HomeProcess AutomationSafety e CybersecurityDORA: il Regolamento europeo per la resilienza operativa digitale

DORA: il Regolamento europeo per la resilienza operativa digitale

Vincolante da gennaio 2025, il Regolamento DORA (Digital Operational Resilience Act) appare già come uno strumento di armonizzazione per la gestione e la mitigazione del rischio ICT nel settore finanziario. Sanerà le difformità tra Stati membri, evitando sovrapposizioni o conflitti di interesse.

Leggi la rivista ⇢

  • n.305 - Settembre 2022
  • n.304 - Luglio 2022
  • n.303 - Giugno 2022

Ti potrebbero interessare ⇢

Marianna Capasso

Gli incidenti informatici sono una eventualità che può minare più terreni, alla luce della forte diffusione del digitale in diversi ambiti. Tra questi c’è anche quello finanziario. La risposta a tale labile condizione arriva da Bruxelles, e più precisamente da un Regolamento che armonizza e uniforma le diverse precedenti normative.

Con un unico atto si mette ordine al quadro legislativo ICT del comparto finance, offrendo una maggiore tutela all’utente finale. Parliamo del Digital Operational Resilience Act, anche noto come Regolamento DORA. Con le nuove disposizione sono consolidati tutti quei principi di cybersecurity che offrono al settore finanziario una forte resilienza digitale.

Viene quindi così data, ai 27 Paesi UE, una nuova e valida opportunità per sopravvivere alle offensive informatiche, tallone d’Achille del sistema economico. Implementato i giusti strumenti di tutela, le imprese saranno in grado di fronteggiarle o, per lo meno, questo secondo la teoria. Ma ci riusciranno?

DORA, un quadro normativo per la finanza digitale

Nel settembre 2020 la Commissione europea ha lanciato un pacchetto prescrittivo sulla finanza digitale. Sono diverse le misure destinate sia al fintech sia al comparto tradizionale, per far sì che le imprese riescano a resistere agli attacchi informatici. Il quadro normativo prevede l’implementazione di diverse misure, che spaziano dalla cybersecurity alla governance, prevedendo anche l’ICT risk management.

Tra i vari atti c’è anche il Digital Operational Resilience, il DORA. Dopo un iter alquanto lungo, il Regolamento è stato pubblicato in Gazzetta Ufficiale UE il 27 dicembre del 2022. In vigore dal successivo ventesimo giorno (16 gennaio 2023), diventa applicabile dopo 24 mesi. Manca quindi poco più di mezzo anno perché la Legge UE dispieghi i suoi effetti all’interno dell’Unione.

Il 17 gennaio 2025, infatti, le disposizioni del DORA saranno cogenti in ogni Stato membro, senza bisogno di ulteriori atti nazionali – trattandosi di un Regolamento, direttamente applicabile senza recepimento. Pertanto, con la formale adozione è partito un processo di adeguamento operativo, per perseguire un elevato livello di sicurezza delle reti e dei sistemi informatici europei.

Obblighi e responsabilità nel Regolamento DORA

Prima del DORA non esistevano precise regole per la gestione del rischio nelle istituzioni finanziarie. L’UE aveva offerto una serie di indicazioni sulle tecnologie informatiche da adottare, che però non risultavano uniformi per tutti i destinatari. Esistevano principi generali ma mancavano specifici standard tecnici.

Con il pacchetto di misure strategiche normate dal DORA viene coinvolto l’intero gruppo degli operatori creditizi, così come i fornitori di servizi per criptovalute e crowdfunding. Aumentano le responsabilità per i vertici aziendali, che saranno ora tenuti a monitorare le tecnologie dell’informazione e della comunicazione, prevedendo anche apposite strategie per la gestione del rischio.

I responsabili dovranno poi garantire l’effettiva implementazione delle stesse e il successivo aggiornamento.

Sarà inoltre necessario sviluppare un framework di gestione del rischio ICT. In questo modo verrà assicurata la mappatura dei sistemi informatici, con la contestuale identificazione e la classificazione degli asset critici.

Regolamento DORA: ambito di applicazione e azioni necessarie

Sono sei le aree coinvolte dalle nuove regole tecniche, applicabili ad aziende finanziarie e a fornitori di servizi informatici. I sei pilastri del Regolamento, definiti “Pillar”, rappresentano effettivamente le principali azioni in capo alle Organizzazioni.

Nel dettaglio queste ultime dovranno provvedere:

  1. all’allineamento della strategia di gestione dei rischi;
  2. a migliorare le regole per la gestione degli incidenti ICT;
  3. alla gestione degli stessi rischi informatici;
  4. alla condivisione delle informazioni, in caso di problemi sopraggiunti;
  5. a testare la resilienza operativa digitale;
  6. alla gestione dei rischi ICT da terze parti.

Pertanto, ex ante le organizzazioni dovranno valutare, regolarmente, i rischi ICT, evidenziando eventuali minacce e prevedendo le strategie per minimizzare il tutto. Contemporaneamente, le aziende dovranno adoperare protocolli ad hoc per gestire l’identità e gli accessi. Dovranno inoltre aggiornare costantemente i software ed utilizzare tecnologie innovative. Sono poi previsti anche obblighi ex post, ovvero dopo l’eventuale realizzazione dell’evento “nefasto”.

Questo, sia nel caso di semplici guasti informatici che per i più gravi attacchi cyber. È infatti richiesta la predisposizione di piani di business continuity e di ripristino delle attività. L’impresa dovrà quindi disciplinare efficaci strategie di backup e recupero dati. Dovrà adottare criteri procedurali per ripristinare i sistemi e per comunicare con i soggetti terzi (clienti, partner o Autorità). Appare infine vitale l’assesment dei fornitori critici, con una eventuale rinegoziazione contrattuale.

Deadline e prossime tappe del DORA

A grandi linee, quindi, il DORA impone alle entità finanziarie di controllare l’intera filiera di fornitura di sistemi e servizi ICT. E lo fa attraverso l’attivazione di una gestione strutturata del rischio. La deadline per la partenza operativa del Regolamento è il 17 gennaio 2025. Per quella data i soggetti destinatari – quindi banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e fornitori critici di servizi tecnologici – saranno tenuti ad adeguare i sistemi interni di cyber resilience.

Intanto, agli obblighi imposti dal DORA si stanno conformando anche le diverse Autorità europee (EBA, ESMA, EIOPA – le cosiddetta ESAs). Queste dovranno sviluppare gli standard tecnici di regolamentazione (RTS) e di implementazione (ITS). Nel mese di gennaio 2024 le tre ESAs hanno pubblicato la prima serie di standard finali. Si attende la seconda per metà luglio 2024.

Nel mentre si adeguano anche le autorità nazionali competenti, tenute a supervisionare la conformità e l’applicazione del Regolamento. Da gennaio del 2025 si occuperanno dei controlli sull’applicazione del DORA. All’occorrenza potranno chiedere l’adozione di distinte misure di sicurezza, finalizzate a correggere le vulnerabilità dei sistemi. E avranno altresì potere sanzionatorio, amministrativo ma anche penale (in pochi casi).

Ci saranno poi ulteriori controlli per una specifica categoria di soggetti, ovvero i fornitori ICT considerati “critici” (capo V, sez. 2, art. 31) secondo il giudizio della Commissione europea. Al controllo di costoro ci penseranno gli Organi primari di sorveglianza, appartenenti alle varie ESA. Potranno richiedere correzioni e applicare sanzioni.

DORA: il Regolamento europeo per la resilienza operativa digitale - Ultima modifica: 2024-06-06T09:27:42+02:00 da Marianna Capasso