate informazioni aggiornate e pertinenti sulle minacce cyber; si definisce quindi, in consultazione con l'Autorità competente, uno scenario che integra tali minacce e si verifica se un'impresa risulta essere resiliente nei confronti di tali rischi cyber

L’approccio considera un'ampia gamma di sistemi, processi e personale e garantisce una valutazione veritiera dell’autentica capacità dell'impresa di rilevare e rispondere a cyber-attacchi sofisticati. 

_________________________

(1) Sullo stesso tema, si veda:
“EBA, EIOPA ED ESMA pubblicano la  seconda serie di standard tecnici e linee guida ai sensi del regolamento DORA”,
in Panorama Assicurativo n. 250, agosto 2024 (Sezione “UNIONE EUROPEA”)
https://www.panoramassicurativo.ania.it/newsletter/87836/articolo/88407