resilienza operativa digitale

Sicurezza dei servizi finanziari: la lunga genesi del Digital operational resilience act

La Commissione europea ha lavorato a lungo su un atto per la resilienza operativa digitale dei servizi finanziari, al fine di creare un quadro di sorveglianza comune per gli Stati membri. L’approccio, basato sul rischio, sgancia procedure e standard dettagliati

Pubblicato il 30 Dic 2022

Piero Piperno

Senior Research Analyst Abi Lab

EU DORA

Il Regolamento in materia di resilienza operativa digitale per il settore finanziario (Digital operational resilience act, Dora) nasce sulla scorta di studi pregressi e proposte formulate dalle tre autorità di supervisione europea (European supervisory authority, Esa), ossia l’European banking authority (Eba), l’European securities and Markets authority (Esma) e l’European insurance and Occupational pensions authority (Eiopa).

Regolamento Dora, le regole per la resilienza operativa digitale nel settore finanziario

Da qui, nel dicembre 2019 la Commissione europea avviò una consultazione pubblica che indagava su sviluppo, aggiornamento e standardizzazione per tutto il settore finanziario dei requisiti attinenti alla gestione dei rischi di sicurezza Ict, all’Incident reporting, a un Framework di test per la Digital operational resilience, alla supervisione sui fornitori di servizi Ict ritenuti critici, all’attività collaborative di condivisione di informazioni minacce Ict.

La consultazione e le riflessioni

Gli esiti di tale consultazione e le riflessioni condotte anche in ambito Egbpi (Expert group on Banking, payments and insurance) hanno portato la Commissione a orientarsi verso l’introduzione di un atto, sotto forma di Regolamento, per introdurre una legge sulla resilienza operativa digitale dei servizi finanziari tale che prevedesse un quadro completo a livello dell’Ue, con norme coerenti rispondenti alle esigenze di resilienza operativa digitale di tutte le entità finanziarie regolamentate e per istituire un quadro di sorveglianza per i fornitori Ict critici.

Nel settembre 2020 la Commissione europea, nell’ambito del Pacchetto digitale sulla digitalizzazione del settore finanziario ha inserito quattro proposte di atti normativi dell’Unione, fra cui il Regolamento in materia di resilienza operativa digitale per il settore finanziario denominato Dora.

L’accordo provvisorio

Dopo una ulteriore fase di consultazioni con tutti i settori interessati oltre alle autorità europee, il Consiglio europeo ha adottato il suo mandato negoziale su Dora il 24 novembre 2021. Il trilogo tra Parlamento, Consiglio e Commissione è iniziato il 25 gennaio 2022 e si è concluso con l’accordo provvisorio raggiunto lo scorso 11 maggio. Il testo concordato è stato poi approvato Il 10 novembre 2022 dal Parlamento europeo e ha successivamente ottenuto l’approvazione finale dal Consiglio europeo. È attesa a breve sua pubblicazione sulla Gazzetta Ufficiale.

I contenuti generali

Come indicato all’articolo 1, il regolamento stabilisce obblighi uniformi in relazione alla sicurezza delle reti e dei sistemi informativi che sostengono i processi commerciali delle entità finanziarie, allo scopo di conseguire un elevato livello di resilienza operativa digitale e prevede norme applicabili alle entità finanziarie in materia di:

  • gestione dei rischi Ict (delle tecnologie dell’informazione e della comunicazione)
  • segnalazione alle autorità competenti degli incidenti Ict gravi
  • test di resilienza operativa digitale
  • condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche
  • misure relative alla gestione, dei rischi Ict derivanti da terze parti; tali misure sono declinate in obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi di Ict ed entità finanziarie; quadro di sorveglianza per i fornitori terzi di servizi di Ict critici, allorché forniscono i loro servizi a entità finanziarie
  • norme sulla cooperazione, applicazione e vigilanza da parte delle autorità competenti in relazione a tutte le questioni trattate dal presente regolamento.

I soggetti coinvolti

Nell’articolo 2 si specifica che il regolamento si applica sostanzialmente a tutte le entità finanziarie inclusi istituti di credito, istituti di pagamento, istituti di moneta elettronica, società di investimento, fornitori di servizi di criptovalute, depositari centrali di titoli, gestori di fondi di investimento alternativi, fornitori di servizi di crowdfunding, assicurazioni nonché i loro principali fornitori per servizi Ict. Si rivolge, quindi, ad una platea stimata in oltre 20.000 operatori alcuni dei quali non soggetti in tutto o in parte a precedenti a normative in argomento.

