Capo II
Art. 4
Segnalazione dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e notifica volontaria delle minacce informatiche significative
In vigore dal 12 mar 2025
1. Sono competenti a ricevere le segnalazioni dei gravi incidenti nelle tecnologie dell'informazione e della comunicazione (TIC) e le notifiche volontarie relative alle minacce informatiche significative, di cui all'articolo 19 del regolamento DORA:
a) la Banca d'Italia, dalle entità finanziarie di cui all', paragrafo 1, lettere a), b), c), d), e), f), h), k), l) e s), del regolamento DORA, dalle sedi di negoziazione all'ingrosso di titoli di Stato, nonché da Cassa depositi e prestiti S.p.A., da intermediari finanziari e da Bancoposta;
b) la Consob, dalle entità finanziarie di cui all', paragrafo 1, lettere g) e i), del regolamento DORA, a esclusione delle sedi di negoziazione all'ingrosso di titoli di Stato;
c) l'IVASS, dalle entità finanziarie di cui all', paragrafo 1, lettere n) e o), del regolamento DORA;
d) la COVIP, dalle entità finanziarie di cui all', paragrafo 1, lettera p), del regolamento DORA.
2. Nel caso di entità finanziarie vigilate da più Autorità competenti DORA, l'Autorità ricevente, come individuata al comma 1, trasmette tempestivamente alle altre Autorità competenti la notifica iniziale e ciascuna relazione di cui all'articolo 19, paragrafo 4, del regolamento DORA, relative ai gravi incidenti TIC, nonché le notifiche volontarie relative alle minacce informatiche significative, con le modalità definite nei protocolli di intesa di cui all', comma 1, del presente decreto.
3. Fermo restando quanto previsto ai commi 1, 2 e 4, le entità finanziarie del settore bancario e delle infrastrutture dei mercati finanziari di cui all'allegato I alla direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonché i soggetti appartenenti al settore bancario e delle infrastrutture dei mercati finanziari identificati come critici ai sensi della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, forniscono, ai sensi dell'articolo 19, paragrafo 1, comma 6, del regolamento DORA, anche a CSIRT Italia la notifica iniziale dei gravi incidenti TIC e ciascuna relazione di cui al medesimo articolo 19, paragrafo 4, del regolamento DORA, utilizzando i modelli e nel rispetto dei termini definiti ai sensi dell'articolo 20 del medesimo regolamento. Le informazioni trasmesse a CSIRT Italia ai sensi del presente comma sono coperte dal segreto d'ufficio.
4. Le entità finanziarie che procedono alla notifica su base volontaria delle minacce informatiche significative, a norma dell'articolo 19, paragrafo 2, del regolamento DORA, possono trasmettere la notifica anche a CSIRT Italia. Le informazioni trasmesse a CSIRT Italia, ai sensi del presente comma, sono coperte dal segreto d'ufficio.
5. Con riferimento alle sedi di negoziazione all'ingrosso di titoli di Stato, la notifica iniziale, le relazioni di cui all'articolo 19, paragrafo 4, del regolamento DORA relative ai gravi incidenti TIC, nonché le notifiche volontarie relative alle minacce informatiche significative, sono trasmesse dalla Banca d'Italia anche al Ministero dell'economia e delle finanze contestualmente alla trasmissione alla Consob ai sensi del comma 2.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Prourn:nir:stato:decreto.legislativo:2025-03-10;23#art-4