Nella Gazzetta Ufficiale UE serie L del 25 giugno 2024 sono stati pubblicati tre regolamenti delegati integrativi del Regolamento (UE) 2022/2554, cd. Digital Operational Resilience Act—DORA, il quale si ricorda è applicabile dal 17 gennaio 2025.

In particolare:

– il Regolamento delegato (UE) 2024/1772 specifica i criteri per la classificazione degli incidenti connessi alle TIC e delle minacce informatiche (es. clienti, controparti finanziarie e transazioni interessate dall’incidente; l’impatto reputazionale; durata e periodo di inattività del servizio; estensione geografica; perdita di dati; impatto economico; criticità dei servizi colpiti), le soglie di rilevanza e i dettagli delle segnalazioni di gravi incidenti (documento integrale);

– il Regolamento delegato (UE) 2024/1773 precisa il contenuto dettagliato della politica relativa agli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prestati da fornitori terzi di servizi TIC, la quale deve considerare, tra l’altro, il profilo di rischio complessivo dell’entità finanziaria, i meccanismi di governance, la valutazione dei rischi ex ante, i conflitti di interesse e il monitoraggio degli accordi contrattuali (documento integrale);

– il Regolamento delegato (UE) 2024/1774 che stabilisce gli elementi per elaborare e attuare le politiche, le procedure, i protocolli e gli strumenti di sicurezza delle TIC, nonché il quadro semplificato per la gestione dei rischi informatici (es. gestione dei rischi informatici, politica e procedura di gestione delle risorse TIC e politica in materia di cifratura e controlli crittografici (documento integrale).

I Regolamenti delegati sono in vigore dal 15 luglio 2024.