Già sotto questo profilo il regolamento rappresenta una grande novità in grado di uniformare la gestione del rischio e l’orientamento alla resilienza in ambito Ict su tutto il panorama dei servizi finanziari.

A tal fine si indica la resilienza operativa digitale (articolo 3) come la capacità dell’entità finanziaria di creare, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente, tramite il ricorso ai servizi offerti da fornitori terzi di Ict, l’intera gamma delle capacità connesse per garantire la sicurezza delle reti e dei sistemi informativi impiegati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni.

Il Regolamento prescrive anche gli oneri per l’Esa riguardo alla definizione di diverse Rts (Regulatory technical standards), per attività di Oversight sulle terze parti Ict e altre funzioni connesse alla applicazione del Regolamento.

Nel dettaglio

Come descritto nell’articolo 5, Governance e organizzazione sono di diretta responsabilità dell’organo di gestione dell’entità finanziaria che definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi Ict fine di acquisire un elevato livello di resilienza operativa digitale. In tal senso:

  • assume la responsabilità finale per la gestione dei rischi Ict dell’entità finanziaria
  • predispone politiche miranti a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati
  • definisce chiaramente ruoli e responsabilità per tutte le funzioni connesse al Ict e stabilisce adeguati meccanismi di governance
  • definisce e approva la strategia di resilienza operativa digitale e determina il livello appropriato di tolleranza per i rischi Ict
  • approva e riesamina periodicamente l’attuazione della politica di continuità operativa Ict e dei piani di risposta e ripristino in caso di disastro
  • approva e riesamina periodicamente i piani di audit in materia Ict
  • assegna e riesamina periodicamente il bilancio adeguato a soddisfare le esigenze di resilienza operativa digitale rispetto a tutti i tipi di risorse, compresa la formazione sui rischi Ict e sulle relative competenze per tutto il personale pertinente
  • approva e riesamina periodicamente la politica dell’entità finanziaria relativa alle modalità per l’uso dei servizi Ict prestati da fornitori terzi.

Alla Gestione del rischio Ict sono riservati gli articoli da 6 a 16 che riportano ampi riferimenti a best practice e standard internazionali per la formalizzazione del Quadro per la gestione dei rischi informatici articolato nelle fasi identificazione, protezione e prevenzione, individuazione, risposta e ripristino, apprendimento, evoluzione e comunicazione, comunicazione degli incidenti Ict che contenga, fra l’altro, strategie, politiche, procedure, protocolli e strumenti necessari per proteggere tutti i patrimoni informativi , le risorse Ict e le infrastrutture necessarie per la loro gestione.

First Council working Party

(Immagine fonte: Commissione europea, First Council working Party)

Il quadro per la gestione dei rischi Ict deve essere aggiornato annualmente o a fronte di gravi incidenti, e contenete una strategia di resilienza operativa digitale oltre a diversi elementi quali:

  • la separazione tra funzioni di gestione, funzioni di controllo e funzioni di audit interno, secondo il modello delle tre linee di difesa
  • il livello di tolleranza per i rischi Ict, conformemente alla propensione al rischio dell’entità finanziaria
  • chiari obiettivi in materia di sicurezza delle informazioni
  • l’architettura di riferimento e le sue eventuali modifiche
  • meccanismi introdotti per individuare e prevenire gli incidenti Ict e per proteggersi dal loro impatto
  • una strategia olistica, basata su una varietà di fornitori Ict, che indichi le principali dipendenze e che spieghi la logica sottesa
  • una strategia di comunicazione in caso di incidenti Ict;
  • identificazione, classificazione e documentazione di tutte le funzioni commerciali connesse a sistemi Ict, ai patrimoni di informazioni su cui fondano tali funzioni, nonché le configurazioni interconnessioni con sistemi Ict sia interni che esterni
  • costante monitoraggio e identificazione di tutte le fonti di rischi Ict, in particolare l’esposizione al rischio da e verso altre entità finanziarie, valutando minacce informatiche e vulnerabilità pertinenti per le loro funzioni commerciali e i loro patrimoni di informazioni
  • una politica di sicurezza dell’informazione che definisce le norme per tutelare la riservatezza, l’integrità e la disponibilità di risorse, dati e patrimoni di informazioni propri e dei propri clienti
  • una politica di continuità operativa dedicata ed esaustiva alle componenti Ict come parte integrante della propria politica di continuità operativa, con l’obiettivo di favorire una efficace ed efficiente ripresa da incidenti Ict e di tipo cyber
  • Piani di comunicazione
  • Piani di test
  • Meccanismi di verifica, aggiornamento ed evoluzione dell’ Ict risk management framework.

