Regolamento DORA: Nuovi obblighi in tema cybersecurity
Il Regolamento DORA (Digital Operational Resilience Act), relativo alla resilienza operativa digitale per il settore finanziario, è stato approvato dal Parlamento europeo nella seduta del 10 novembre 2022.
Il Regolamento fa parte di un pacchetto di misure strategiche che mira a garantire la capacità delle imprese di affrontare gli attacchi informatici ed implementare le misure di governance, cybersecurity, gestione del rischio e segnalazione degli incidenti.
DORA è entrato in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, cioè il 16 gennaio 2023, e diventerà vincolante dopo 24 mesi dalla data di entrata in vigore, a partire, quindi, dal 17 gennaio 2025. In poche parole, le aziende dovranno attivare un piano di adeguamento da completare entro la fine del 2024.
Obiettivo del regolamento
L’obiettivo del regolamento DORA è quello di riunire in un unico atto legislativo tutte le diverse norme sui rischi informatici e le disposizioni in materia di rischio digitale nel settore finanziario. Il regolamento mira, quindi, a colmare le lacune e porre rimedio alle incoerenze degli atti legislativi precedenti.
Il raggiungimento dei temi trattati dal regolamento può avvenire attraverso diverse attività, riassumibili in 5 macro-punti:
- Segnalazione di incidenti connessi alle ICT
- Gestione del rischio
- Test di resilienza operativa digitale con il fine di accrescere la consapevolezza
- Rischi relativi a terze parti
- Condivisione delle informazioni
Nei prossimi paragrafi analizzeranno nel dettaglio ciascuno dei punti sopra.
Segnalazione di incidenti connessi alle ICT
Il primo aspetto riguarda la segnalazione di incidenti informatici. Con l’introduzione del nuovo regolamento le entità finanziarie saranno obbligate a segnalare alle autorità competenti gli incidenti gravi connessi alle ITC, oltre che a notificare le minacce informatiche significative. Sono da considerarsi anche le segnalazioni di gravi incidenti operativi o relativi alla sicurezza dei pagamenti. In quest’ottica, sarà fondamentale la condivisione dei dati e delle informazioni relative alle vulnerabilità e minacce, oltre che l’esecuzione di test di resilienza operativa digitale. Tutte le informazioni relative alle segnalazioni di incidenti sono consultabili, più nel dettaglio, nel primo capitolo del regolamento.
Gestione del rischio
Il secondo capitolo fa invece riferimento alla gestione del rischio. In particolare, è previsto che le aziende dispongano di una governance interna e di un quadro di controllo che sovraintendono la gestione del rischio affinché sia efficace e prudente. Inoltre sono responsabili per la delega delle attività operative di monitoraggio ad un organo di gestione preposto, il quale dovrà agire tramite una serie definita di compiti. Tutto ciò può avvenire tramite l’utilizzo di strumenti e sistemi di ICT resilienti, tali da ridurre al minimo l’impatto dei relativi rischi. Tra i diversi articoli vengono elencate le maggiori attività coinvolte, come l’introduzione di misure di protezione e prevenzione, l’individuazione tempestiva di attività anomale, la messa in atto di politiche di continuità operativa e piani di ripristino in caso di disastro, la predisposizione di personale idoneo alla raccolta delle informazioni relative a minacce e vulnerabilità, il riesamino di incidenti passati con l’obiettivo di condividere gli insegnamenti, la definizione di piani di comunicazione verso gli stakeholder ed infine la definizione di norme tecniche e regolamentazione.
Test di resilienza
L’attuazione di test di resilienza, così come elencato nel quarto capitolo del regolamento, è volto ad accrescere la consapevolezza da parte delle autorità di vigilanza sui rischi informatici e sugli incidenti cui sono esposte le entità finanziarie. In particolare, attraverso una serie di test periodici sarà possibile identificare i punti deboli, le carenze o le lacune, al fine di attuare tempestivamente le misure correttive con un’applicazione proporzionata alle proprie dimensioni ed al proprio profilo di rischio.
