NEWS
DORA

DORA: il regolamento per la resilienza operativa digitale

Il Regolamento DORA per la resilienza operativa digitale

DORA,  Digital Operational Resilience Act

A cura dell’Avv. Tania Rea

Focus Legale

 

GUARDA IL VIDEO

 

DORA

 

Indice

 

 

DORA,  Digital Operational Resilience Act

Il 16 gennaio 2023 è entrato in vigore il Regolamento DORA,  Digital Operational Resilience Act, progettato dall’Unione Europea per accelerare le capacità di resilienza cibernetica delle istituzioni finanziarie, al fine di fissare un framework completo e vincolante relativo alla gestione del rischio inerente alle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell’UE.

Tuttavia, lo stesso sarà vincolante dal 17 gennaio 2025 al fine di garantire un livello elevato di sicurezza delle reti e dei sistemi informatici all’interno dell’Unione Europea. 

Tale Regolamento è parte di un più ampio pacchetto europeo di misure strategiche per l’ambito tradizionale e fintech che intende assicurare che le imprese del settore siano in grado di affrontare attacchi informatici, attraverso l’implementazione di misure in ambito governance, cybersecurity, ICT risk management e incident reporting.

Il Regolamento DORA per la resilienza operativa digitale

DORA rappresenta un passo significativo verso la sicurezza e la resilienza delle infrastrutture digitali in Europa, dal momento che prima dell’entrata in vigore di DORA, le regole per la gestione del rischio nelle istituzioni finanziarie dell’Unione Europea si concentravano principalmente sull’assicurarsi che avessero abbastanza capitale per affrontare i rischi operativi. 

Infatti, nonostante ci fossero alcune indicazioni da parte dell’UE riguardo alle tecnologie informatiche e alla gestione del rischio, queste non erano uniformi per tutte le aziende finanziarie e spesso si basavano su principi generali invece di adottare standard tecnici specifici. Al contrario, DORA è parte di un più ampio pacchetto europeo di misure strategiche per l’ambito tradizionale e fintech volto a garantire un livello elevato di sicurezza delle reti e dei sistemi informatici all’interno dell’Unione Europea, tale da prevenire e mitigare le minacce informatiche.

La portata del Regolamento DORA è estremamente ampia e coinvolge quasi tutti gli operatori del settore di credito, ma anche fornitori di servizi legati a criptovalute e piattaforme di crowdfunding. In particolare, DORA impone ai vertici aziendali la responsabilità di sovrintendere alla gestione delle tecnologie dell’informazione e della comunicazione (ICT), definendo adeguate strategie di gestione del rischio e garantendone l’effettiva implementazione, nonché l’aggiornamento.

Le organizzazioni interessate sono tenute a sviluppare un framework di gestione del rischio ICT che assicuri la mappatura dei sistemi informatici, l’identificazione e la classificazione degli asset critici, nonché la documentazione delle interdipendenze tra risorse, sistemi, processi e fornitori.

DORA, quindi, prescrive delle regole tecniche per le aziende finanziarie e i fornitori di servizi informatici in quattro aree:

  • Come gestire i rischi informatici e organizzare il lavoro
  • Cosa fare in caso di problemi e come comunicare
  • Come testare la resistenza
  • Come gestire i rischi da terze parti

È quindi obbligatorio per queste organizzazioni condurre delle valutazioni regolari dei rischi ICT, segnalare e categorizzare le minacce alla sicurezza informatica e delineare strategie per arginare i rischi identificati. Parallelamente, viene richiesto alle aziende di implementare robuste misure di sicurezza informatica, che comprendono protocolli per la gestione delle identità e degli accessi, l’aggiornamento costante dei software e l’integrazione di tecnologie all’avanguardia.

Altrettanto cruciali sono: lo sviluppo e l’attuazione di piani di business continuity e di ripristino post-disastro per affrontare una vasta gamma di rischi informatici, dai guasti tecnici e catastrofi naturali ai cyberattacchi.  Questi piani devono includere strategie efficaci di backup e recupero dati, procedure per il ripristino operativo dei sistemi e canali di comunicazione efficaci con clienti, partner commerciali e autorità di regolamentazione.

Tuttavia, sebbene l’UE abbia ufficialmente adottato il regolamento, i dettagli chiave sono ancora in fase di finalizzazione da parte delle Autorità Europee di Vigilanza. Queste Autorità hanno l’incarico di redigere gli standard tecnici di regolamentazione e di attuazione che le entità interessate dovranno implementare. 