È richiesta l’adozione di strategie, politiche, procedure, protocolli e strumenti per la sicurezza Ict miranti in particolare a garantire la resilienza, la continuità e la disponibilità dei sistemi, nonché a mantenere standard elevati di sicurezza, riservatezza e integrità dei dati. Fra queste anche politiche di backup, previsione di siti alternativi, anche per le terze parti e piani di comunicazione.

La Norma riporta ulteriori dettagli operativi, e viene, inoltre, richiesto alle Esa di elaborare Rts inerenti a quanto sopra descritto.

Il Processo di Gestione Classificazione e Comunicazione degli incidenti Ict, descritto negli artt. 17-23 richiede in sintesi di:

  • definire, stabilire e implementare un processo e procedure per la gestione degli incidenti comprensive di attività di monitoraggio, registrazione, gestione, segnalazione e comunicazione
  • individuare ruoli e responsabilità per la gestione degli incidenti
  • prevedere in caso di incidente, piani di comunicazione sia verso l’intero che verso l’esterno
  • registrare, categorizzare e classificare gli incidenti in base alla loro priorità, nonché alla gravità e alla criticità dei servizi colpiti secondo criteri specifici (in parte definiti in parte da definire negli Rts)
  • segnalare all’Esa di riferimento dei soli incidenti classificati gravi tramite una notifica iniziale (appena possibile), una (o più) relazione intermedia (non appena lo stato originario dell’incidente cambia in maniera significativa o vi siano nuove informazioni significative) e una relazione finale (alla chiusura dell’incidente).

È richiesto alle Esa di qualificare i criteri di classificazione degli incidenti, stabilire il contenuto delle segnalazioni relative agli incidenti gravi nonché definire i formati, i modelli e le procedure standard con cui le entità finanziarie devono segnalare un incidente grave oltre ai termini di notifica. La norma chiede alle Esa anche di valutare la fattibilità dell’ulteriore centralizzazione delle segnalazioni degli incidenti mediante l’istituzione di un polo UE unico per la segnalazione degli incidenti gravi.

Regolamento DORA sulla resilienza digitale: cosa cambia per gli operatori finanziari

I test di resilienza

In merito all’articolazione dei Test di resilienza operativa digitale, descritta negli artt. 24-27 è richiesta la predisposizione di un Piano di test che comprende le valutazioni, metodologie, pratiche e strumenti da impiegare tra cui individuazione e valutazione delle vulnerabilità, esami del codice sorgente (ove fattibile) e  componenti open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di software di scansione, test di compatibilità, test basati su scenari, test di prestazione, test end-to-end e penetration test.

A tal fine si prescrive:

  • un approccio basato sul rischio tenendo conto del mutevole contesto dei rischi Ict e di eventuali rischi specifici cui l’entità finanziaria è o potrebbe essere esposta
  • l’esecuzione di test da parte di soggetti indipendenti (interni o esterni)
  • di sottoporre a test con cadenza almeno annuale tutte le applicazioni e i sistemi Ict a supporto di funzioni essenziali o importanti
  • di sottoporre a test Tlpt (Threat led penetration testing) con cadenza almeno triennale le componenti Ict delle funzioni e dei servizi critici delle entità finanziarie identificate come significant.

I test Tlpt sono da effettuarsi sui sistemi di produzione secondo ambiti di applicazione concordati con le autorità e con il coinvolgimento, se del caso, dei fornitori Ict.

Alle Esa è demandato il compito di identificare le entità finanziarie tenute a svolgere test Tlptsecondo modalità proporzionate alle dimensioni, all’attività e al profilo di rischio complessivo dell’entità finanziaria stessa. Ulteriori dettagli, assieme al raccordo con l’attuale framework di test Tiber-Eu saranno stabiliti dalle Esa nell’ambito degli Rts che sono chiamate a proporre.

Sono infine definiti alcuni requisiti per i tester che posso essere sia interni che esterni all’azienda.

L’ampio Capo V del Dora è dedicato alla Gestione dei Rischi Ict derivanti da Terze Parti (artt. 28-44) ed è a sua volta suddiviso in due sezioni:

  • Principi Fondamentali per una Solida Gestione Dei Rischi Ict Derivanti Da Terzi (artt. 28-30)
  • Quadro Di Sorveglianza Dei Fornitori Terzi Di Servizi Ict Critici (artt. 31-44).

