norme ue

Regolamento DORA sulla resilienza digitale: cosa cambia per gli operatori finanziari

Il Digital Operational Resilience Act mira ad armonizzare i principali requisiti di resilienza operativa digitale nel settore finanziario attraverso l’attuazione da parte delle imprese di misure di governance, cyber/ICT risk management e incident reporting. I pilastri del regolamento, l’impatto sulle imprese, prossimi step

Pubblicato il 17 Nov 2022

Giorgia Carneri

Data Protection Specialist, DLA Piper

Maria Chiara Meneghetti

Avvocato esperto di data protection, DLA Piper

resilient-4899283_1920 (1)

Il 10 novembre 2022, dopo l’approvazione della Direttiva NIS2, il Parlamento UE ha adottato in prima lettura anche il Regolamento DORA (Digital Operational Resilience Act), che ha l’ambizioso obiettivo di consolidare e armonizzare a livello europeo i principali requisiti di resilienza operativa digitale nel settore finanziario.

Il Regolamento si inserisce in un più ampio pacchetto europeo di misure strategiche per il Fintech (che include una proposta di regolamento sui mercati delle cripto-attività, MiCA, e una sulla tecnologia di registro distribuito, DLT) e vuole assicurare che le imprese del settore siano in grado di affrontare attacchi informatici e perturbazioni operative, attraverso l’implementazione di misure di governance, cyber/ICT risk management e incident reporting.

Obiettivi, ambito e termine per l’applicazione del Regolamento DORA

Negli ultimi dieci anni, l’utilizzo di tecnologie dell’informazione e comunicazione (ICT) ha rivoluzionato il settore finanziario e acquisito un ruolo centrale nella sua operatività quotidiana. La trasformazione digitale non è però stata accompagnata da un’adeguata consapevolezza e gestione dei rischi informatici a cui il settore diventa sempre più esposto. Le previsioni in materia di sicurezza informatica sono rimaste finora sparse in diversi atti dell’UE, non sempre tra loro coerenti e differenziate a livello nazionale.

Perché un regolamento

La crescita e gravità degli attacchi cyber, il pericolo di conseguenze sistemiche e le lacune del quadro normativo esistente hanno portato al concepimento del Regolamento DORA, che si prefigge di regolare in maniera uniforme la “resilienza operativa” nel settore finanziario in UE. L’obiettivo è quindi imporre l’adozione di requisiti standardizzati, necessari a garantire che le entità finanziarie che operano in Europa siano poste nelle condizioni di prevenire, resistere e reagire alle minacce informatiche di cui potrebbero essere bersaglio. A tal fine, il Regolamento introduce un corpus armonizzato di misure tecnico-organizzative volte ad abilitare e sostenere il potenziale innovativo della finanza digitale mitigando, al contempo, i rischi che derivano dall’innovazione tecnologica.

A chi si applica il Regolamento DORA

La portata del Regolamento DORA è molto ampia e impatterà quasi tutti gli operatori del settore finanziario. Si applicherà infatti non solo a enti finanziari di stampo “tradizionale” (per esempio, banche, imprese di investimento e assicurazioni), ma anche ai “nuovi attori” del mercato quali aziende di servizi di cripto-asset e fornitori critici di servizi ICT (e.g. fornitori di servizi cloud).

Quando sarà operativo

Gli operatori interessati potranno beneficiare di un grace period di 24 mesi a partire dalla data di entrata in vigore del Regolamento DORA per attuare tutti gli adempimenti necessari da un punto di vista tecnico-organizzativo per conformarsi alla normativa in oggetto.

Fintech, i principali rischi cyber e tre rimedi tecnologici

I pilastri del Regolamento DORA

Il Regolamento può essere sintetizzato in tre pilastri principali.

Governance e organizzazione interna (Art. 5)

Le entità finanziarie dovranno dotarsi di una governance interna e di un quadro di controllo tali da garantire una gestione efficace e prudente di tutti i rischi ICT, al fine di raggiungere un elevato livello di resilienza operativa digitale. In particolare, occorrerà attribuire una serie definita di compiti all’organo di gestione dell’ente finanziario, che rimane il principale responsabile della gestione complessiva dei rischi ICT.

Risk management (Artt. 6-16)

Le entità finanziarie dovranno disporre di un quadro di gestione del rischio ICT solido, completo e ben documentato come parte del loro sistema complessivo di gestione del rischio. Tra le altre cose, gli operatori dovranno avere cura di:

  • utilizzare strumenti e sistemi di ICT resilienti, tali da ridurre al minimo l’impatto dei relativi rischi;
  • identificare prontamente tutte le fonti di rischio e implementare meccanismi in grado di rilevare attività anomale;
  • adottare procedure interne e misure di protezione e prevenzione.

