Novità NormativeCircolari COVIP su segnalazione dei gravi incidenti ICT e trasmissione del Registro delle informazioni sugli accordi contrattuali ICT
08 aprile 2025

Circolari COVIP su segnalazione dei gravi incidenti ICT e trasmissione del Registro delle informazioni sugli accordi contrattuali ICT

Circolare COVIP DORA del 27 febbraio 2025 prot. num. 1154/25 - Segnalazione dei gravi incidenti ICT e notifica volontaria delle minacce informatiche significative.
Circolari COVIP del 19 marzo 2025, prot. n. 0001505/25 e dell’8 aprile 2025 relative alla trasmissione del Registro delle informazioni sugli accordi contrattuali ICT prestati da fornitori terzi

Con la Circolare del 27 febbraio 2025, oltre a un breve riferimento alle norme del Regolamento DORA che più interessano i fondi pensione, si forniscono indicazioni operative riguardo alle segnalazioni alla COVIP relative ai gravi incidenti ICT, alle minacce informatiche significative, nonché al c.d. «Registro delle informazioni circa i servizi ICT acquisiti da fornitori terzi».

Governance

COVIP rammenta che il Regolamento:

  • richiede alle entità finanziarie di predisporre, monitorare e aggiornare un Quadro per la gestione dei rischi informatici che consenta di affrontare tali rischi attraverso una strategia di resilienza operativa digitale, la cui predisposizione e verifica sull’attuazione è in capo al Consiglio di Amministrazione;
  • dispone che il monitoraggio dell’effettiva esposizione ai rischi informatici è in capo alla Funzione di controllo ICT. In proposito, i fondi pensione possono scegliere di istituire una funzione ad hoc distinta da quelle fondamentali di cui alla Direttiva IORP II oppure affidarla alla struttura che svolge già la funzione di gestione del rischio. Il Regolamento non individua specifici requisiti di professionalità di detto incarico; in considerazione, tuttavia, appare opportuno che i fondi al momento della nomina del titolare della funzione di controllo ICT valutino con attenzione il grado di professionalità e le competenze nel settore del candidato. La collocazione organizzativa scelta con riguardo alla funzione di controllo ICT non potrà in alcun modo pregiudicare l’efficace svolgimento di tutti i compiti attribuiti per prevenire e contrastare l’esposizione dell’entità finanziaria ai rischi ICT. La predetta funzione non potrà essere affidata alla struttura che svolge la funzione di revisione interna.
  • con riferimento agli accordi conclusi con i fornitori terzi di servizi ICT, prevede o l’istituzione di un apposito ruolo deputato a monitorare il rischio derivante da tali contratti o l’affidamento interno a una figura dirigenziale di rango elevato della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente.

Il Regolamento preserva il principio di proporzionalità consentendo alle entità finanziarie, ai fini del recepimento delle nuove previsioni europee, di integrare il modello di governance e il sistema dei controlli interni già adottati, ai sensi della propria disciplina di settore, tenendo conto della natura, della dimensione, della portata e della complessità delle loro attività.

I fondi pensione segnalano alla COVIP i gravi incidenti ICT, classificati secondo il Regolamento delegato (UE) 2024/1772. Su base volontaria, inoltre, gli stessi fondi possono notificare alla COVIP le minacce informatiche significative. Tali adempimenti sono effettuati nel rispetto di quanto previsto dagli atti delegati e dalle norme tecniche di regolamentazione e attuazione del Regolamento (Regolamento delegato (UE) 2025/301; Regolamento di esecuzione (UE) 2025/302).

A questo riguardo, sono state predisposte due segnalazioni DORA da trasmettere alla COVIP a mezzo PEC:

  • gravi incidenti;
  • minacce informatiche significative

Segnalazione del Registro delle informazioni sugli accordi contrattuali ICT prestati da fornitori terzi

Rammentando che l’art. 28, par. 3 del Regolamento richiede alle entità finanziarie di mantenere e aggiornare un registro completo delle informazioni riguardanti gli accordi contrattuali per l’utilizzo dei servizi ICT prestati da fornitori terzi (ai sensi del Regolamento di esecuzione 2024/2956), COVIP ha anticipato la trasmissione di ulteriori informazioni ai fini della fornitura del registro da parte dei fondi pensione, per permettere alle ESA di individuare i «fornitori critici per le entità finanziarie».

A tal proposito, la COVIP ha successivamente emanato la Circolare del 19 marzo 2025, prot. n. 0001505/25 e la Circolare COVIP 8 aprile 2025, recante i dettagli utili ai fondi pensione per procedere, entro il 16 aprile 2025, all’invio del suddetto Registro aggiornato al 31.3.2025.

FONDO PENSIONE DEI DIPENDENTI DELLE SOCIETÀ DEL GRUPPO ZURIGO

Via Benigno Crespi, 23 MILANO - Cod. Fisc. 97073460152
Iscritto all'Albo dei Fondi Pensione – I Sezione Speciale n. 1089 il 23/11/99
Il Fondo è sottoposto alla vigilanza Covip
Messaggio promozionale riguardante forme pensionistiche complementari. Prima dell'adesione leggere la Parte I "Le informazioni chiave per l'aderente" e l'Appendice "Informativa sulla sostenibilità" della Nota Informativa. Maggiori informazioni sono rinvenibili nella Parte II ‘Le informazioni integrative' della Nota informativa e nello Statuto, disponibili nella sezione "Documenti del Fondo" del presente sito.