CYBER NEWS Numero 1 Feb 2023
CYBER NEWS Numero 1 Feb 2023
N. 1 – febbraio 2023
Editoriale
Cari colleghi, care colleghe,
Per fronteggiare questi rischi, per loro natura globali e interconnessi, si sono moltiplicate
le azioni per migliorare la resilienza dei singoli operatori e del settore finanziario nel suo
complesso, nelle sedi di cooperazione internazionale, a livello europeo e nazionale, anche
attraverso l’emanazione - in un quadro composito - di nuovi principi, regole e standard.
Su impulso del Comitato per la sicurezza cibernetica della Banca d’Italia, ai cui lavori
partecipa anche l’IVASS, è stata realizzata questa nuova newsletter, intitolata CYBER NEWS,
Newsletter normativa in materia di sicurezza cibernetica del settore finanziario, per offrire ai
colleghi della Banca e dell’IVASS impegnati sul tema della cybersicurezza uno strumento
informativo e di aggiornamento sulle principali novità di policy e normative, adottate ai vari
livelli.
Sperando di aver messo a disposizione uno strumento agile e utile al nostro lavoro per
migliorare la resilienza dell’intero sistema finanziario, io e i colleghi che collaborano a CYBER
NEWS1 vi auguriamo una buona lettura.
¹ Segreteria del Comitato presso il Servizio SMP, con il supporto dei Referenti del Comitato incaricati
presso i Dipartimenti partecipanti al Comitato e presso l’IVASS e della Divisione Editoria e stampa del
Servizio Comunicazione.
Sommario
DAL MONDO • Consultazione dell’FSB sul raggiungimento di una maggiore convergenza nella
segnalazione degli incidenti informatici
• G7 Fundamental elements in materia di gestione dei rischi cyber delle terze parti e
resilienza al ransomware - Aggiornamenti
• Nuova versione dello standard ISO/IEC 27001 relativo ai sistemi di gestione della
sicurezza delle informazioni
• EIOPA - Dichiarazioni sui rischi derivanti da eventi sistemici e sulla gestione delle
esposizioni cyber
MONDO
Il documento è stato redatto da un gruppo di lavoro guidato dalla Banca d’Italia (dott. Siani)
con rappresentanti dei Dipartimenti Vigilanza bancaria e finanziaria e Mercati e sistemi di
pagamento.
Comunicato stampa
G7 Fundamental elements in materia di gestione dei rischi cyber delle terze parti e
resilienza al ransomware - Aggiornamenti
Ottobre 2022
a) l’aggiornamento dei G7 Fundamental elements for third party cyber risk management in the
financial sector, che muove dal crescente ricorso all’esternalizzazione di servizi ICT e dalle
nuove forme di rischio cyber connesse con la catena di fornitura (ICT supply chain). Agli
operatori e alle autorità finanziarie si raccomanda di monitorare nel continuo i rapporti con
le terze parti, effettuare un coordinamento cross-settoriale, identificare i fornitori critici e
mitigare i rischi connessi con la dipendenza da singoli fornitori;
b) i G7 Fundamental elements of ransomware resilience for the financial sector, che contengono
raccomandazioni indirizzate alle entità finanziarie sia pubbliche che private volte ad affrontare
la crescente minaccia di attacchi con una richiesta di riscatto (ransomware), identificando le
misure minime da adottare a fini sia di prevenzione (ad es. monitoraggio, apprendimento
continuo, condivisione delle informazioni) sia di mitigazione degli impatti di eventuali attacchi
(ad es. risposta e recovery).
Testo G7 Fundamental elements for third party cyber risk management in the financial sector
Nuova versione dello standard ISO/IEC 27001 relativo ai sistemi di gestione della
sicurezza delle informazioni
Ottobre 2022
La nuova versione dello standard ISO/IEC 27001:2022 Information security, cybersecurity and
privacy protection - Information security management systems - Requirements aggiorna quella
emanata quasi dieci anni fa. Lo standard è ampiamente utilizzato nel settore finanziario per
definire il sistema interno di gestione della sicurezza delle informazioni ed è anche spesso
preso in considerazione dalle Autorità finanziarie per la redazione di linee guida, regolamenti,
etc. Tra le maggiori novità figura l’introduzione di controlli specifici per: (i) la gestione dei
cambiamenti, (ii) l’analisi delle minacce, (iii) l’uso dei servizi cloud.
Le società già certificate rispetto alla versione precedente dello standard dovranno
aggiornarsi alla nuova entro il 2025.
Sito ISO
EUROPA
a) il regolamento (UE) 2022/2554, c.d. Digital Operational Resilience Act (DORA), parte del
Digital Financial Package; esso promuove la resilienza operativa digitale e la sicurezza del
settore finanziario;
b) la direttiva (UE) n. 2022/2555, relativa alle misure per un livello comune elevato di
cibersicurezza nell’Unione (c.d. NIS2), aggiorna la precedente direttiva NIS in ragione della
rapida trasformazione digitale e dell’interconnessione della società. Per le entità finanziare
qualificate come essenziali o importanti e incluse nel perimetro della NIS2 saranno comunque
applicati i requisiti previsti in DORA, che rappresenta una lex specialis;
c) la direttiva (UE) n. 2022/2257, c.d. CER, sulla resilienza dei soggetti critici, volta ad
armonizzare la definizione di soggetti critici e a promuovere l’adozione di strategie di
resilienza ibrida (hybrid resilience) da parte degli Stati Membri.