Il Regolamento introduce alcune semplificazioni per imprese esentate dagli obblighi rafforzati (es. piccole imprese di investimento non interconnesse), che non escludono però l’implementazione di basilari misure di mappature e gestione del rischio ICT.

Incident management e reporting (Artt. 17-23)

Numerose sono le previsioni introdotte in materia di gestione degli incidenti legati ai servizi ICT. Infatti, le entità finanziare dovranno:

  • prevedere e implementare politiche di continuità operativa e sistemi e piani di ripristino in caso di disastro relativo alle ICT;
  • dotarsi di capacità e personale idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le possibili conseguenze sulla loro resilienza operativa digitale;
  • prevedere piani di comunicazione nei confronti dei vari stakeholder.

Per quanto concerne, invece, la segnalazione degli incidenti connessi, le entità finanziarie dovranno stabilire e attuare un processo di gestione per monitorare e registrare gli incidenti connessi alle ICT, per classificarli e determinarne l’impatto e segnalarli, tramite una relazione, alle autorità competenti se ritenuti gravi.

Fornitori terzi di servizi ICT (Artt. 28-44)

Al fine di mitigare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori terzi di servizi, è previsto il conferimento alle autorità di vigilanza finanziaria di specifici poteri di sorveglianza.

Pertanto, oltre a prevedere un quadro di sorveglianza a livello europeo per i fornitori terzi di servizi ICT critici, saranno armonizzati gli aspetti contrattuali chiave (stipula, esecuzione, fase post-contrattuale) per garantire che le società finanziarie monitorino i rischi di terzi. Inoltre, al fine di garantire l’adeguato monitoraggio dei fornitori di servizi tecnologici che assolvono una funzione critica per il funzionamento del settore finanziario, per ciascun fornitore terzo di servizi ICT critico sarà definita una autorità di sorveglianza “capofila”.

Principali conseguenze per gli operatori e prossimi passi

È importante tenere presente che, per l’applicazione dei requisiti sopra riportati, il Regolamento DORA rimanda al principio di proporzionalità (Art. 4) e quindi, secondo una logica ormai consolidata e presente in numerose altre normative (prima fra tutte, ad esempio, il GDPR), rimette al singolo soggetto, l’onere di valutare e dimostrare il corretto livello dei requisiti che devono essere implementati.

Come prepararsi al Regolamento DORA

È molto probabile che le grandi imprese applichino già molti dei requisiti di gestione del rischio ICT previsti dal Regolamento.

Sarà comunque fondamentale per tutte le entità finanziarie adottare un approccio proattivo e consapevole, attraverso lo svolgimento di attività preparatorie che consentano di determinare l’effettivo impatto di DORA sulla propria organizzazione e di non trovarsi quindi impreparate al momento della sua applicazione. Tra queste, in particolare, sarà opportuno per gli operatori:

  • Gap analysis dell’ICT risk management framework: revisionare la struttura di governance interna e le misure di gestione dei rischi e incidenti ICT già adottate, per verificare la consapevolezza aziendale rispetto al nuovo impianto normativo e valutare se le risorse, le strategie e i piani di risposta e di ripristino in essere rispondano adeguatamente ai requisiti normativi. In caso contrario, occorrerà prevedere piani di aggiornamento e adeguamento.
  • Revisione dei meccanismi di incident reporting: valutare le capacità e la reattività dell’azienda in ambito di reportistica, e di conseguenza implementare da zero o adeguare le esistenti procedure di segnalazione degli incidenti, al fine di garantire un allineamento con i nuovi requisiti normativi.
  • Valutazione dei fornitori critici di servizi ICT: mappare i contratti con i fornitori terzi di ICT, valutandone la criticità rispetto all’operatività del business, revisionando e documentando le loro vulnerabilità per permettere la pianificazione di adeguate strategia di contenimento del rischio.

A loro volta, i fornitori di servizi ICT dovranno valutare la propria appartenenza alla categoria dei fornitori definiti “critici” e, in caso positivo, analizzare le azioni da intraprendere per soddisfare le nuove esigenze di supervisione da parte delle Autorità europee di Vigilanza (ABE, EIOPA, ESMA).

Infine, sarà importante per tutti gli operatori del mercato monitorare le posizioni e le indicazioni che saranno adottate dalle Autorità europee di Vigilanza, tra cui, in particolare, la definizione dei criteri in base ai quali determinate imprese saranno tenute a effettuare c.d. “threat led penetration test” almeno una volta ogni tre anni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

La rivincita dei contenuti utili: perché è meglio scrivere per gli umani e non per le macchine