NEWS

Il Regolamento DORA (Digital Operational Resilience Act)

Il Regolamento DORA (Digital Operational Resilience Act)

A cura di Avv. Riccardo Piselli, Avv. Tania Rea.

dora regolamento 17 gennaio digital resilience operational act

INDICE

 

Il Regolamento DORA (Digital Operational Resilience Act), pubblicato nella Gazzetta Ufficiale il 27 dicembre 2022 ed entrato in vigore il 16 gennaio 2023, mira a promuovere l’armonizzazione dei requisiti di resilienza digitale, prevedendo attività regolamentari da parte delle tre European Supervisory Authorities (ESAs – EBA, EIOPA, ESMA).

Tuttavia, ai sensi dell’articolo 64 del Regolamento DORA, le previsioni in esso contenute hanno trovato piena applicazione solo a decorrere dal 17 gennaio.

Obiettivi Principali del Regolamento DORA

La suddetta normativa ha due obiettivi principali:

  • Affrontare compiutamente la gestione del rischio ICT nel settore dei servizi finanziari;
  • Armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell’UE.

Prima del Regolamento DORA, le norme sulla gestione del rischio per le istituzioni finanziarie nell’UE si concentravano principalmente sulla necessità di assicurare che le imprese avessero capitale sufficiente per coprire i rischi operativi. 

Sebbene alcuni enti regolatori dell’UE avessero rilasciato delle linee guida sull’ICT e la gestione dei rischi per la sicurezza, tali linee guida non si applicavano in egual misura a tutte le entità finanziarie e, peraltro, non di rado si basavano su principi generali anziché su specifici standard tecnici. 

In assenza di norme per la gestione dei rischi relative all’ICT a livello UE, gli stati membri dell’UE avevano emanato i propri requisiti. Tuttavia, questo insieme di normative si è rivelato complesso da gestire per le entità finanziarie.

Le Principali Novità del Regolamento DORA

Con la piena operatività di DORA, l’UE mira a stabilire un framework universale per la gestione e la mitigazione del rischio ICT nel settore finanziario in tutta l’UE. 

Tra i principali profili disciplinati dal Regolamento DORA rientrano: prove avanzate di resilienza per i sistemi ICT; promozione di meccanismi di condivisione delle informazioni volti a prevenire minacce informatiche e impedendo il contagio tramite canali finanziari (infosharing); processi per la classificazione e gestione degli incidenti ICT, nonché obblighi di segnalazione e procedure volte alla volontaria notifica delle minacce informatiche. 

Pertanto, le entità finanziarie e i fornitori critici di servizi ICT che rientrano nel perimetro applicativo dallo scorso 17 gennaio devono essere necessariamente compliant con i requisiti stabiliti dal predetto Regolamento: dovranno, infatti, aver adottato sistemi di sicurezza in grado di rilevare, identificare e respingere le minacce informatiche.

Adempimenti per le Entità Finanziarie

In particolare, i punti salienti del Regolamento includono i seguenti adempimenti per le entità finanziarie:

  1. la gestione del rischio ICT e governance: implementazione di strategie efficaci per identificare, valutare e mitigare i rischi associati all’uso delle tecnologie ICT. Il CDA e i dirigenti sono responsabili della supervisione complessiva di queste strategie;
  2. la segnalazione e risposta agli incidenti: introduzione di sistemi finalizzati a monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell’incidente, alle entità può essere richiesta la segnalazione sia alle autorità di regolamentazione sia ai clienti e ai partner interessati. segnalazioni tempestive degli incidenti significativi legati all’ICT alle autorità competenti, garantendo una risposta rapida ed efficace per minimizzare gli impatti negativi;
  3. test di resilienza operativa digitale: test regolari sui propri sistemi ICT per valutare la forza delle protezioni e la capacità di resistere a potenziali minacce. Una volta all’anno è richiesta l’esecuzione di alcuni test di base, quali valutazioni delle vulnerabilità e test basati su scenari. Le entità finanziarie ritenute critiche per il sistema dovranno anch’esse sottoporsi ogni tre anni a test di penetrazione basati su minacce (TLPT).
  4. gestione del rischio di terze parti: avere un ruolo attivo nella gestione del rischio di terze parti in ambito ICT. Pertanto, le entità finanziarie nell’esternalizzare funzioni critiche e importanti, saranno tenute a negoziare accordi specifici riguardanti, tra le altre cose, strategie di uscita, audit e obiettivi prestazionali per l’accessibilità, l’integrità e la sicurezza. In tal senso è certamente rilevante la circostanza per cui la Commissione Europea sta esplorando la possibilità di elaborare clausole contrattuali standardizzate utili a entità e fornitori ICT per assicurarsi di sottoscrivere accordi conformi al regolamento DORA.

Obblighi per i Fornitori di Servizi ICT

Invece, i fornitori di servizi ICT che operano per gli enti finanziari devono:

  1. registrarsi presso le autorità competenti.
  2. essere soggetti a supervisione diretta per verificare la loro conformità ai requisiti DORA.
  3. collaborare con le entità finanziarie e fornire informazioni trasparenti sulle misure di sicurezza adottate.

Adeguamento della Normativa Nazionale al Regolamento DORA

Ad oggi con atto del governo sottoposto a parere parlamentare n. 242 del 27 dicembre 2024 è attualmente sottoposto al vaglio delle competenti commissioni parlamentari uno “Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario” (in applicazione degli articoli 1 e 16 della legge 21 febbraio 2024, n. 15). Tale schema ha l’obiettivo di dettare le disposizioni necessarie per adeguare il quadro normativo nazionale al DORA, dare attuazione alle disposizioni in esso contenute non direttamente applicabili, nonché garantire il coordinamento con la normativa di settore vigente.

Conclusione

È evidente, quindi, che l’obiettivo del Regolamento DORA è assolutamente condivisibile, tuttavia raggiungere la piena conformità alla normativa è stata – ed è – tuttora una sfida complessa non solo per le PMI, ma anche per le grandi aziende.

Torna su
Cerca
Piselli & Partners
Cookie Policy

Utilizziamo i cookie per analizzare il traffico sul nostro sito web: grazie ai cookie possiamo ottimizzare la nostra offerta di servizi e la nostra comunicazione in modo da offrirti un’esperienza sempre migliore.

Puoi trovare maggiori informazioni sulla nostra Privacy e Cookie Policy.