Riguardo al primo punto relativo ai requisiti per le entità finanziarie che si avvalgono di fornitori Ict, viene preliminarmente mantenuto integro il principio di piena responsabilità delle entità finanziarie per il rispetto e dell’adempimento di tutti gli obblighi previsti dal Dora (e dalla legislazione applicabile in materia di servizi finanziari) anche in caso di accordi contrattuali per l’utilizzo di servizi di Ict per lo svolgimento delle proprie operazioni commerciali.

Le terze parti

Sono poi descritti diversi principi e norme per il monitoraggio dei rischi Ict derivanti dalle terze parti e per il mantenimento di un registro degli accordi contrattuali. Fra gli altri, si richiede:

  • una strategia di gestione del rischio di terze parti Ict, con uno screening continuo di tutte le dipendenze dai fornitori
  • la segnalazione alle autorità sui contratti Ict previsti per funzioni essenziali
  • un attento processo di selezione e monitoraggio dei fornitori Ict comprensivo della valutazione dei rischi di concentrazione, di limitata sostituibilità e di accordi di subfornitura prospettati dal fornitore
  • la scelta solo di fornitori che soddisfano standard adeguati di sicurezza informatica
  • l’armonizzazione di elementi chiave dei contratti di outsourcing fra cui completa descrizione del servizio; evidenza di dove sono trattati/ conservati i dati e relative al trattamento dei dati personali; indicazione di livelli di servizio con soglie quantitative e qualitative; diritti di monitoraggio audit e ispezione sul fornitore; obblighi di reporting e di assistenza in caso di incedente per i provider Ict; requisiti specifici per l’implementazione e il testing dei piani di continuità operativa dei provider Ict; determinazione dei diritti di recesso e di strategie di uscita; predisposizione di piani di uscita con soluzioni alternative e piani di transizione che consentano di togliere le funzioni previste dal contratto e i relativi dati al fornitore esaustivi, documentati e, se del caso, sottoposti a test adeguati e obbligo di rispetto delle normative europee da parte del fornitore
  • coordinamento dei piani di continuità sia con le forniture Ict che con i relativi piani di uscita
  • l’impiego di fornitori Ict residente presso l’Unione europea almeno per quei fornitori identificabili come critici dalle Esa.

In proposito le successive norme relative al Quadro di sorveglianza dei fornitori terzi di servizi Ict critici introducono un meccanismo di classificazione e supervisione dei fornitori Ict ritenuti critici e che costituisce una delle novità principali introdotte da Dora. Infatti, tali fornitori vengono identificati dalle Esa e riportati in una lista soggetta a revisione annuale, sulla base di:

  • impatto di un eventuale interruzione dell’offerta di servizio
  • grado di rilevanza del soggetto che affida il contratto
  • grado di sostituibilità del provider
  • eventuale coinvolgimento di funzioni o servizi critici
  • Numero di Stati membri in cui il provider offre i servizi
  • Numero di Stati membri in cui operano i soggetti che esternalizzano a tali provider.

Tali fornitori saranno quindi oggetto di sorveglianza specifica (da parte di una delle Esa che sarà indicata come capofila) per valutare se abbiano predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci per gestire i rischi Ict cui possono esporre le entità finanziarie.

Al tal fine l’autorità di vigilanza potrà richiedere informazioni, documentazioni, relazioni sui piani di miglioramento, condurre ispezioni ed istruttorie, formulare raccomandazioni, porre vincoli operativi e definire penali.

Quale estrema ratio, le autorità possono chiedere alle entità finanziarie di sospendere temporaneamente, in tutto o in parte, l’utilizzo o l’introduzione di un servizio prestato dal fornitore Ict critico, fino a quando non siano stati affrontati i rischi identificati nelle raccomandazioni trasmesse al fornitore. Laddove si renda necessario, le autorità competenti possono chiedere alle entità finanziarie di risolvere, in tutto o in parte, gli accordi contrattuali pertinenti stipulati col fornitore Ict ritenuto inadempiente.

Lo scambio di informazioni

Agli accordi di infosharing è dedicato il solo articolo 45 che consente alle entità finanziarie di scambiarsi reciprocamente informazioni e dati sulle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme per la cybersicurezza e strumenti di configurazione.

