Report dell’ENISA per la Cybersecurity e la Resilienza del Settore Finanziario Europeo

L’ENISA ha recentemente pubblicato un report sulle iniziative organizzative e tecniche attuabili a livello europeo per ottimizzare la sicurezza e la resilienza del settore finanziario.

L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha recentemente pubblicato un Report sulle iniziative organizzative e tecniche attuabili a livello europeo per ottimizzare la sicurezza e la resilienza del settore finanziario.

Con il Cybersecurity Act (CSA), entrato in vigore nel giugno 2019, l’ENISA ha cristallizzato il proprio ruolo istituzionale nella sfida al cyber-risk e la protezione delle infrastrutture critiche europee. Nel Report, l’Agenzia sottolinea il proprio sostegno all’annunciata revisione della Direttiva NIS, nonché alla proposta di Regolamento sulla resilienza operativa digitale (DORA), sottolineandone l’importanza per la stabilità e la difesa degli asset critici del settore finanziario europeo.

Il settore finanziario è un’area normativa fortemente regolamentata in Europa. Molte misure di cybersecurity sono già incluse in molteplici policy, standard e normative (si pensi, ad esempio a PSD 2, MIFID II) e sempre più istituzioni, agenzie, organi regolatori hanno integrato considerazioni su sicurezza e resilienza nei propri schemi decisionali. In tal senso, l’ENISA attesta la progressiva interdipendenza tra infrastrutture ICT, catene di approvvigionamento e servizi finanziari.

Il Report “EU Cybersecurity Initiatives in the Finance Sector” guida il lettore nel complesso quadro dei rischi tecnici ed organizzativi del settore finanziario, delineando potenziali margini di manovra per la gestione del cyber-risk ed iniziative future a livello europeo.

L’ENISA sottolinea la necessità di una maggiore cooperazione tra gli attori chiave del settore finanziario europeo. Una tale esigenza, già attestata in epoca anteriore alla crisi pandemica dall’ENISA, è ora quanto mai cruciale ed urgente in ragione della progressiva crescita in scala ed intensità delle minacce informatiche nel settore. A tal fine, le informazioni riportate nel Report cercano di incentivare la cooperazione tra i diversi gruppi di stakeholders coinvolti nelle future iniziative. Pertanto, l’ENISA fornisce chiarimenti sui margini di compatibilità e sovrapposizione tra le iniziative ed indentifica lacune e sinergie esistenti o potenziali. In conclusione, il Report si concentra sulla valutazione complessiva delle policy, degli standard e delle normative in vigore e sui relativi risultati.

Le iniziative europee in materia cyber nel settore finanziario sono raggruppate secondo i temi di interesse definiti nel Cybersecurity Act:

  • sviluppo e implementazione delle policy;
  • condivisione delle informazioni e sviluppo delle capacità;
  • gestione degli incidenti;
  • sensibilizzazione e training;
  • standardizzazione e certificazione;
  • ricerca e innovazione.

L’elenco delle macro-aree di interesse non è esaustivo ed è destinato ad evolversi seguendo gli sviluppi del settore e le future innovazioni tecniche e normative in materia cyber che, secondo l’ENISA, non tarderanno ad arrivare.

Su un argomento simile, potrebbe essere interessante l’articolo: “La revisione della Direttiva NIS sulla cybersicurezza viene proposta dalla Commissione europea”.