RISK MANAGEMENT

Regolamento DORA, cos’è il regolamento sulla resilienza operativa digitale e come cambia la gestione dei rischi ICT nel Finance



Indirizzo copiato

La normativa europea (Digital Operational Resilience Act), che riguarda ii rischi operativi ICT per il settore finanziario, diventerà pienamente applicabile a gennaio 2025. Le aziende si stanno adeguando: servono competenze per la mitigazione dei Cyber Risk con un forte carattere di multidisciplinarietà. Una guida ai diversi step e agli adempimenti previsti

Aggiornato il 3 set 2024

Maria Cristina Daga

Avvocato e Partner di P4I – Partners4Innovation



Regolamento DORA

Il 17 gennaio 2025 il Regolamento UE 2022/2554, meglio noto come Regolamento DORA (Digital Operational Resilience Act), che tratta dei rischi operativi legati alle tecnologie dell’informazione e della comunicazione (TIC) per il settore finanziario, diventerà pienamente applicabile – 24 mesi dopo la sua entrata in vigore.

Al fine di adeguarsi, le entità finanziarie dovranno procedere attraverso un approccio multidisciplinare, svolgendo un assessment iniziale per valutare il proprio livello di conformità in termini di organizzazione, processi, sistemi e patrimonio informativo e, successivamente, definendo il modello di gestione della resilienza operativa per l’intera organizzazione.

Regolamento DORA, cos’è e a chi si applica

Il Regolamento DORA converge verso l’armonizzazione delle regole relative alla resilienza operativa per il settore finanziario, che si applicano a 21 diversi tipi di entità finanziarie. Per rendere l’idea dell’impatto, queste nuove misure dovranno essere adottate non solo dalle società finanziarie di tipo tradizionale, tra le quali quindi istituti di credito, compagnie di assicurazione, fondi gestione, ma anche dai nuovi soggetti finanziari, quali i fornitori di servizi di cripto-attività, i gestori delle piattaforme di crowdfunding, nonché i fornitori terzi di servizi informatici.

Alcune disposizioni sono applicabili esclusivamente alle entità finanziarie che non rientrano nella definizione di micro impresa. Tra queste, le complesse disposizioni di governance e l’obbligo di introdurre funzioni di gestione dedicate, di effettuare valutazioni approfondite dopo le modifiche di rilievo delle infrastrutture critiche di reti e sistemi informativi, di compiere periodicamente analisi dei rischi sui sistemi ICT esistenti, ampliare i test sulla continuità operativa e i piani di risposta e ripristino, per descrivere gli scenari di passaggio tra le infrastrutture ICT.

Come cambia il concetto di rischio

Una cosa è certa: la resilienza non è più solo un obbligo del singolo ente, ma è un obbligo per l’intero sistema finanziario. L’innovazione, la leva normativa, la protezione sistemica e la tutela del consumatore sono i protagonisti di un grande racconto che il legislatore europeo ha descritto (e sta descrivendo) attraverso numerosi atti legislativi (per citarne alcuni MiCa, AI Act, Data Governance (DG) Act, CRA – European Cyber Resilience Act) che portano a un’unica conclusione: è ormai necessario proteggere i sistemi, le reti, le infrastrutture, i prodotti, i dati, le informazioni ecc.

Il rischio operativo legato alle tecnologie dell’informazione e della comunicazione (TIC, o ICT) e agli ambienti Cyber è, a tutti gli effetti, da considerarsi un rischio di business. Pertanto, la resilienza diventa una caratteristica e una modalità di lavoro (oltre che un obbligo normativo), e il Risk Management entra nella cultura e nell’organizzazione di tutta l’azienda.

Sostenere il cambiamento significa poter cogliere le nuove opportunità derivanti dalla cultura dell’innovazione resa possibile attraverso le tecnologie dell’informazione e della comunicazione. Consapevole di questo momento di svolta, l’Unione Europea ha deciso di abbracciare la transizione digitale e agevolarla attraverso una serie di misure volte ad armonizzare la disciplina nei vari settori di propria competenza – tra questi, quello finanziario.

Il nodo delle competenze

In questa fase adeguamento alla normativa, un punto di partenza è rappresentato principalmente dalle competenze e conoscenze tecniche della gestione dei rischi ICT e Cyber, che devono rivestire un forte carattere di multidisciplinarietà. Mai come nessuna norma in precedenza, il DORA interessa molteplici funzioni aziendali a tutti i livelli dell’organizzazione aziendale.

C’è quindi una prima missione da compiere che è, come detto, un cambiamento sulla cultura e sull’organizzazione a partire dagli organi di vertice. Il rischio ICT e Cyber non è più un problema della specifica funzione ICT, ma è un problema dell’organizzazione da cui ne discende un rischio operativo, strategico, reputazionale e di compliance.