Rischi relativi alle terze parti
Nel quinto capitolo vengono elencati i poteri di sorveglianza sui rischi che sono conferiti alle autorità di vigilanza finanziaria. La necessità di indirizzare i poteri di sorveglianza è dovuta alla dipendenza delle entità finanziarie, come di tutte le aziende, da fornitori terzi di servizi. Gli aspetti contrattuali chiave saranno armonizzati per garantire che le società finanziarie monitorino i rischi di terzi. Inoltre, i fornitori terzi di servizi ITC critici saranno sottoposti a un quadro di sorveglianza dell’Unione. Per ciascun fornitore terzo sarà poi definita un’autorità di sorveglianza capofila alla quale sono conferiti poteri idonei a garantire l’adeguato monitoraggio dei fornitori di servizi tecnologici.
Condivisione delle informazioni
In assenza di orientamenti a livello europeo, alcuni fattori hanno nel tempo ostacolato la condivisione di informazioni preziose e utili per arginare i rischi informatici. Nel contesto attuale, la crescente complessità e sofisticatezza dei rischi informatici, così come i dubbi degli operatori finanziari sul tipo di informazioni condivisibili sono stati alcuni tra i principali motivi che hanno spinto la legislazione europea ad estendere il perimetro dell’intervento normativo realizzato con il Regolamento DORA anche agli ambiti della comunicazione e della condivisione di informazioni sui rischi e sulle minacce informatiche. Tramite l’istituzione di accordi tra le entità finanziarie sarà possibile uno scambio di informazioni e di dati più lineare e trasparente.
A chi si applica
Il presente regolamento si applica alle seguenti entità:
- Enti creditizi;
- Istituti di pagamento, compresi gli istituti di pagamento esentati a norma della direttiva (UE) 2015⁄2366;
- Prestatori di servizi di informazione sui conti;
- Istituti di moneta elettronica, compresi gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE;
- Imprese di investimento;
- Fornitori di servizi per le cripto-attività autorizzati a norma del regolamento del Parlamento europeo e del Consiglio concernente i mercati delle cripto-attività e recante modifica dei regolamenti (UE) n. 1093⁄2010 e (UE) n. 1095⁄2010 e delle direttive 2013/36/UE e (UE) 2019⁄1937 (regolamento sui mercati delle cripto-attività) ed emittenti di token collegati ad attività;
- Depositari centrali di titoli;
- Controparti centrali;
- Sedi di negoziazione;
- Repertori di dati sulle negoziazioni;
- Gestori di fondi di investimento alternativi;
- Società di gestione;
- Fornitori di servizi di comunicazione dati;
- Imprese di assicurazione e di riassicurazione;
- Intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio;
- Enti pensionistici aziendali o professionali;
- Agenzie di rating del credito;
- Amministratori di indici di riferimento critici;
- Fornitori di servizi di crowdfunding;
- Repertori di dati sulle cartolarizzazioni;
- Fornitori terzi di servizi TIC.
Quali le maggiori conseguenze
Il regolamento DORA rimanda al principio di proporzionalità (Art.4) e quindi rimette al singolo soggetto l’onere di valutare e dimostrare il livello dei propri requisiti e come questi possano essere implementati.
Le maggiori conseguenze riguarderanno:
- Gap analysis: revisionare la propria struttura di governance interna e le misure di gestione del rischio e degli incidenti per valutare oltre che la consapevolezza aziendale, anche le strategie di risposta e di ripristino adeguate ai requisiti normativi.
- Revisione dei meccanismi di reporting: valutare la capacità dell’azienda in ambito di reportistica ed eventualmente implementare o adeguare le esistenti procedure di segnalazione degli incidenti sulla base dei nuovi requisiti.
- Valutazione dei fornitori critici: mappare i contratti con i fornitori terzi per valutare le criticità rispetto all’operatività del business; tramite la revisione delle pratiche sarà possibile un adeguamento strategico di contenimento del rischio.
I requisiti espressi da DORA non sono in contrasto con le altre normative ed, in primis, con lo stesso GDPR. Ogni tipologia di azienda si trova di fronte alla necessità di intraprendere un percorso di consolidamento e rafforzamento della propria struttura di difesa e di tutta la catena dei fornitori. Esistono diverse peculiarità rispetto al campo normativo, al settore merceologico di appartenenza passando dal livello di riservatezza dei dati gestiti, ma dobbiamo essere consapevoli che il tema della sicurezza delle informazioni è centrale per la vita di ogni struttura aziendale.
La documentazione originale è scaricabile al seguente sito