CYBER NEWS

Newsletter normativa in materia di cybersicurezza del settore finanziario

N. 1 – febbraio 2023

Editoriale
Cari colleghi, care colleghe,

in un contesto di rapida evoluzione digitale del settore finanziario, sono purtroppo in

crescita anche i rischi cibernetici, legati sia ai malfunzionamenti ICT, sia alle attività di natura
malevola.

Per fronteggiare questi rischi, per loro natura globali e interconnessi, si sono moltiplicate
le azioni per migliorare la resilienza dei singoli operatori e del settore finanziario nel suo
complesso, nelle sedi di cooperazione internazionale, a livello europeo e nazionale, anche
attraverso l’emanazione - in un quadro composito - di nuovi principi, regole e standard.

Su impulso del Comitato per la sicurezza cibernetica della Banca d’Italia, ai cui lavori
partecipa anche l’IVASS, è stata realizzata questa nuova newsletter, intitolata CYBER NEWS,
Newsletter normativa in materia di sicurezza cibernetica del settore finanziario, per offrire ai
colleghi della Banca e dell’IVASS impegnati sul tema della cybersicurezza uno strumento
informativo e di aggiornamento sulle principali novità di policy e normative, adottate ai vari
livelli.

La newsletter si compone di tre parti: i) un sommario delle principali novità normative a

livello internazionale, europeo e nazionale; ii) brevi commenti alle principali novità, corredati
da link alle fonti online; iii) “Pillole Cyber”, una sezione che raccoglie ulteriori informazioni
sulla sicurezza cyber (normativa secondaria, standard, pubblicazioni di Autorità, Istituzioni,
Università e centri di ricerca, eventi etc.).

Sperando di aver messo a disposizione uno strumento agile e utile al nostro lavoro per
migliorare la resilienza dell’intero sistema finanziario, io e i colleghi che collaborano a CYBER
NEWS1 vi auguriamo una buona lettura.

Febbraio 2023 La Vice Direttrice Generale

Alessandra Perrazzelli

¹ Segreteria del Comitato presso il Servizio SMP, con il supporto dei Referenti del Comitato incaricati
presso i Dipartimenti partecipanti al Comitato e presso l’IVASS e della Divisione Editoria e stampa del
Servizio Comunicazione.

Sommario

DAL MONDO • Consultazione dell’FSB sul raggiungimento di una maggiore convergenza nella
segnalazione degli incidenti informatici

• G7 Fundamental elements in materia di gestione dei rischi cyber delle terze parti e
resilienza al ransomware - Aggiornamenti

• Nuova versione dello standard ISO/IEC 27001 relativo ai sistemi di gestione della
sicurezza delle informazioni

DALL’EUROPA • La resilienza operativa e cibernetica in Europa: pubblicazione del Regolamento DORA

e delle Direttive NIS2 e CER

• EIOPA - Dichiarazioni sui rischi derivanti da eventi sistemici e sulla gestione delle
esposizioni cyber

• ENISA - Pubblicazione sulla metodologia di analisi del mercato della cybersicurezza

DALL’ITALIA • Accordo tra l’Agenzia per la cybersicurezza nazionale e il CERTFin

• Accordo tra la Banca d’Italia e l’ACN per lo scambio informativo e la

cooperazione per la protezione dalle minacce cyber

• Banca d’Italia - Aggiornamento alle Disposizioni di vigilanza per le banche

(Circ. 285/2013)

• Rafforzamento dei poteri di cybersecurity: estensione degli obblighi di notifica

degli incidenti degli operatori inclusi nel Perimetro e poteri di reazione

MONDO

Consultazione dell’FSB sul raggiungimento di una maggiore convergenza nella

segnalazione degli incidenti informatici
Ottobre 2022

L’FSB ha pubblicato il documento di consultazione Achieving Greater Convergence in Cyber

