Novità

Resilienza operativa digitale e Regolamento DORA

Questo articolo esplora in dettaglio cos'è la regolamentazione DORA, le sue implicazioni per le aziende e le autorità di vigilanza, e come contribuisce alla resilienza operativa digitale.

DORA logo with the meaning of the acronym

26 Agosto 2024

Indice dei contenuti

  • Introduzione alla DORA
  • L’emergere della regolamentazione DORA
  • Obiettivi della regolamentazione DORA
  • Requisiti chiave della regolamentazione DORA
  • Implementazione della regolamentazione DORA
  • Implicazioni per le aziende e le autorità di vigilanza
  • Ambito di applicazione della regolamentazione DORA
  • Stato attuale della regolamentazione DORA
  • Applicazione della regolamentazione DORA
  • Requisiti della regolamentazione DORA
  • Condivisione delle informazioni

Introduzione alla DORA

Il regolamento DORA (Digital Operational Resilience Act) rappresenta un punto di riferimento  nella regolamentazione della resilienza operativa digitale in Europa. Questo regolamento, entrato in vigore per rafforzare la sicurezza informatica e la gestione dei rischi ICT (tecnologie dell’informazione e della comunicazione), mira a proteggere i sistemi finanziari e le imprese di investimento dagli attacchi informatici e dalle altre minacce digitali.

La nascita del regolamento DORA

Il regolamento DORA è stato sviluppato in risposta alla crescente minaccia degli attacchi informatici e alla necessità di una maggiore sicurezza informatica all’interno dell’Unione Europea. Le autorità europee di vigilanza hanno riconosciuto l’importanza di un quadro normativo uniforme per la gestione del rischio ICT. Tale corpo normativo garantisce che tutti gli stati membri adottino standard simili per proteggere i loro sistemi finanziari.

Obiettivi del regolamento DORA

L’obiettivo principale del regolamento DORA è quello di migliorare la resilienza operativa digitale delle imprese finanziarie. Questo include le imprese di investimento, le imprese di assicurazione e i fondi di investimento alternativi. Il regolamento stabilisce requisiti chiari per:

  • La gestione dei rischi ICT
  • La gestione degli incidenti
  • E la condivisione delle informazioni tra le diverse entità finanziarie e le autorità di vigilanza

Requisiti chiave del regolamento DORA

Il regolamento DORA impone una serie di requisiti che le imprese devono rispettare per garantire la resilienza operativa digitale. Tra questi citiamo:

  • Gestione del rischio ICT
    Le imprese devono implementare politiche e procedure adeguate per la gestione dei rischi ICT. Questo include la valutazione continua delle minacce e la predisposizione di misure di mitigazione efficaci.
  • Test di resilienza operativa
    Le imprese sono tenute a condurre test regolari per verificare la resilienza dei loro sistemi ICT. Questi test devono simulare vari scenari di attacco per identificare e correggere eventuali vulnerabilità.
  • Gestione degli incidenti
    Le imprese devono avere in atto un piano di gestione degli incidenti. Tale piano deve consentire di rispondere rapidamente e in modo efficace a qualsiasi incidente di sicurezza informatica.
  • Condivisione delle informazioni
    Il regolamento promuove la condivisione delle informazioni tra le imprese e le autorità di vigilanza per migliorare la risposta collettiva alle minacce informatiche.

Implementazione del regolamento DORA

Il regolamento DORA stabilisce gli standard tecnici che le entità finanziarie e i loro fornitori critici di servizi tecnologici di terze parti devono implementare nei propri sistemi ICT entro il 17 gennaio 2025. Il termine è molto importante, poiché le imprese devono essere conformi ai requisiti del DORA entro quel momento. La conformità al DORA richiede che le imprese:

  • Mappino i propri sistemi ICT
  • Identifichino e
  • Classifichino funzioni e asset critici
  • E documentino le dipendenze tra risorse, sistemi, processi e provider
  • Condurre continue valutazioni del rischio sui propri sistemi ICT
  • Documentare e classificare le minacce informatiche
  • E adottare adeguate misure di cybersecurity, come le politiche di gestione delle identità e degli accessi e la gestione delle patch

Implicazioni per le imprese e le autorità di vigilanza

Le imprese di investimento, le imprese di assicurazione e i fondi di investimento alternativi devono adattarsi ai nuovi requisiti imposti dal regolamento DORA. Questo potrebbe comportare investimenti significativi in nuove tecnologie e formazione del personale per garantire la conformità. Inoltre, le autorità europee di vigilanza avranno un ruolo cruciale nel monitorare la conformità e nel fornire supporto alle imprese.

Le autorità europee di vigilanza, tra cui l’Autorità bancaria europea (EBA), l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA), sono incaricate di redigere gli standard tecnici di regolamentazione e di attuazione che le entità interessate dovranno implementare.

Ambito di applicazione del regolamento DORA

Il regolamento DORA si applica a tutte le istituzioni finanziarie dell’UE. Sono incluse entità finanziarie tradizionali, quali banche, società di investimento e istituti di credito, ed entità non tradizionali, come fornitori di asset legati a criptovalute e piattaforme di crowdfunding. In particolare, il regolamento DORA si applica anche ad alcune entità generalmente escluse dalla regolamentazione finanziaria.

Esempio:
I fornitori di servizi di terze parti che forniscono a ditte finanziarie sistemi e servizi ICT, come fornitori di cloud service e data center, devono soddisfare i requisiti DORA.

