Visualizzazione post con etichetta DORA. Mostra tutti i post
Visualizzazione post con etichetta DORA. Mostra tutti i post

martedì 10 febbraio 2026

Circolare 285 di Banca d'Italia - 51° aggiornamento e DORA

Franco Vincenzo Ferrari mi ha segnalato questo post su LinkedIn con titolo "Circolare 285 – Cosa cambia con il 51° aggiornamento (DORA)": https://www.linkedin.com/posts/andreacrosilla_circolare285-bancaditalia-dora-activity-7425518749715394560-MUd0.

E' sintetico di suo, quindi io riduco al minimo il mio intervento:

- Banca d'Italia ha pubblicato il 51° aggiornamento della Circolare 285, allineando la disciplina nazionale al nuovo quadro europeo introdotto da DORA (Reg. UE 2022/2554 – Digital Operational Resilience Act): https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/index.html;

- le novità significative per chi si occupa di sicurezza delle informazioni sono al Titolo IV "Governo societario, controlli interni e gestione del rischio";

- il capitolo 3 è stato aggiornato per integrare i nuovi obblighi DORA;

- il capitolo 4 (Il Sistema Informativo) è stato significativamente aggiornato, eliminando molte parti in quanto coperte da DORA; ora fa riferimento esclusivo e integrale ai requisiti previsti da DORA e dai relativi RTS/ITS.

- le disposizioni sui servizi di pagamento si sono adeguate agli Orientamenti EBA 2025 (EBA/GL/2025/02) in materia di sicurezza ICT per i PSP.

Pubblicato da alle Nessun commento:
Etichette: ,

venerdì 29 agosto 2025

Specifiche per i VA-PT secondo DORA

Da un post su LinkedIn di Severiano Maria Moiso (che non conosco, ma ringrazio), inoltrato da Sergio Insalaco (che ugualmente non conosco, ma ugualmente ringrazio), segnalo che è stato pubblicato il Regolamento Delegato (UE) 2025/1190 sulle regole per i VA-PT secondo quanto previsto dal Regolamento DORA: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32025R1190.

Intanto una cosa interessante è che il Regolamento non usa il termine di "PT", ma "test di penetrazione guidati da minacce (threat-led penetration testing)" e usa la sigla "TLPT". La definizione si trova nel DORA: "un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)".

Il link al post di Sergio Insalaco: https://www.linkedin.com/feed/update/urn:li:activity:7341571875870773248/.

A mio parere è interessante leggere le regole stabilite per la selezione del fornitore di PT, sulla composizione dei tester, sui rischi da valutare, per il processo.

Pubblicato da alle Nessun commento:
Etichette: , ,

lunedì 17 marzo 2025

D.Lgs. 23/2025 di adeguamento a Dora

È stato pubblicato il D. Lgs. n. 23/2025, che adegua la normativa italiana al Regolamento DORA: https://www.normattiva.it/eli/id/2025/03/11/25G00032/ORIGINAL.

Segnalo l'articolo di Altalex per una (credo) buona sintesi: https://www.altalex.com/documents/2025/03/13/decreto-dora-g-u-autorita-competenti-poteri-vigilanza-sanzioni.

Pubblicato da alle Nessun commento:
Etichette:

martedì 25 febbraio 2025

Autovalutazione DORA

Dalla newsletter Project:IN Avvocati, segnalo che la Banca d'Italia, con una Comunicazione del 23 dicembre 2024, ha messo a disposizione un modello per l'autovalutazione rischi ICT ai sensi del Regolamento DORA: https://www.bancaditalia.it/media/notizia/istruzioni-operative-relative-alle-valutazioni-previste-dalla-comunicazione-al-mercato-in-materia-di-sicurezza-ict/.

Non sono assolutamente un esperto di DORA, ma penso sia utile saperlo.

Pubblicato da alle Nessun commento:
Etichette:
Iscriviti a: Post (Atom)