Incident Reporting (a cui è stato possibile rispondere fino allo scorso 31 dicembre).
La consultazione muove dalla considerazione secondo cui informazioni tempestive e accurate
rappresentano un elemento cruciale per la risposta agli incidenti cibernetici e la salvaguardia
della stabilità del sistema finanziario. Le proposte dell’FSB si articolano su più linee di azione:
a) raccomandazioni per promuovere una maggiore convergenza nella segnalazione degli
incidenti informatici; b) un progetto di terminologia comune per gli incidenti cyber; c) una
proposta di sistema comune di incident reporting (Format for incident reporting exchange, FIRE),
che potrebbe essere utilizzato dagli operatori e dalle Autorità finanziarie.

Il documento è stato redatto da un gruppo di lavoro guidato dalla Banca d’Italia (dott. Siani)
con rappresentanti dei Dipartimenti Vigilanza bancaria e finanziaria e Mercati e sistemi di
pagamento.

Comunicato stampa

Achieving Greater Convergence in Cyber Incident Reporting Consultative Document

G7 Fundamental elements in materia di gestione dei rischi cyber delle terze parti e
resilienza al ransomware - Aggiornamenti
Ottobre 2022

Nell’ambito del G7 sono state approvate due pubblicazioni:

a) l’aggiornamento dei G7 Fundamental elements for third party cyber risk management in the
financial sector, che muove dal crescente ricorso all’esternalizzazione di servizi ICT e dalle
nuove forme di rischio cyber connesse con la catena di fornitura (ICT supply chain). Agli
operatori e alle autorità finanziarie si raccomanda di monitorare nel continuo i rapporti con
le terze parti, effettuare un coordinamento cross-settoriale, identificare i fornitori critici e
mitigare i rischi connessi con la dipendenza da singoli fornitori;

b) i G7 Fundamental elements of ransomware resilience for the financial sector, che contengono
raccomandazioni indirizzate alle entità finanziarie sia pubbliche che private volte ad affrontare
la crescente minaccia di attacchi con una richiesta di riscatto (ransomware), identificando le
misure minime da adottare a fini sia di prevenzione (ad es. monitoraggio, apprendimento
continuo, condivisione delle informazioni) sia di mitigazione degli impatti di eventuali attacchi
(ad es. risposta e recovery).

Entrambi i lavori hanno visto la partecipazione di rappresentanti della Banca d’Italia

(Dipartimenti Vigilanza bancaria e finanziaria e Mercati e sistemi di pagamento).

Testo G7 Fundamental elements for third party cyber risk management in the financial sector

Testo G7 Fundamental elements of ransomware resilience for the financial sector

Comunicazione sito Banca d’Italia

Nuova versione dello standard ISO/IEC 27001 relativo ai sistemi di gestione della
sicurezza delle informazioni
Ottobre 2022

La nuova versione dello standard ISO/IEC 27001:2022 Information security, cybersecurity and
privacy protection - Information security management systems - Requirements aggiorna quella
emanata quasi dieci anni fa. Lo standard è ampiamente utilizzato nel settore finanziario per
definire il sistema interno di gestione della sicurezza delle informazioni ed è anche spesso
preso in considerazione dalle Autorità finanziarie per la redazione di linee guida, regolamenti,
etc. Tra le maggiori novità figura l’introduzione di controlli specifici per: (i) la gestione dei
cambiamenti, (ii) l’analisi delle minacce, (iii) l’uso dei servizi cloud.

Le società già certificate rispetto alla versione precedente dello standard dovranno
aggiornarsi alla nuova entro il 2025.