I tre atti sono stati pubblicati nella GUUE a dicembre. DORA sarà direttamente applicabile 24
mesi dopo la pubblicazione (gennaio 2025), mentre le direttive NIS2 e CER dovranno essere
recepite dagli Stati Membri entro i successivi 21 mesi (ottobre 2024).
EIOPA - Dichiarazioni sui rischi derivanti da eventi sistemici e sulla gestione delle
esposizioni cyber
Settembre 2022
A causa del recente aumento di eventi sistemici come la pandemia o l’incremento degli
attacchi informatici, le forme di assicurazione contro tale tipo di eventi rischiano in futuro
di non essere più accessibili così come sono state pensate originariamente. Le compagnie
assicuratrici potrebbero introdurre specifiche clausole o condizioni contrattuali volte a
escludere eventi o fattispecie particolari. Potrebbero conseguirne lacune sotto il profilo della
protezione del consumatore, con impatti economici e sociali.
Per tale ragione, EIOPA ha pubblicato due dichiarazioni volte a definire l’oggetto dei contratti
di assicurazione relativamente alla copertura da rischi legati ad attacchi cyber ed eventi
sistemici:
a) una dichiarazione di vigilanza sulla gestione delle esposizioni cyber non affermative nei
prodotti assicurativi (cioè in cui la copertura del rischio non è né esplicitamente inclusa né
esclusa dalla polizza), con cui si raccomanda alle Autorità nazionali competenti di prestare
attenzione alla modalità con cui le imprese di assicurazione valutano i termini e le condizioni
dei prodotti assicurativi che coprono i rischi informatici;
b) una dichiarazione di vigilanza sulle esclusioni nei prodotti assicurativi di rischi derivanti da
eventi sistemici. In tale contesto, EIOPA intende promuovere la convergenza delle modalità
di vigilanza circa il trattamento delle esclusioni dall’oggetto del contratto e la redazione dei
relativi termini e condizioni.
Supervisory statement on exclusions in insurance products related to risks arising from systemic
events
Ai sensi dell’art. 8, par. 7, del Cybersecurity Act dell’Unione europea, è compito dell’ENISA
effettuare regolarmente analisi dei principali trends nel mercato della cybersicurezza.
A tal fine, l’agenzia ha pubblicato un documento che definisce il quadro di riferimento
(ENISA Cybersecurity Market Analysis Framework, ECSMAF) per l’analisi della domanda e
dell’offerta del mercato della cybersicurezza. Il documento, destinato a essere aggiornato
periodicamente, si pone l’obiettivo di rendere le analisi del mercato più trasparenti e
confrontabili e di applicare la metodologia anche a singoli sottosettori.
ITALIA
Accordo tra la Banca d’Italia e l’ACN per lo scambio informativo e la cooperazione per la
protezione dalle minacce cyber
Dicembre 2022
La Banca d’Italia e l’ACN hanno sottoscritto un accordo finalizzato allo scambio informativo
e alla cooperazione per la protezione dalle minacce cyber, in linea con la Strategia nazionale
di cybersicurezza 2022 - 2026. In uno scenario globale caratterizzato da un costante
inasprimento della minaccia cyber, la Banca d’Italia e l’ACN si impegnano a cooperare per
innalzare il livello di resilienza cibernetica dei rispettivi ambiti di competenza, scambiando
informazioni e realizzando sinergie virtuose per la protezione dalla minaccia cyber, secondo il
paradigma della difesa partecipata.
Banca d’Italia - Aggiornamento alle Disposizioni di vigilanza per le banche (Circ. 285/2013)
Novembre 2022
Il d.l. 115/2022 (c.d. Aiuti-bis), così come modificato dalla legge di conversione n. 142/2022,
ha modificato il d.l. 105/2019 (che ha istituito il perimetro nazionale di sicurezza cibernetica)
estendendo l’obbligo di segnalazione entro 72 ore degli incidenti cibernetici a danno dei
soggetti rientranti nell’ambito del perimetro anche agli incidenti relativi a beni, infrastrutture
e reti non inclusi tra quelli critici, in ogni caso di pertinenza dei soggetti in scope.
Il decreto, inoltre, conferisce al Presidente del Consiglio dei ministri il potere di emanare
disposizioni per l’adozione di misure di “intelligence” di contrasto in ambito cibernetico,
anche con la cooperazione del Ministero della Difesa, in caso di crisi o di emergenza a fronte
di minacce che coinvolgano aspetti di sicurezza nazionale e non siano fronteggiabili solo con
azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale.
Pillole cyber
Convegno TIBER-IT
13/10/ 2022 - Presso la Sede di Milano della Banca d’Italia si è tenuto il convegno “La resilienza cibernetica del sistema
finanziario italiano: il ruolo dei test TIBER-IT”. Vi hanno partecipato rappresentanti delle autorità di settore e governative,
operatori finanziari a rilevanza sistemica e fornitori di servizi di cybersicurezza.
A cura della segreteria del Comitato per la sicurezza cibernetica della Banca d’Italia, con il contributo per il presente
numero di Luca De Angelis (SMP), Francesco Ficarola (IVASS) e Simone Carlizza (OPM).