Il Parlamento europeo con risoluzione legislativa del 10 novembre 2022 sulla proposta di “Regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario” ha introdotto e modificato alcune disposizioni della norma, approvandone il contenuto in termini sostanziali.
Nella medesima risoluzione si chiede alla Commissione di presentare nuovamente la proposta in caso di introduzione di modifiche sostanziali e al contempo si trasmette la posizione del Parlamento al Consiglio e alla Commissione nonché ai parlamenti nazionali.
Si è conclusa così una delle ultime tappe dell’iter legislativo per l’approvazione del Regolamento Digital Operational Resilience Act (DORA), la cui entrata in vigore è ormai alle porte.
La resilienza digitale del settore finanziario
D’altronde l’uso onnipresente dei sistemi ICT, l’elevata digitalizzazione e la preponderante connettività sono oggi caratteristiche fondamentali delle attività finanziarie europee, ma la loro resilienza digitale deve essere ancora affrontata e integrata in maniera più efficace nei quadri operativi di portata, senza dubbio, più ampia.
Con focus nel settore bancario, complice dapprima la PSD2 e poi la situazione epidemiologica, negli ultimi anni abbiamo assistito a una importante digitalizzazione e interconnessione delle organizzazioni e dei prodotti e servizi sempre più iperconnessi; oggi anche il settore assicurativo è ormai stato trasformato dall’uso dei sistemi ICT, dall’emergere di intermediari assicurativi che offrono i loro servizi online e che operano con InsurTech fino alla sottoscrizione di assicurazioni digitali.
Ciò dimostra che non solo l’intero settore finanziario è diventato in larga misura digitale, ma la digitalizzazione ha anche reso più marcate le interconnessioni e le dipendenze all’interno del settore e nei confronti di fornitori terzi di infrastrutture e servizi ICT.
La resilienza operativa è dunque un punto di arrivo legislativo e regolamentare, ma rappresenta altresì anche un punto di partenza per la costruzione di modelli operativi più solidi e più efficaci al fine di offrire adeguate tutele ai consumatori e costruire una più salda reputazione del settore finanziario.
Regolamento DORA sulla resilienza digitale: cosa cambia per gli operatori finanziari
Entrando nel merito degli emendamenti al testo della norma così come da ultimo approvata, gli interventi hanno interessato ciascun Capo della stessa, ovvero:
Disposizioni generali
Tra le varie, si inserisce nell’ “Oggetto” anche la notifica su base volontaria delle minacce informatiche significative. Mentre rispetto all’ambito di applicazione soggettive si segnalano solo alcune delle novità più rilevanti e precisamente:
- Estensione del perimetro di applicazione e precisazione rispetto a:
istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366; prestatori di servizi di informazione sui conti; istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;
- Esclusioni espresse rispetto a:
gestori di fondi di investimento alternativi di cui all’articolo 3, paragrafo 2, della direttiva 2011/61/UE; imprese di assicurazione e di riassicurazione di cui all’articolo 4 della direttiva 2009/138/UE; enti pensionistici aziendali o professionali che gestiscono schemi pensionistici che contano congiuntamente non più di 15 aderenti in totale; persone fisiche o giuridiche esentate a norma degli articoli 2 e 3 della direttiva 2014/65/UE; intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio che sono microimprese o piccole o medie imprese; uffici dei conti correnti postali di cui all’articolo 2, paragrafo 5, punto 3), della direttiva 2013/36/UE.
Nell’ambito delle definizioni viene introdotto il concetto di fornitore infragruppo di servizi ICT e tra le varie modifiche si segnala la modifica della definizione di servizi ICT ricomprendendo espressamente anche l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali.
Infine viene introdotto, in linea con la nostra normativa nazionale, il principio di proporzionalità ovverosia la necessità per le entità finanziarie di attuare le norme di cui al capo II, III, IV e V conformemente al principio di proporzionalità, tenendo conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, delle loro attività e della loro operatività.
Gestione dei rischi informatici
Quanto alla governance sono consolidati e rafforzati i compiti e le responsabilità dell’organo di gestione, in particolare rispetto alle politiche da definire e adottare in linea con gli standard di sicurezza e a garanzia della resilienza operativa digitale. Permane in capo allo stesso il compito di programmare attività di sensibilizzazione e formazione su tutta la popolazione aziendale nonché in modo specifico sui componenti dello stesso organo.