Sito ISO

EUROPA

La resilienza operativa e cibernetica in Europa: pubblicazione del Regolamento DORA e

delle Direttive NIS2 e CER
Dicembre 2022

Le crescenti minacce cyber ai settori vitali dell’economia e in particolare a quello finanziario

hanno indotto il legislatore europeo a definire più strumenti normativi di rafforzamento della
resilienza, proposti a fine 2020 e di recente approvati e pubblicati, in particolare:

a) il regolamento (UE) 2022/2554, c.d. Digital Operational Resilience Act (DORA), parte del
Digital Financial Package; esso promuove la resilienza operativa digitale e la sicurezza del
settore finanziario;

b) la direttiva (UE) n. 2022/2555, relativa alle misure per un livello comune elevato di
cibersicurezza nell’Unione (c.d. NIS2), aggiorna la precedente direttiva NIS in ragione della
rapida trasformazione digitale e dell’interconnessione della società. Per le entità finanziare
qualificate come essenziali o importanti e incluse nel perimetro della NIS2 saranno comunque
applicati i requisiti previsti in DORA, che rappresenta una lex specialis;

c) la direttiva (UE) n. 2022/2257, c.d. CER, sulla resilienza dei soggetti critici, volta ad
armonizzare la definizione di soggetti critici e a promuovere l’adozione di strategie di
resilienza ibrida (hybrid resilience) da parte degli Stati Membri.

I tre atti sono stati pubblicati nella GUUE a dicembre. DORA sarà direttamente applicabile 24
mesi dopo la pubblicazione (gennaio 2025), mentre le direttive NIS2 e CER dovranno essere
recepite dagli Stati Membri entro i successivi 21 mesi (ottobre 2024).

Pubblicazione atti regolamentari nella Gazzetta ufficiale dell’UE

EIOPA - Dichiarazioni sui rischi derivanti da eventi sistemici e sulla gestione delle
esposizioni cyber
Settembre 2022

A causa del recente aumento di eventi sistemici come la pandemia o l’incremento degli
attacchi informatici, le forme di assicurazione contro tale tipo di eventi rischiano in futuro
di non essere più accessibili così come sono state pensate originariamente. Le compagnie
assicuratrici potrebbero introdurre specifiche clausole o condizioni contrattuali volte a
escludere eventi o fattispecie particolari. Potrebbero conseguirne lacune sotto il profilo della
protezione del consumatore, con impatti economici e sociali.

Per tale ragione, EIOPA ha pubblicato due dichiarazioni volte a definire l’oggetto dei contratti
di assicurazione relativamente alla copertura da rischi legati ad attacchi cyber ed eventi
sistemici:

a) una dichiarazione di vigilanza sulla gestione delle esposizioni cyber non affermative nei
prodotti assicurativi (cioè in cui la copertura del rischio non è né esplicitamente inclusa né
esclusa dalla polizza), con cui si raccomanda alle Autorità nazionali competenti di prestare
attenzione alla modalità con cui le imprese di assicurazione valutano i termini e le condizioni
dei prodotti assicurativi che coprono i rischi informatici;

b) una dichiarazione di vigilanza sulle esclusioni nei prodotti assicurativi di rischi derivanti da
eventi sistemici. In tale contesto, EIOPA intende promuovere la convergenza delle modalità
di vigilanza circa il trattamento delle esclusioni dall’oggetto del contratto e la redazione dei
relativi termini e condizioni.

Supervisory statement on the management of non-affirmative cyber exposures

Supervisory statement on exclusions in insurance products related to risks arising from systemic
events

ENISA - Pubblicazione sulla metodologia di analisi del mercato della cybersicurezza

Aprile 2022

Ai sensi dell’art. 8, par. 7, del Cybersecurity Act dell’Unione europea, è compito dell’ENISA
effettuare regolarmente analisi dei principali trends nel mercato della cybersicurezza.
A tal fine, l’agenzia ha pubblicato un documento che definisce il quadro di riferimento
(ENISA Cybersecurity Market Analysis Framework, ECSMAF) per l’analisi della domanda e
dell’offerta del mercato della cybersicurezza. Il documento, destinato a essere aggiornato
periodicamente, si pone l’obiettivo di rendere le analisi del mercato più trasparenti e
confrontabili e di applicare la metodologia anche a singoli sottosettori.

