Orientamenti congiunti ESAs sulla stima dei costi e delle perdite annuali aggregati causati da gravi incidenti ICT
L’art. 11(10) DORA prevede che le entità finanziarie comunichino alle autorità competenti una stima dei costi e delle perdite annuali aggregati causati da incidenti gravi ICT. Gli orientamenti decorrono dal 19 maggio 2025.
Commissione UE: Primo pacchetto Omnibus
Facendo seguito alle raccomandazioni del Rapporto Draghi, la Commissione Europea ha pubblicato il primo pacchetto di semplificazioni normative.
Le misure interessano la Corporate Sustainability Reporting Directive (CSRD), la Corporate Sustainability Due Diligence Directive (CSDDD) e la Tassonomia.
Più in dettaglio, viene ridotto l’ambito della CSRD, che si focalizzerà soltanto sulle grandi imprese che, presumibilmente, hanno un maggiore impatto sulle questioni ambientali e sociali, viene inoltre posticipato al 2028 l’obbligo di conformarsi alla CSRD per quelle imprese che avrebbero dovuto procedere nel biennio 2026-2027. Vengono inoltre allineati gli ambiti di applicazione del reporting relativo alla Tassonomia e alla CSDDD e, da ultimo, anche per quest’ultima la scadenza per le grandi imprese viene spostata a giugno 2028.
Modifiche alle direttive (UE) 2022/2464 e 2064/1760
Modifiche alle direttive (UE) 2006/43/EC; 2013/34/EU; 2022/2464; 2024/1760
Regolamento delegato (UE) 2025/301 e Regolamento di esecuzione (UE) 2025/302
I due provvedimenti attuano l'art. 20 del Regolamento (UE) 2022/2554 e definiscono le procedure, i modelli e le modalità di segnalazione alla Covip degli incidenti informatici gravi e delle minacce informatiche significative. Tali comunicazioni prevedono una notifica iniziale, una relazione intermedia e una relazione finale.
La classificazione degli incidenti informatici come gravi e delle minacce informatiche come significative viene fatta secondo i criteri stabiliti all'art. 18(1)(2) del Regolamento (UE) 2022/2554, così come precisati nel Regolamento delegato (UE) 2024/1772.
In allegato alla Circolare Covip 1154/25 del 27 febbraio sono forniti i file excel da utilizzare per la segnalazione e le modalità di trasmissione.
Regolamento delegato (UE) 2025/301
Regolamento delegato (UE) 2025/295
L'atto delegato definisce le informazioni che il fornitore di servizi ICT non considerato critico ex art. 31(1)(a) del Regolamento (UE) 2022/2554 deve riportare nella domanda di designazione volontaria a fornitore critico ex art. 31(1)(a) all'autorità di sorveglianza capofila (EIOPA, EBA o ESMA).
Il regolamento definisce inoltre le informazioni che il fornitore critico ex art. 31(1)(a) del Regolamento (UE) 2022/2554 dovrà fornire all'autorità di sorveglianza capofila e il follow up alle raccomandazioni formulate da quest'ultima al fornitore critico ex art. 31(1)(a) del Regolamento (UE) 2022/2554.
Commissione Europea: regolamento sui test guidati da minaccia (TLPT)
La Commissione Europea ha adottato il regolamento sullo svolgimento dei test di penetrazione guidati da minaccia ex art. 26 del Regolamento (UE) 2022/2554. Spetterà all’autorità di vigilanza dei TLPT l’individuazione delle entità finanziarie soggette alla prova, sulla base del ruolo ricoperto dall’entità nel settore, del suo profilo sistemico e di rischio. Il regolamento elenca alcune entità chiamate a svolgere la prova, salvo previsione contraria dell’autorità TLPT, adottata sulla base dei criteri poc’anzi richiamati; tra di essi non rientrano gli IORPs.
Il testo è ora soggetto alla procedura di non obiezione da parte del Consiglio e del Parlamento UE, al termine del trimestre il provvedimento sarà approvato.