Regolamento DORA: obiettivi, principi e previsioni

Durante il percorso di adeguamento normativo, le scelte adottate in modo commisurato alla propria capacità di risorse, di costi e di business in materia dei rischi ICT e Cyber devono assolvere due importanti principi:

  • Il principio di accountability, che determina la necessità di documentare e motivare la strategia dei rischi ICT e Cyber;
  • Il principio di proporzionalità, che determina la necessità di scegliere in modo sostanziale quell’insieme di regole e misure in grado di assicurare un’adeguata protezione degli asset logici e fisici alle esigenze commerciali, al dimensionamento e alle relative risorse.

Quali sono le principali innovazioni introdotte

Il quadro normativo appare complesso e minuzioso, basandosi su prescrizioni e principi chiave concernenti il quadro di gestione dei rischi relativi alle tecnologie dell’informazione e delle comunicazioni (ICT) e da un ricco catalogo di norme specifiche di secondo livello.

Una situazione complicata per il settore finanziario, che dovrà divenire pienamente consapevole, capace di attuare i presidi utili per poter fronteggiare l’esponenziale aumento dei rischi e delle minacce connessi alla digitalizzazione dei servizi.

Considerato l’elevato numero di attacchi informatici rivolti al mondo finanziario, sempre più ampi e pervasivi, viene oggi richiesto alle entità di stabilire politiche e procedure per affrontare al meglio tali aspetti. Il Regolamento DORA fornisce, infatti, un framework mirato, insistendo principalmente sugli aspetti di governance, gestione delle terze parti e condivisione delle informazioni.

Ambiti di applicazione del Regolamento DORA

Il regolamento DORA comprende cinque capitoli di contenuto principali, supportati da due lotti di norme tecniche di regolamentazione (RTS, Regulatory Technical Standards) e da un set di norme tecniche di attuazione (ITS, Implementing Technical Standards). I capitoli del testo finale si concentrano sulle seguenti componenti:

  • Gestione del rischio ICT: richiede la definizione di un framework e di una strategia interna di gestione del rischio, oltre a politicy, procedure, protocolli e all’individuazione di una funzione di controllo indipendente.
  • Gestione, classificazione e reportistica sugli incidenti informatici: comporta la definizione e l’implementazione di un processo strutturato e di procedure per individuare, registrare e gestire le minacce infomatiche e gli incidenti, centralizzando anche tutte le attività di reporting.
  • Test di resilienza operativa digitale: richiedono un approccio basato sul rischio per tutti i test, compresi quelli sulla rete fisica, le applicazioni, quelli di resilienza tecnologica (“switchover”) e i Penetration test.
  • Gestione del rischio di terzi: richiede la definizione di un quadro di gestione del rischio ICT, di un framework per il Risk Assessment, la predisposizione di attività di monitoraggio continuo e di un sistema di audit dei fornitori esterni (terze parti) di servizi aziendali critici.
  • Accordi di condivisione delle informazioni: consentono agli intermediari finanziari di scambiare informazioni e fare attività di “intelligence” sulle minacce informatiche, ma richiedono la notifica alle autorità competenti.

Le norme tecniche di secondo livello

Per poter infine valutare il livello di preparazione agli incidenti connessi alle TIC, il Regolamento DORA prevede che le entità finanziarie stabiliscano un solido ed esaustivo programma di test di resilienza operativa digitale, al fine di identificare punti deboli, carenze o lacune e di mettere in atto tempestivamente misure correttive. Per poter raggiungere un adeguato livello di resilienza operativa è fondamentale che le entità finanziarie siano in grado di affrontare al meglio tutti i rischi legati a malfunzionamenti di processi e applicativi, garantendo la continuità operativa.

Per rendere operativa l’applicazione delle regole, dallo scorso anno le Autorità europee di vigilanza (hanno iniziato a preparare e pubblicare i regolamenti tecnici di secondo livello per meglio specificare i principi alla base del Regolamento. Le norme tecniche costituite da RTS, ITS e linee guida si dividono in due gruppi principali seguendo iter di pubblicazione diversi.

Lo scorso gennaio sono stati pubblicati i regolamenti definitivi che riguardano il primo gruppo di norme volto a garantire strumenti per una gestione del rischio ICT coerente e armonizzata dal punto di vista giuridico. Quelli relativi al secondo gruppo di norme, afferenti le segnalazioni degli incidenti informatici, delle minacce informatiche gravi e alla definizione del quadro di sorveglianza fra le tre autorità di vigilanza europee (EBA – European Banking Authority, EIOPA – European Insurance and Occupational Pensions Authority, ed ESMA – European Securities and Markets Authorities o, in gergo, le ESAs) e le altre Autorità compenti, sono stati pubblicati invece lo scorso luglio.

