NEWS

Il Regolamento DORA (Digital Operational Resilience Act)

Il Regolamento DORA (Digital Operational Resilience Act)

A cura di Avv. Riccardo Piselli, Avv. Tania Rea.

 

Il Regolamento DORA (Digital Operational Resilience Act), pubblicato nella Gazzetta Ufficiale il 27 dicembre 2022 ed entrato in vigore il 16 gennaio 2023, mira a promuovere l’armonizzazione dei requisiti di resilienza digitale, prevedendo attività regolamentari da parte delle tre European Supervisory Authorities (ESAs – EBA, EIOPA, ESMA).

Tuttavia, ai sensi dell’articolo 64 del Regolamento DORA, le previsioni in esso contenute hanno trovato piena applicazione solo a decorrere dal 17 gennaio.

La suddetta normativa ha due obiettivi principali: affrontare compiutamente la gestione del rischio ICT nel settore dei servizi finanziari e armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell’UE.

Prima del Regolamento DORA, le norme sulla gestione del rischio per le istituzioni finanziarie nell’UE si concentravano principalmente sulla necessità di assicurare che le imprese avessero capitale sufficiente per coprire i rischi operativi. 

Sebbene alcuni enti regolatori dell’UE avessero rilasciato delle linee guida sull’ICT e la gestione dei rischi per la sicurezza, tali linee guida non si applicavano in egual misura a tutte le entità finanziarie e, peraltro, non di rado si basavano su principi generali anziché su specifici standard tecnici. 

In assenza di norme per la gestione dei rischi relative all’ICT a livello UE, gli stati membri dell’UE avevano emanato i propri requisiti. Tuttavia, questo insieme di normative si è rivelato complesso da gestire per le entità finanziarie.

Con la piena operatività di DORA, l’UE mira a stabilire un framework universale per la gestione e la mitigazione del rischio ICT nel settore finanziario in tutta l’UE. 

Tra i principali profili disciplinati dal Regolamento DORA rientrano: prove avanzate di resilienza per i sistemi ICT; promozione di meccanismi di condivisione delle informazioni volti a prevenire minacce informatiche e impedendo il contagio tramite canali finanziari (infosharing); processi per la classificazione e gestione degli incidenti ICT, nonché obblighi di segnalazione e procedure volte alla volontaria notifica delle minacce informatiche. 

Pertanto, le entità finanziarie e i fornitori critici di servizi ICT che rientrano nel perimetro applicativo dallo scorso 17 gennaio devono essere necessariamente compliant con i requisiti stabiliti dal predetto Regolamento: dovranno, infatti, aver adottato sistemi di sicurezza in grado di rilevare, identificare e respingere le minacce informatiche.

In particolare, i punti salienti del Regolamento includono i seguenti adempimenti per le entità finanziarie:

  1. la gestione del rischio ICT e governance: implementazione di strategie efficaci per identificare, valutare e mitigare i rischi associati all’uso delle tecnologie ICT. Il CDA e i dirigenti sono responsabili della supervisione complessiva di queste strategie;
  2. la segnalazione e risposta agli incidenti: introduzione di sistemi finalizzati a monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell’incidente, alle entità può essere richiesta la segnalazione sia alle autorità di regolamentazione sia ai clienti e ai partner interessati. segnalazioni tempestive degli incidenti significativi legati all’ICT alle autorità competenti, garantendo una risposta rapida ed efficace per minimizzare gli impatti negativi;
  3. test di resilienza operativa digitale: test regolari sui propri sistemi ICT per valutare la forza delle protezioni e la capacità di resistere a potenziali minacce. Una volta all’anno è richiesta l’esecuzione di alcuni test di base, quali valutazioni delle vulnerabilità e test basati su scenari. Le entità finanziarie ritenute critiche per il sistema dovranno anch’esse sottoporsi ogni tre anni a test di penetrazione basati su minacce (TLPT).
  4. gestione del rischio di terze parti: avere un ruolo attivo nella gestione del rischio di terze parti in ambito ICT. Pertanto, le entità finanziarie nell’esternalizzare funzioni critiche e importanti, saranno tenute a negoziare accordi specifici riguardanti, tra le altre cose, strategie di uscita, audit e obiettivi prestazionali per l’accessibilità, l’integrità e la sicurezza. In tal senso è certamente rilevante la circostanza per cui la Commissione Europea sta esplorando la possibilità di elaborare clausole contrattuali standardizzate utili a entità e fornitori ICT per assicurarsi di sottoscrivere accordi conformi al regolamento DORA.

Invece, i fornitori di servizi ICT che operano per gli enti finanziari devono:

  1. registrarsi presso le autorità competenti.
  2. essere soggetti a supervisione diretta per verificare la loro conformità ai requisiti DORA.
  3. collaborare con le entità finanziarie e fornire informazioni trasparenti sulle misure di sicurezza adottate.

È evidente, quindi, che l’obiettivo del Regolamento DORA è assolutamente condivisibile, tuttavia raggiungere la piena conformità alla normativa è stata – ed è – tuttora una sfida complessa non solo per le PMI, ma anche per le grandi aziende.

Torna su
Cerca