Fintech Action Plan (parte terza)
Il Fintech Action Plan elaborato dalla Commissione Europea contiene alcuni complessi riferimenti ad un terzo insieme di iniziative, tutte dedicate alla sicurezza ed all’integrità del settore finanziario. I temi e le aree di intervento nella cybersicurezza toccati dalla Commissione sono molteplici e possono essere così riassunti:
- i servizi digitali debbono incorporare il “security by design approach”. In tale ambito la Commissione ha già presentato, lo scorso 13 settembre 2017, una Proposta per il rafforzamento dell’ENISA (European Union Agency for Network and Information Security, l’Agenzia per la Cybersicurezza europea) e della certificazione europea sulla cybersicurezza dell’ICT (“Cybersecurity Act”). Potete accedere ai due documenti cliccando qui;
- una rigida Cyber Hygiene deve diventare la pratica costante in ogni organizzazione finanziaria e deve essere monitorata e diffusa a livello europeo con standard comuni e dettagliati, ciò che già avviene per le infrastrutture del sistema dei pagamenti e dei mercati finanziari – come evidenziato dal Committee on Payments and Market Infrastructures and International Organization of Securities Commissions (CPMI-IOSCO) nella “Guidance on cyber resilience for financial market infrastructures” - ma che risulta ancora troppo generica con riferimento alla business continuity ed ai rischi operativi. Potete scaricare il report dell’ENISA sulle pratiche di Cyber-Hygiene cliccando qui;
- oltre alla trasposizione negli ordinamenti nazionali della Direttiva NIS (“Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione”), alla quale potete accedere cliccando qui, la normativa concernente il settore finanziario dovrà essere integrata alla luce degli approfondimenti condotti dal Financial Stability Board (FSB) nel documento “Stocktake of Publicly Released Cybersecurity Regulations, Guidance and Supervisory Practices” al quale potete accedere cliccando qui. A tal fine le ESA sono chiamate a mappare, entro il primo trimestre del 2019, le pratiche di vigilanza attualmente esistenti in tema di cybersicurezza, a pubblicare delle Guidelines di settore finalizzate a rinforzare l’attività di vigilanza e a proporre alla Commissione modifiche al quadro legislativo esistente;
- la conoscenza delle minacce e la condivisione delle informazioni concernenti i rischi cibernetici dovrà essere aumentata, nel pieno rispetto del General Data Protection Regulation (GDPR). In tale ambito la Commissione organizzerà, nel secondo trimestre del 2018, un workshop dedicato ad esaminare le problematiche connesse alla condivisione di questo insieme di informazioni;
- i “penetration and resilience test” potranno essere meglio regolamentati al fine di ridurre costi e rischi gravanti sull’industria finanziaria. In tale ambito, le migliori pratiche stanno convergendo verso l’”European Threat Intelligence-Based Ethical Red-Teaming (TIBER-EU) Framework” predisposto dalla BCE e sul quale è stato chiamato ad effettuare proprie valutazioni anche l’“Euro Cyber Resilience Board for pan-European Financial Infrastructures”, il cui mandato potete scaricare cliccando qui. In tale ambito le ESA dovranno produrre, entro la fine del 2018, una valutazione dei costi e dei benefici del framework dei test sulla cyberesilienza;
- la promozione di skill digitali, comprensivi della cybersicurezza, dovrà essere incentivata a livello europeo alla luce del Digital Education Action Plan, recentemente promosso dalla Commissione Europea ed al quale potete accedere cliccando qui.