La stesura definitiva di tali standard è prevista entro il 2024. La Commissione europea sta sviluppando un framework di supervisione per i fornitori ICT critici, che dovrebbe essere finalizzato nel 2024. Entro il 17 gennaio 2025 gli Stati membri dell’UE saranno tenuti a conformarsi a questa legge, che impone, alle organizzazioni dei servizi finanziari, di potenziare la loro risposta alle interruzioni operative, concentrando maggiormente l’attenzione sulla resilienza e il recupero rispetto agli approcci tradizionali di individuazione e protezione. Pertanto, a partire da gennaio 2025, le autorità di regolamentazione designate in ciascuno Stato membro dell’UE si occuperanno dei controlli sull’applicazione di DORA. 

Tali organismi potranno richiedere alle entità finanziarie di adottare specifiche misure di sicurezza e di correggere eventuali vulnerabilità presenti nei sistemi. Potranno inoltre imporre sanzioni amministrative e, in alcuni casi, penali alle entità inadempienti. 

 

GUARDA IL VIDEO

 

Scopo del regolamento

Il regolamento DORA ha come obiettivi:

  • definire la gestione del rischio ICT nel settore dei servizi finanziari in modo completo e organico;
  • armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell’UE, eliminando le lacune, le sovrapposizioni e i conflitti che potrebbero intercorrere tra le diverse normative nei vari Stati UE. Norme e standard condivisi portano a una maggiore conformità delle entità finanziarie, migliorando al contempo la resilienza dell’intero sistema finanziario europeo;
  • rafforzare la gestione della sicurezza dell’information and communication technologyes (ICT) con un upgrade per la cybersecurity e la resilienza dell’ecosistema finanziario, settore centrale per le nostre economie, ma anche con grande rilevanza per la privacy, essendo i servizi finanziari in gran parte destinate a persone fisiche.

 

Il percorso di adeguamento

Il Regolamento DORA troverà applicazione e sarà vincolante a partire dal 17 Gennaio 2025 (decorsi 24 mesi dalla sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea). Entro tale termine, banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e loro fornitori critici di servizi tecnologici dovranno adeguare i loro sistemi interni di cyber resilience.

Sebbene l’UE abbia ufficialmente adottato il regolamento, i dettagli chiave sono ancora in fase di finalizzazione da parte delle Autorità Europee di Vigilanza (ESA). Le ESA hanno l’incarico di redigere gli standard tecnici di regolamentazione e di attuazione che le entità interessate dovranno implementare. La stesura definitiva di tali standard è prevista entro il 2024. La Commissione europea sta sviluppando un framework di supervisione per i fornitori ICT critici, che dovrebbe essere finalizzato nel 2024.

Ambito di applicazione

Il regolamento DORA si applica a tutte le istituzioni finanziarie dell’UE (banche, società di investimento, istituti di credito, ma anche fornitori di servizi legati a criptovalute e piattaforme di crowdfunding).

In particolare, DORA si applica anche ad alcune entità solitamente escluse dalla regolamentazione finanziaria, ad esempio le terze parti che forniscono ad entità finanziarie sistemi e servizi ICT, come i Cloud Service Provider, i Data Center Provider, i software vendor e i system integrator.

Di fatto, quindi, DORA obbliga le entità finanziarie al controllo dell’intera filiera di fornitura di sistemi e servizi ICT, attivando un sistema strutturato di vendor & supplier risk management.

Organismi di controllo e applicazione

A partire da gennaio 2025, le autorità di regolamentazione designate in ciascuno Stato membro dell’UE si occuperanno dei controlli sull’applicazione di DORA. Tali organismi potranno richiedere alle entità finanziarie di adottare specifiche misure di sicurezza e di correggere eventuali vulnerabilità presenti nei sistemi. Potranno inoltre imporre sanzioni amministrative, e in alcuni casi penali, alle entità inadempienti. Ogni Stato membro deciderà le opportune sanzioni.

GUARDA IL VIDEO

I fornitori ICT ritenuti critici dalla Commissione Europea saranno controllati direttamente da “organi primari di sorveglianza” appartenenti alle ESA. Così come le autorità competenti, gli organi primari di sorveglianza possono richiedere misure di sicurezza, correzioni e sanzionare i fornitori ICT non conformi. DORA consente agli organi primari di sorveglianza di imporre sanzioni ai fornitori ICT pari all’1% del loro turnover mondiale medio giornaliero registrato nell’esercizio precedente. Tali sanzioni potranno essere comminate giornalmente per un massimo di sei mesi fino al momento in cui il fornitore non avrà raggiunto la piena conformità.

I 5 “pillar” su cui si basa il Regolamento DORA

Il Regolamento stabilisce 5 diversi “pillar” che le Organizzazioni dovranno implementare:

  1.  Gestione del rischio ICT e governance
  2.  Risposta agli incidenti e segnalazione
  3.  Test di resilienza 
  4.  Gestione del rischio di terze parti
  5.  Condivisione delle informazioni
Torna su
Cerca