Stato corrente del regolamento DORA

Questo regolamento è stato proposto per la prima volta nel settembre 2020 dalla Commissione Europea, il ramo esecutivo dell’UE responsabile della funzione legislativa. Fa parte di un più ampio pacchetto finanziario digitale che comprende anche iniziative per la regolamentazione delle criptovalute e il miglioramento della strategia globale dell’UE in materia di finanza digitale. Il Consiglio dell’Unione Europea e il Parlamento Europeo hanno adottato formalmente il regolamento DORA nel novembre 2022. Le entità finanziarie e i fornitori di servizi ICT di terze parti hanno tempo fino al 17 gennaio 2025 per ottemperare ai requisiti DORA prima dell’attuazione.

Applicazione del regolamento DORA

Una volta perfezionati gli standard e giunta la scadenza di gennaio 2025, l’applicazione spetterà alle autorità di regolamentazione designate in ciascuno Stato membro dell’UE, vale a dire le “autorità competenti”. Queste ultime potranno richiedere alle entità finanziarie di adottare misure di sicurezza specifiche e di correggere le vulnerabilità. Potranno inoltre imporre sanzioni amministrative, e in alcuni casi penali, alle entità inadempienti. Ogni Stato membro deciderà le opportune sanzioni.

Requisiti del regolamento DORA

Il DORA stabilisce i requisiti tecnici per le entità finanziarie e i provider ICT in quattro ambiti:

  • Gestione del rischio ICT e governance
    Il regolamento DORA attribuisce all’organo amministrativo di un’entità la responsabilità della gestione ICT. I membri del consiglio di amministrazione, i dirigenti e altri senior manager devono definire adeguate strategie di gestione del rischio, contribuire attivamente alla loro attuazione e mantenersi aggiornati sul landscape del rischio ICT. Anch’essi possono essere ritenuti personalmente responsabili per il mancato rispetto delle norme da parte dell’entità di appartenenza.
  • Risposta agli incidenti e reportistica
    Le entità interessate sono tenute a stabilire sistemi per monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell’incidente, alle entità può essere richiesta la segnalazione sia alle autorità di regolamentazione sia ai clienti e ai partner interessati. Per gli incidenti critici dovranno essere presentati tre diversi tipi di rapporti: un rapporto iniziale di notifica alle autorità, un rapporto intermedio sui progressi compiuti per risolvere l’incidente e un rapporto finale che analizza le cause principali dell’incidente.
  • Test di resilienza operativa digitale
    Le entità sono tenute a testare regolarmente i propri sistemi ICT per valutare la forza delle protezioni e identificare ‌le vulnerabilità. I risultati di tali test e i piani per affrontare eventuali debolezze riscontrate verranno poi comunicati alle autorità competenti e da esse convalidati.
  • Gestione del rischio di terze parti
    Un aspetto esclusivo del regolamento DORA è che si applica non soltanto alle entità finanziarie, ma anche ai fornitori ICT che servono il settore finanziario. Le società finanziarie dovrebbero assumere un ruolo attivo nella gestione del rischio di terze parti in ambito ICT. Nell’esternalizzare funzioni critiche e importanti, saranno tenute a negoziare accordi specifici riguardanti, tra le altre cose, strategie di uscita, audit e obiettivi prestazionali per l’accessibilità, l’integrità e la sicurezza. Alle entità non sarà consentito stipulare accordi contrattuali con fornitori ICT che non siano in grado di soddisfare tali requisiti.

Condivisione delle informazioni

Le entità finanziarie sono tenute a stabilire processi di apprendimento basati sugli incidenti ICT sia interni che esterni. A tal fine, il regolamento DORA incoraggia le entità a partecipare ad accordi volontari di condivisione in materia di threat intelligence. Tutte le informazioni condivise in questo modo devono comunque essere protette secondo le linee guida pertinenti, ad esempio le informazioni di identificazione personale sono pur sempre soggette alle considerazioni del Regolamento generale sulla protezione dei dati.

FAQ

1. Cos’è il regolamento DORA?
Il regolamento DORA è una normativa europea che mira a migliorare la resilienza operativa digitale delle imprese finanziarie attraverso la gestione dei rischi ICT, la gestione degli incidenti e la condivisione delle informazioni.

2. Quali sono gli obiettivi principali del regolamento DORA?
La protezione dei sistemi finanziari dagli attacchi informatici, la gestione efficace dei rischi ICT e la promozione della condivisione delle informazioni tra le imprese e le autorità di vigilanza.

3. Quali imprese sono interessate dal regolamento DORA?
Il regolamento DORA si applica alle imprese di investimento, alle imprese di assicurazione e ai fondi di investimento alternativi all’interno dell’Unione Europea.

4. Cosa richiede il regolamento DORA in termini di test di resilienza operativa?
Le imprese devono condurre test regolari sui loro sistemi ICT per verificare la resilienza operativa e identificare eventuali vulnerabilità che potrebbero essere sfruttate durante un attacco informatico.

5. Qual è il ruolo delle autorità europee di vigilanza nel contesto del regolamento DORA?
Le autorità europee di vigilanza sono responsabili del monitoraggio della conformità al regolamento DORA e del supporto alle imprese nel migliorare la loro resilienza operativa digitale.

6. Come influisce il regolamento DORA sulla gestione degli incidenti?
Il regolamento DORA richiede alle imprese di avere piani di gestione degli incidenti che consentano di rispondere rapidamente ed efficacemente a qualsiasi incidente di sicurezza informatica.

7. Quali sono le principali sfide nell’implementazione del regolamento DORA?
Le principali sfide includono l’aggiornamento dei sistemi ICT, la formazione del personale e la stretta collaborazione tra i vari dipartimenti aziendali per garantire la conformità ai nuovi requisiti.

86
To top