La gestione delle terze parti

Le entità finanziarie possono adottare sin da ora un approccio proattivo per non trovarsi impreparati all’applicazione dei requisiti previsti dal Regolamento il prossimo gennaio. Sulla base degli RTS relativi al quadro di gestione dei rischi ICT, al registro delle informazioni dei servizi prestati da fornitori terzi, e alla politica sui servizi ICT prestati da fornitori terzi, le entità dovranno necessariamente adottare azioni preliminari per quanto attiene i rapporti con le terze parti e, nello specifico, dovranno valutare:

  • La propria politica di gestione delle terze parti, ove presente all’interno dell’organizzazione;
  • La mappatura dei fornitori di servizi ICT (se esistente) e dei fornitori di servizi esternalizzati;
  • Se gli accordi contrattuali riguardano una funzione critica o importante e nel caso determinare il corretto ciclo di vita dell’accordo (anche nel caso di subappalto), comprendendo:
  1. La valutazione del rischio prima della stipula del contratto;
  2. I requisiti degli accordi contrattuali;
  3. Il monitoraggio degli accordi;
  4. Gli obblighi di informazione nel caso di modifiche rilevanti;
  5. Le exit strategy e gli accordi di risoluzione;
  • I dispositivi di governance per la gestione dei rischi relativi agli accordi contrattuali già esistenti, compresa la possibilità che tali accordi possano aggravare il rischio di concentrazione dei servizi ICT.

I principali adempimenti previsti dal Regolamento DORA

Dall’analisi complessiva del dettato normativo del Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio (noto come “DORA” o “Regolamento DORA”) emergono numerosi obblighi a cui gli operatori finanziari devono adempiere. Tra questi, a titolo esemplificativo e non esaustivo, vi sono l’adozione di un quadro di governance e di organizzazione interna per garantire un controllo efficace e prudente di tutti i rischi legati alle tecnologie dell’informazione e della comunicazione (ICT). In particolare, è necessario attribuire specifici compiti all’organo di gestione dell’ente finanziario, che deve essere incaricato dell’approvazione e dell’applicazione di tutte le disposizioni relative a tale quadro, essendone pienamente responsabile.

Inoltre, il DORA richiede l’adozione di un piano per la gestione dei rischi informatici, che prevede di stabilire requisiti volti all’armonizzazione delle regole di gestione dei rischi relativi alle tecnologie ICT in ogni fase del loro ciclo di vita, con una visione end-to-end dei processi aziendali. Ciò implica la creazione di un ICT Risk Management Framework e la definizione di una strategia di resilienza digitale in materia di Business Continuity e Disaster Recovery.

Un altro adempimento fondamentale riguarda la classificazione degli incidenti connessi ai fornitori ICT e delle minacce informatiche secondo i criteri indicati dal legislatore, al fine di armonizzare le attività di segnalazione in base alla criticità dei servizi a rischio, al numero e/o alla rilevanza di clienti o controparti finanziarie interessati e all’estensione geografica delle aree a rischio.

Le sfide di adeguamento al nuovo quadro normativo sulla resilienza digitale

Gli operatori finanziari dovranno creare un sistema di segnalazione degli incidenti informatici, attuando un processo di monitoraggio, registrazione e gestione costante degli incidenti connessi alle tecnologie ICT, al fine di notificarli alle autorità competenti.

Nel merito, il DORA richiede di stabilire procedure per identificare, tracciare, registrare, categorizzare e classificare tali incidenti in base alla loro priorità, gravità e criticità dei servizi colpiti, di assegnare ruoli e responsabilità al personale interno, nonché di elaborare piani per la comunicazione al personale, ai portatori di interessi esterni, ai mezzi di comunicazione e ai clienti. Inoltre, devono essere stabilite procedure di risposta agli incidenti connessi alle tecnologie ICT, per attenuarne l’impatto e garantirne tempestivamente l’operatività e la sicurezza dei servizi.

Un altro obbligo previsto dal Regolamento DORA consiste nello svolgere test di resilienza operativa digitale, secondo un approccio risk-based e proporzionale rispetto alle dimensioni, alla tipologia di attività e al profilo di rischio dell’operatore finanziario.
Inoltre, è necessario adottare un sistema di gestione dei rischi informatici derivanti da terzi, identificando, classificando e documentando tutti i processi dipendenti da fornitori terzi di servizi legati alle tecnologie ICT.

La normativa europea richiede l’imposizione di diversi obblighi contrattuali ai fornitori, al fine di garantire un adeguato monitoraggio delle attività svolte sui servizi tecnologici che assolvono una funzione critica per l’attività dell’ente finanziario.

Infine, il DORA prevede l’adozione di protocolli di Information Sharing, con l’obiettivo di incoraggiare lo scambio di informazioni sulle minacce informatiche tra le entità finanziarie. In particolare, ipotizza l’istituzione di un programma su base volontaria che consenta agli attori finanziari di prevedere accordi per la condivisione e lo scambio di informazioni di Cyber Threat Intelligence.

Regolamento DORA, le sanzioni

Non è ancora chiara l’entità delle sanzioni previste in caso di violazioni del Regolamento, disciplinate dagli articoli 50 e 51 del testo della normativa europea che precisano che la portata delle stesse dovrà essere commisurata alle circostanze che le hanno determinate, alla gravità e alla durata delle condotte inadempienti.

Articoli correlati

Articolo 1 di 4