La resilienza cibernetica e il mercato finanziario
In un mondo nel quale il panorama delle minacce cibernetiche è in continua evoluzione e raggiunge via via livelli di sofisticazione sempre più elevati, si è posta la necessità di di rafforzare la cd. resilienza finanziaria, intesa come la capacità di reagire e recuperare rapidamente da shock esogeni ed endogeni. In risposta a tale necessità la BCE ha pubblicato le “Cyber resilience oversight expectations for financial market infrastructures” (CROEs), documento che si propone di definire le aspettative di vigilanza dell’Eurosistema in termini di resilienza cibernetica nelle infrastrutture del mercato finanziario.
La definizione di resilienza cibernetica corrisponde alla capacità di un’organizzazione di continuare a svolgere la propria attività, anticipando ed adattandosi alle minacce cibernetiche nonché ad altri rilevanti mutamenti ambientali, attraverso la comprensione, il contenimento ed il recupero dagli incidenti cibernetici. Le CROEs predispongono pertanto tre “livelli di aspettative”, i quali forniscono un benchmark rispetto al quale: valutare il livello attuale di resilienza cibernetica (evolving); misurarne i progressi (advancing); stabilire quali siano le aree che necessitano di implementazione in via prioritaria (innovating).
Le CROEs forniscono alle infrastrutture del mercato finanziario indicazioni dettagliate e specifiche sulle aspettative di vigilanza per rendere operativa la Guidance, tuttavia esse presentano, e devono presentare, un certo grado di flessibilità che consenta di tenere in debita considerazione l’eterogeneità che caratterizza le infrastrutture del mercato finanziario. È peraltro già stato manifestato il timore che l’elaborazione della BCE presenti un eccesso di Cosenza delle aspettative.