Nell’ambito del framework di gestione dei rischi ICT, tra le principali novità emerge che le responsabilità della gestione e sorveglianza dei rischi ICT sia affidata ad una funzione di controllo indipendente che potrà esternalizzare a imprese interne o esterne al gruppo i compiti di verifica della conformità ai requisiti in materia di gestione dei rischi informatici.
Tra le varie, si legge inoltre che, le entità finanziarie possono, nel contesto della strategia di resilienza operativa digitale definire una strategia olistica per le risorse ICT a livello di gruppo o di entità, basata su una varietà di fornitori, che indichi le principali dipendenze da fornitori terzi di servizi ICT e che spieghi la logica sottesa alla ripartizione degli appalti tra i fornitori terzi di servizi ICT.
Sono state inoltre introdotte delle nuove previsioni in ordine alla continuità operativa. In particolare, nell’ambito della politica generale di continuità operativa, le entità finanziarie effettuano un’analisi dell’impatto sulle attività aziendali (Business Impact Analysis – BIA) delle loro esposizioni a gravi perturbazioni delle attività. Nel quadro della BIA, le entità finanziarie valutano l’impatto potenziale di gravi perturbazioni delle attività mediante criteri quantitativi e qualitativi, utilizzando, se del caso, dati interni ed esterni e analisi di scenario. La BIA tiene conto della criticità delle funzioni commerciali, dei processi di supporto, delle dipendenze da terzi e dei patrimoni informativi individuati e mappati, nonché delle loro interdipendenze. Le entità finanziarie provvedono affinché le risorse TIC e i servizi TIC siano progettati e utilizzati in piena conformità con la BIA, in particolare garantendo adeguatamente la ridondanza di tutte le componenti essenziali.
È inoltre introdotto un quadro semplificato per la gestione dei rischi ICT per le entità indicate all’art. 16 tra le quali le imprese di investimento piccole dimensioni, agli istituti di pagamento e di moneta elettronica esentati dalle rispettive direttive di riferimento.
Gestione, classificazione e segnalazione degli incidenti informatici
Rispetto agli incidenti di sicurezza si segnala la novità relativa alla:
- classificazione delle minacce informatiche come significati in base alla criticità dei servizi a rischio, comprese le operazioni dell’entità finanziaria, il numero e/o la rilevanza di clienti o controparti finanziarie interessati e l’estensione geografica delle aree a rischio.
- notificazione su base volontaria delle minacce informatiche significative.
Test di resilienza operativa digitale
Alcune ulteriori previsioni sono state integrate nell’ambito dei test di resilienza operativa su strumenti, sistemi ICT e processi ICT nonché rispetto ai requisiti e alle condizioni necessari per la loro pianificazione ed esecuzione.
Gestione dei rischi ICT derivanti da terzi
Nella versione del testo in analisi non vi sono particolare novità introdotte o previsioni che non siano già ampiamente disciplinate da altre normative, tra queste la normativa in materia di dati personali.
Si segnala tuttavia la necessità di prevedere in tutti gli accordi contrattuali le condizioni riguardanti la partecipazione dei fornitori terzi di servizi TIC ai programmi di sensibilizzazione sulla sicurezza delle TIC e alle attività di formazione sulla resilienza operativa digitale delle entità finanziarie conformemente all’articolo 13, paragrafo 6 del Reg. Dora.
Quanto ai contenuti contrattuali per l’utilizzo di servizi ICT a supporto delle FEI sono state effettuate delle integrazioni come, ad esempio, con riferimento alla costruzione dei livelli di servizio per le FEI nonché agli obblighi di segnalazione per il fornitore di servizi in caso di sviluppi che potrebbero incidere in modo significativo sulla capacità per il fornitore di prestare i servizi a supporto delle FEI (previsioni tuttavia già previste dalla Circ. 285/13 e EBA).
Entrata in vigore
Allo stato attuale la normativa prevede che il Regolamento diventerà applicabile decorsi i 24 mesi dalla data di entrata in vigore.
Contesto nazionale
Nel contesto nazionale italiano, Banca d’Italia anticipando le previsioni riguardanti la struttura e il modello di gestione dei rischi ICT in data 3 novembre 2022 ha pubblicato il 40° aggiornamento della Circolare n. 285/2013 rendendo le disposizioni introdotte già in vigore. Pertanto gli istituti bancari dovranno avviare i percorsi di adeguamento entro e non oltre giugno 2023.
Resta ferma la prossima pubblicazione del Regolamento Dora che potrà modificare le sorti degli interventi legislativi di rango inferiore.