Ciò è tuttavia soggetto ad alcuni vincoli. In particolare, è richiesto che l’interscambio si svolga entro comunità fidate, si realizzi con meccanismi che tutelano la natura potenzialmente sensibile delle informazioni condivise e siano disciplinati da norme di condotta pienamente rispettose della riservatezza dell’attività economica, della protezione dei dati personali e delle linee direttrici sulla politica in materia di concorrenza. È altresì richiesto che le entità finanziarie notifichino alle autorità competenti la propria partecipazione ai meccanismi di condivisione delle informazioni.

I successivi articoli del Dora sono dedicati alle norme per le autorità competenti, alle disposizioni transitorie, alle clausole di riesame e coordinamento con altri regolamenti.

L’articolo finale specifica che il regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea (attesa entro l’anno) e che si applica a decorrere dal 24 mesi dopo la data di entrata in vigore dunque, in ipotesi, a partire dal 2025.

Si precisa infine che Il regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

PSD2 e cybersecurity, Banca d’Italia: “Queste le regole che proteggono la nuova fase dei pagamenti”

È tutto pronto?

Se dunque il testo del Dora è definito e si può già immaginare che la data di applicazione sarà posta ad inizio 2025, l’implementazione dei requisiti richiederà prima la definizione dei numerosi Rts che le Esa sono chiamate a definire.

Tali Rts riguarderanno, fra l’altro:

  • Formati e contenuti dei Framework di resilienza operativa Ict
  • Comunicazioni in caso di incidente
  • Modelli di politiche e di registro delle terze parti
  • Test Tlpt e armonizzazione con Tiber-Eu.

Sono più di 10 gli Rts richiesti alle Esa che conterranno norme e criteri di diretta applicazione da parte delle entità finanziarie (vedi riquadro 2) e astrattamente potrebbero contenere elementi innovativi con impatti al momento non prevedibili sulle procure aziendali. Ulteriori RTS riguarderanno invece l’operato delle Esa nell’ambito delle funzioni conferitegli dal Dora.

Molti di questi Rts dovrebbero essere definiti entro 12 mesi, altri entro 18 mesi. È dunque ipotizzabile che alcuni aspetti del Dora saranno applicati progressivamente.

Le relazioni con altre normative

Gli articoli del DORA intersecano aspetti trattati in diverse preesistenti normative, fra cui Psd 2, Mfid 2, Nis 2, Gdpr, Esa (Eba, Eiopa, Esma) Guidelines, Tiber-Eu, la Circolare 285 oltre a regolamenti Ivass e Tuf (Consob).

In relazione al raccordo con tale esistente quadro normativo, si evidenzia che Dora costituirà per il settore finanziario lex specialis e dunque prevarrà in caso di contrasto su altre regolamentazioni, che, tuttavia, permangono. Questo avrà effetti anche sull’attuale assetto di competenze (in Italia affidate al Mef in collaborazione con Banca d’Italia e Consob) e necessiterà di un più ampio raccordo con la normativa nazionale in materia di sicurezza cibernetica.

Agenzia cyber e Banca d’Italia, la collaborazione per difendere il Paese

Alcune considerazioni

Durante l’evoluzione del testo Dora si sono condivise in ambito bancario talune riflessioni sulle formulazioni della normativa osservando, preliminarmente che diversi elementi “tecnici” sembravano necessitare di una migliore e più precisa definizione, ma su questo si dovrà attendere la disponibilità degli Rts per considerazioni finali.

L’introduzione di obblighi legislativi nella formulazione dei contratti di servizio con i fornitori fa divenire tali aspetti prerequisiti contrattuali e non più oggetto di negoziazione facilitando la relazione con il fornitore soprattutto da parte dei soggetti di minore dimensione e dunque con minore potere contrattuale.

Si apprezza molto la tensione verso modalità di segnalazioni incidenti Ict uniformate e si auspica che si possa presto giungere a un framework di segnalazione completamente armonizzato e in grado di soddisfare la totalità delle normative in vigore.

Poiché il settore bancario nazionale è uno dei settori organizzativamente e tecnologicamente più avanzati in tema di resilienza e gestione del rischio Ict, grazie anche ad una normativa specifica evoluta, risulta da una pima e sommaria analisi che molte delle previsioni del Dora siano almeno in parte già implementate dagli operatori che in tal senso hanno operato in passato significativi investimenti. Si auspica che gli Rts richiesti dal Dora considerino i già presenti standard tecnici e forniscano un quadro che permetta alle aziende di trarre vantaggio da questo regolamento rendendo più efficace la gestione di tematiche così rilevanti.

