HomeProcess AutomationSafety e CybersecurityDORA: il Regolamento europeo per la resilienza operativa digitale

DORA: il Regolamento europeo per la resilienza operativa digitale

Vincolante dal 17 gennaio 2025, il Regolamento DORA (Digital Operational Resilience Act) è uno strumento di armonizzazione per la gestione e la mitigazione del rischio ICT nel settore finanziario. Sana le difformità tra Stati membri, evitando sovrapposizioni o conflitti di interesse.

Ti potrebbero interessare ⇢

Marianna Capasso

Gli incidenti informatici sono una eventualità che può minare più terreni, alla luce della forte diffusione del digitale in diversi ambiti. Tra questi c’è anche quello finanziario. La risposta a tale labile condizione arriva da Bruxelles, e più precisamente da un Regolamento che armonizza e uniforma le diverse precedenti normative.

Con un unico atto si mette ordine al quadro legislativo ICT del comparto finance, offrendo una maggiore tutela all’utente finale. Parliamo del Digital Operational Resilience Act, anche noto come Regolamento DORA. Con le nuove disposizioni sono consolidati tutti i principi di cybersecurity che offrono al settore finanziario una forte resilienza digitale.

Viene quindi così data, ai 27 Paesi UE, una nuova e valida opportunità per sopravvivere alle offensive informatiche, tallone d’Achille del sistema economico. Implementato i giusti strumenti di tutela, le imprese saranno in grado di fronteggiarle o, per lo meno, questo secondo la teoria. Ma ci riusciranno?

DORA, la storia di un quadro normativo per la finanza digitale

Nel settembre 2020 la Commissione europea ha lanciato un pacchetto prescrittivo sulla finanza digitale. Sono diverse le misure destinate sia al fintech sia al comparto tradizionale, per far sì che le imprese riescano a resistere agli attacchi informatici. Il quadro normativo prevede l’implementazione di diverse misure, che spaziano dalla cybersecurity alla governance, prevedendo anche l’ICT risk management.

Tra i vari atti c’è anche il Digital Operational Resilience, il DORA. Dopo un iter alquanto lungo, il Regolamento è stato pubblicato in Gazzetta Ufficiale UE il 27 dicembre del 2022. In vigore dal successivo ventesimo giorno (il 16 gennaio 2023), è diventato applicabile all'interno dell'Unione dopo 24 mesi, a gennaio 2025.

Data da ricordare: 17 gennaio 2025

Il 17 gennaio 2025, infatti, le disposizioni del DORA diventano cogenti in ogni Stato membro, senza bisogno di ulteriori atti nazionali – trattandosi di un Regolamento, direttamente applicabile senza recepimento.

Pertanto, con la formale adozione parte un processo di adeguamento operativo, per perseguire un elevato livello di sicurezza delle reti e dei sistemi informatici europei.

Obblighi e responsabilità nel Regolamento DORA

Prima del DORA non esistevano precise regole per la gestione del rischio nelle istituzioni finanziarie. L’UE aveva offerto una serie di indicazioni sulle tecnologie informatiche da adottare, che però non risultavano uniformi per tutti i destinatari. Esistevano principi generali ma mancavano specifici standard tecnici.

Con il pacchetto di misure strategiche normate dal DORA viene coinvolto l’intero gruppo degli operatori creditizi, così come i fornitori di servizi per criptovalute e crowdfunding. Aumentano le responsabilità per i vertici aziendali, che saranno ora tenuti a monitorare le tecnologie dell’informazione e della comunicazione, prevedendo anche apposite strategie per la gestione del rischio.

I responsabili dovranno poi garantire l’effettiva implementazione delle stesse e il successivo aggiornamento.

Diventa inoltre necessario sviluppare un framework di gestione del rischio ICT. In questo modo si assicura la mappatura dei sistemi informatici, con la contestuale identificazione e la classificazione degli asset critici.

Regolamento DORA: sei aree di applicazione e tutte le azioni necessarie

Sono sei le aree coinvolte dalle nuove regole tecniche, applicabili ad aziende finanziarie e a fornitori di servizi informatici. I sei pilastri del Regolamento, definiti “Pillar”, rappresentano effettivamente le principali azioni in capo alle Organizzazioni.

Nel dettaglio queste ultime dovranno provvedere a:

  1. allineare la strategia di gestione dei rischi;
  2. migliorare le regole per la gestione degli incidenti ICT;
  3. gestire gli stessi rischi informatici;
  4. condividere le informazioni, in caso di problemi sopraggiunti;
  5. testare la resilienza operativa digitale;
  6. gestire i rischi ICT da terze parti.

Pertanto, ex ante le organizzazioni dovranno valutare, regolarmente, i rischi ICT, evidenziando eventuali minacce e prevedendo le strategie per minimizzare il tutto. Contemporaneamente, le aziende dovranno adoperare protocolli ad hoc per gestire l’identità e gli accessi. Dovranno inoltre aggiornare costantemente i software e utilizzare tecnologie innovative. Sono poi previsti anche obblighi ex post, ovvero dopo l’eventuale realizzazione dell’evento “nefasto”.

Dalla richiesta di piani di ripristino attività all'assessment fornitori

Questo, sia nel caso di semplici guasti informatici che per i più gravi attacchi cyber. È infatti richiesta la predisposizione di piani di business continuity e di ripristino delle attività.

L’impresa dovrà quindi disciplinare efficaci strategie di backup e recupero dati. Dovrà adottare criteri procedurali per ripristinare i sistemi e per comunicare con i soggetti terzi (clienti, partner o Autorità).

Appare infine vitale l’assessment dei fornitori critici, con una eventuale rinegoziazione contrattuale.

Deadline e prossime tappe del DORA

A grandi linee, quindi, il DORA impone alle entità finanziarie di controllare l’intera filiera di fornitura di sistemi e servizi ICT. E lo fa attraverso l’attivazione di una gestione strutturata del rischio. La deadline per la partenza operativa del Regolamento è il 17 gennaio 2025. Per tale data i soggetti destinatari – quindi banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e fornitori critici di servizi tecnologici – dovrebbero aver adeguato i sistemi interni di cyber resilience.

Agli obblighi imposti dal DORA si sono dovute conformare anche le diverse Autorità europee (EBA, ESMA, EIOPA – le cosiddetta ESAs). A loro è andato il compito di sviluppare e pubblicare gli standard tecnici di regolamentazione (RTS) e di implementazione (ITS).

Sotto i riflettori di DORA anche le autorità nazionali competenti, tenute a supervisionare la conformità e l’applicazione del Regolamento. Dal 17 gennaio 2025 si devono occupare dei controlli sull’applicazione del DORA. All’occorrenza potranno chiedere l’adozione di distinte misure di sicurezza, finalizzate a correggere le vulnerabilità dei sistemi. E avranno altresì potere sanzionatorio, amministrativo ma anche penale (in pochi casi).

Ci saranno poi ulteriori controlli per una specifica categoria di soggetti, ovvero i fornitori ICT considerati “critici” (capo V, sez. 2, art. 31) secondo il giudizio della Commissione europea. Al controllo di questi soggetti ci penseranno gli Organi primari di sorveglianza, appartenenti alle varie ESA. Potranno richiedere correzioni e applicare sanzioni.

DORA: il Regolamento europeo per la resilienza operativa digitale - Ultima modifica: 2025-01-16T14:00:00+01:00 da Marianna Capasso