Documentazione ENISA Cybersecurity Market Analysis Framework (ECSMAF)

ITALIA

Accordo tra l’Agenzia per la cybersicurezza nazionale e il CERTFin

Gennaio 2023

L’ACN (Agenzia per la cybersicurezza nazionale) e il CERTFin (Computer Emergency Response

Team del settore Finanziario Italiano, co-presieduto da Banca d’Italia e ABI) hanno sottoscritto
un protocollo d’intesa per consolidare la collaborazione in materia di cybersicurezza
delle infrastrutture e dei servizi finanziari. L’accordo, in linea con la Strategia nazionale
di cybersicurezza 2022-2026, intende rafforzare la capacità di prevenzione, protezione
e risposta del settore finanziario alle minacce e agli attacchi cibernetici, attraverso lo
sviluppo della cooperazione pubblico-privato e della cultura della sicurezza. Tra l’altro, il
protocollo prevede la condivisione di dati e informazioni sull’evoluzione delle minacce cyber,
la realizzazione di campagne di comunicazione per sensibilizzare cittadini e imprese e lo
svolgimento di esercitazioni e simulazioni.

Comunicato Banca d’Italia

Accordo tra la Banca d’Italia e l’ACN per lo scambio informativo e la cooperazione per la
protezione dalle minacce cyber
Dicembre 2022

La Banca d’Italia e l’ACN hanno sottoscritto un accordo finalizzato allo scambio informativo
e alla cooperazione per la protezione dalle minacce cyber, in linea con la Strategia nazionale
di cybersicurezza 2022 - 2026. In uno scenario globale caratterizzato da un costante
inasprimento della minaccia cyber, la Banca d’Italia e l’ACN si impegnano a cooperare per
innalzare il livello di resilienza cibernetica dei rispettivi ambiti di competenza, scambiando
informazioni e realizzando sinergie virtuose per la protezione dalla minaccia cyber, secondo il
paradigma della difesa partecipata.

Comunicato Banca d’Italia

Banca d’Italia - Aggiornamento alle Disposizioni di vigilanza per le banche (Circ. 285/2013)
Novembre 2022

Con l’aggiornamento n. 40 della Circolare n. 285/2013 della Banca d’Italia (Disposizioni di

vigilanza per le banche), è stata data attuazione agli Orientamenti sulla gestione dei rischi
relativi alle tecnologie dell’informazione (ICT) e di sicurezza (EBA/GL/2019/04) emanati
dall’EBA, a cui la circolare era già in larga parte conforme, modificando i capitoli della circolare
relativi al sistema informativo e alla continuità operativa (Parte Prima, Titolo IV, Capitoli IV
e V). Tra gli elementi di novità principali, le nuove regole prevedono che le banche si dotino
di una funzione di controllo di secondo livello per la gestione e il controllo dei rischi ICT e di
sicurezza. Le banche dovranno adeguarsi al contenuto delle nuove disposizioni entro il 30
giugno 2023.

Testo di aggiornamento alla circolare n. 285/2013

Rafforzamento dei poteri di cybersecurity: estensione degli obblighi di notifica degli

incidenti degli operatori inclusi nel Perimetro e poteri di reazione
Agosto 2022

Il d.l. 115/2022 (c.d. Aiuti-bis), così come modificato dalla legge di conversione n. 142/2022,
ha modificato il d.l. 105/2019 (che ha istituito il perimetro nazionale di sicurezza cibernetica)
estendendo l’obbligo di segnalazione entro 72 ore degli incidenti cibernetici a danno dei
soggetti rientranti nell’ambito del perimetro anche agli incidenti relativi a beni, infrastrutture
e reti non inclusi tra quelli critici, in ogni caso di pertinenza dei soggetti in scope.

Il decreto, inoltre, conferisce al Presidente del Consiglio dei ministri il potere di emanare
disposizioni per l’adozione di misure di “intelligence” di contrasto in ambito cibernetico,
anche con la cooperazione del Ministero della Difesa, in caso di crisi o di emergenza a fronte
di minacce che coinvolgano aspetti di sicurezza nazionale e non siano fronteggiabili solo con
azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale.