Cosa si può fare subito

Sicuramente non si può aspettare la disponibilità di tutti gli Rts per avviare analisi e le implementazioni necessarie alla adozione del Dora anche perché diversi aspetti sono comunque già definiti almeno nelle loro linee generali.

Il primo passo dovrebbe essere una attenta analisi della nuova normativa per:

  • individuare le differenze e le innovazioni rispetto alla normativa corrente
  • censire tutti i numerosi documenti richiesti dal Dora alle entità finanziarie (denominati nel testo alternativamente come policy, piani, processi, framework, strategie, assesment, analisi, registri, eccetera) a testimonianza del rispetto di diverse norme
  • raccogliere quesiti interpretativi o relativi all’applicazione della norma nel proprio specifico contesto da indirizzare verso le autorità assieme a ogni esigenza di ulteriori dettagli o chiarimenti.

Gli elementi così raccolti potranno aiutare a condurre una gap analisys tesa ad individuare:

  • il grado aderenza alla norma della propria organizzazione “as is”;
  • la documentazione prevista da Dora eventualmente già presente in azienda anche se con nome diverso o con contenuti parziali rispetto a quelli richiesti;
  • a livello macro, gli adeguamenti necessari e le priorità di intervento;
  • gli impatti sulle diverse funzioni bancarie ed i conseguenti punti di attenzione e conseguentemente un piano di lavoro per l’implementazione di quanto richiesto da Dora entro il 2024 al fine di rientrare nei tempi di applicazione.

Questo dovrebbe essere definito con il supporto delle diverse aree toccate dalle norme e dunque non solo tecniche ma anche organizzative e di business. Al riguardo è evidente che Dora non è questione “da tecnici” da relegare quindi nell’ambito dei processi IT o di gestione dei rischi ma richiede il coinvolgimento attivo dell’organo di governo e di numerose funzioni (di continuità operativa, comunicazione e procurement solo per citarne alcune).

Al di là del mero rispetto della norma, l’introduzione del Dora può offrire anche opportunità e benefici conseguenti all’adozione di un approccio compiutamente resiliente. Infatti, il Dora indirizza principalmente la sicurezza e i rischi “digitali” in quanto le risorse tecnologiche sono primarie per il settore e la loro indisponibilità a seguito di eventi di vario genere possono condurre a gravi conseguenze per le banche stesse, ai loro clienti e/o all’intero settore finanziario. Non di meno I principi espressi dal Dora possono in gran parte essere di supporto anche per la protezione e la resilienza delle altre risorse indispensabili per il funzionamento del settore bancario.

Ambito di applicazione del Dora

I soggetti a cui si applica il Digital operational resilience act sono:

  • enti creditizi
  • istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366
  • prestatori di servizi di informazione sui conti
  • istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE
  • imprese di investimento
  • fornitori di servizi per le cripto-attività
  • depositari centrali di titoli
  • controparti centrali
  • sedi di negoziazione
  • repertori di dati sulle negoziazioni
  • gestori di fondi di investimento alternativi
  • società di gestione
  • fornitori di servizi di comunicazione dati
  • imprese di assicurazione e di riassicurazione
  • intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio
  • enti pensionistici aziendali o professionali
  • agenzie di rating del credito
  • amministratori di indici di riferimento critici
  • fornitori di servizi di crowdfunding
  • repertori di dati sulle cartolarizzazioni
  • fornitori terzi di servizi Ict.

Rts e altri documenti richiesti da Dora alle Esa

In questo elenco figura solo i documenti di diretta applicazione sulle entità finanziarie:

  • Esas Guidelines on the estimation of aggregated annual costs and losses caused by major ICT incidents
  • Rtss on further harmonization of Ict risk management tools, methods, processes and policies
  • Rtss on the simplified Ict risk management framework
  • Rtss on the classification of Ict -related incidents, including materiality thresholds
  • Rtss on harmonizing reporting content and timelines
  • Itsss on harmonizing reporting templates, forms and procedures
  • Rtss in accordance with Tiber-Eu framework on specifying Tlpt requirements
  • Itss on the standard templates for the register of information
  • Rtss on the content of the policy in relation to the contractual arrangements on the use of Ict services concerning critical or important functions provided by Tpps
  • Rtss on the elements to determine and assess when sub-contracting critical or important functions
  • Criteria for Designation of critical Ict third-party service providers

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Ricetta bianca solo digitale: la novità che discrimina i deboli