D.l. 9 agosto 2022, n. 115

Pillole cyber

Determina ACN – Tassonomia incidenti soggetti a notifica

03/01/2023 - È stata pubblicata in Gazzetta Ufficiale la determina dell’ACN relativa alla tassonomia degli incidenti
che devono essere oggetto di notifica, in attuazione di quanto previsto dal d.l. n. 105/2019, istitutivo del perimetro
nazionale di sicurezza cibernetica.

Polizia Postale e delle comunicazioni - CNAIPIC resoconto per il 2022

03/01/2023 - Il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche della
Polizia postale e delle comunicazioni) ha pubblicato il resoconto per il 2022 sulle attività di protezione delle infrastrutture
critiche informatizzate del Paese.

Il fattore umano e la cybersicurezza

05/12/2022 - Secondo il Global Venture Group WisdomTree, il fattore umano rappresenta una componente chiave per
la realizzazione di un attacco informatico, tale da potere essere considerato l’ottavo livello, il cd. livello utente o “layer 8”,
del modello OSI (Open Systems Interconnection) per le reti informatiche.

Contrasto del SIM SWAP

15/11/2022 - Sono entrate in vigore le nuove norme per le procedure di portabilità del numero mobile e per il c.d.
“Sim swap”, in recepimento della delibera Agcom N. 86/21/CIR.

Proposta regolamento UE per Instant payments

26/10/2022 - La Commissione europea ha pubblicato una proposta di Regolamento che modifica i Regolamenti (UE)
n. 260/2012 e (UE) 2021/1230 in materia di bonifici istantanei in euro. La proposta prevede anche nuove misure di
sicurezza antifrode (ad es. l’onere per i fornitori di verificare la corrispondenza tra il numero di conto bancario-Iban e il
nome del beneficiario).

Convegno TIBER-IT
13/10/ 2022 - Presso la Sede di Milano della Banca d’Italia si è tenuto il convegno “La resilienza cibernetica del sistema
finanziario italiano: il ruolo dei test TIBER-IT”. Vi hanno partecipato rappresentanti delle autorità di settore e governative,
operatori finanziari a rilevanza sistemica e fornitori di servizi di cybersicurezza.

Proposta di Cyber Resilience Act

15/09/2022 - La Commissione europea ha presentato la proposta di un Cyber resilience act per rafforzare le regole di
cybersecurity al fine di assicurare la sicurezza dei prodotti hardware e software.

BIS Cyber risk in central banking

14/09/2022 - Il Working Papers N. 1039 illustra l’aumento delle misure per la cybersicurezza delle banche centrali dal
2020, ottenuto grazie al controllo delle tecnologie di sicurezza e alle misure di resilienza.

Contratti di appalto per le attività dell’ACN

01/09/2022 - Con il d.p.c.m. n. 166/2022 è stato introdotto il regolamento recante le procedure per la stipula di
contratti di appalto di lavori, servizi e forniture per le attività dell’ACN finalizzate alla tutela della sicurezza nazionale
nello spazio cibernetico.

ACN – Determinazione sui requisiti dei laboratori di valutazione e certificazione (CVCN)

11/08/2022 - La determinazione dirigenziale dell’ACN individua i requisiti richiesti ai LAP (Laboratori Accreditati di
Prova), modulati in base all’area di accreditamento: si tratta di requisiti tecnici e logistici, misure di sicurezza informatica,
requisiti di competenza ed esperienza del personale impiegato, nonché di rispondenza a criteri di riservatezza.

A cura della segreteria del Comitato per la sicurezza cibernetica della Banca d’Italia, con il contributo per il presente
numero di Luca De Angelis (SMP), Francesco Ficarola (IVASS) e Simone Carlizza (OPM).

Grafica a cura della Divisione Editoria e stampa della Banca d’Italia