REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011.
Oggi è una data importante per la sicurezza informatica nel settore finanziario che sancisce l'introduzione del regolamento (UE) 2022/2554 in materia di resilienza operativa digitale denominato Digital Operational Resilience Act (DORA).

Gli obiettivi del regolamento DORA.

Entrato in vigore il 16 gennaio 2023, il regolamento DORA risulterà vincolante dal 17 gennaio 2025 e introdurrà innovazioni fondamentali. Rappresenta la più importante iniziativa regolamentare a livello UE in materia di resilienza operativa e sicurezza informatica nel settore dei servizi finanziari (FS) e costituisce un notevole passo avanti verso il consolidamento e l’evoluzione dei requisiti normativi per gli operatori di mercato in ambito ICT.
Gli operatori coinvolti avranno quindi un periodo relativamente limitato di 24 mesi per adeguarsi ai nuovi standard normativi. Il periodo entro cui sarà necessario implementare le misure di attuazione è iniziato 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'UE (Novembre 2022).
Ciò significa che entro il quarto trimestre del 2024, le autorità di regolamentazione competenti si aspettano che le parti siano pienamente conformi ai nuovi requisiti DORA, comprese le disposizioni che saranno incluse nelle normative di livello 2 stabilite dalle autorità di regolamentazione nei paesi europei.
La resilienza operativa digitale è la capacità degli operatori (entità finanziarie e fornitori di servizi ICT) di continuare a offrire risultati specifici nonostante il verificarsi di incidenti e violazioni delle infrastrutture. Si tratta, quindi, di uno strumento che mira a garantire l'integrità, la solidità e l'affidabilità degli operatori, nonché un veicolo per la consapevolezza dei rischi informatici e di sicurezza, ma anche uno strumento di garanzia per proteggere i consumatori.
Il regolamento prevede che le imprese dovranno raggiungere un elevato livello di resilienza operativa digitale e stabilisce obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che supportano i processi commerciali delle entità finanziarie.
La definizione di "entità finanziaria" comprende non solo gli attori tradizionali (ad esempio banche, imprese di assicurazione e di investimento) ma anche nuovi attori come, ad esempio, le società di servizi criptoasset. Oltre alle entità finanziarie, il "DORA" è rivolto anche ai fornitori di servizi ICT. Ciò comporterebbe il coinvolgimento di un numero potenzialmente elevato di operatori di mercato.
Il DORA richiede pertanto agli operatori di adottare una visione aziendale più ampia della resilienza, con chiare e rafforzate responsabilità per gli organi aziendali e il top management; si applica alla maggioranza degli operatori del settore finanziario che operano nell’UE e stabilisce regole vincolanti per la gestione del rischio ICT, il reporting degli incidenti, i test di resilienza e la gestione del rischio di terze parti (TPRM).

La struttura.

Oltre ad essere un requisito normativo, DORA offre agli operatori l'opportunità di migliorare il loro livello di comprensione e valutazione degli effetti di incidenti operativi e interruzioni sulle loro aziende e clienti.
Il Regolamento fornisce agli operatori una base da cui partire per guidare fin da subito la fase di attuazione. Al fine di implementare un solido framework di resilienza operativa entro il quarto trimestre del 2024 in conformità con i nuovi requisiti, gli operatori sono pertanto invitati a condurre un'analisi di impatto volta a identificare i gap e le aree evolutive.
Il regolamento DORA può essere sintetizzato nei seguenti pilastri:

• governance e organizzazione interna
• gestione del rischio ICT
• gestione e rendicontazione degli incidenti
• pianificazione ed esecuzione di test di resilienza operativa digitale
• gestione di terzi
• condivisione di informazioni
• ruoli e compiti delle autorità competenti

Quali cambiamenti determinerà il regolamento DORA?

Il DORA costituisce il primo framework normativo al mondo che consente alle autorità di vigilanza FS di supervisionare i fornitori di servizi ICT critici (CTPPs), compresi i fornitori di servizi cloud (CSPs).
Di seguito sono riportati alcuni dei criteri introdotti.

• ampio campo di applicazione soggettivo e un quadro normativo unico, uniforme e convergente tra tutte le entità finanziarie e i fornitori di servizi ICT (articolo. 2)
• quadro rafforzato di compiti e responsabilità dell'organo di gestione in materia di gestione e controllo interno delle ICT e dei rischi informatici, garantendo una gestione efficace e prudente (art. 5, par. 1, 2 e 4)
• funzione specifica di controllo del rischio informatico e delle ICT, che prevede per le entità finanziarie diverse dalle microimprese l'obbligo di attribuire la responsabilità della gestione e della sorveglianza dei rischi informatici a una funzione di controllo (livello II), di cui garantiscono un livello di indipendenza adeguato per evitare conflitti di interesse (articolo 6, paragrafo 4)
• attenzione particolare ai rischi sistemici (articolo 6). Sono specificate l'identificazione e la classificazione ex ante dei rischi informatici e delle ICT (capitolo II, sezione II)
• misure preventive attraverso conoscenze, competenze ed esperienze, compreso il requisito di una formazione specifica della direzione, della direzione e dei lavoratori (articolo 5, paragrafo 4, e articolo 13, paragrafo 6)
• modifica dei criteri di gestione, classificazione, notifica di gravi incidenti in materia di sicurezza delle ICT, gravi incidenti operativi o di sicurezza dei pagamenti, armonizzazione dei modelli e dei contenuti per la notifica e centralizzazione dei canali di notifica
• notifica di minacce informatiche significative (articolo 17) su base volontaria
• requisito per la pianificazione e l'esecuzione di test di resilienza operativa digitale nella chiave TIBER dell'UE (articolo 26)
• designazione dei fornitori critici di servizi ICT da parte dell'Autorità europea di vigilanza (articolo 31)
• struttura e quadro di monitoraggio (articolo 32)
• meccanismi di condivisione delle informazioni e analisi delle minacce informatiche tra soggetti finanziari (articolo 45)
• sistema sanzionatorio basato su misure efficaci, proporzionate e dissuasive (non ancora definite in dettaglio dagli Stati membri) (articolo 50)

I prossimi passi

Gli enti finanziari e i fornitori di servizi ICT sono tenuti ad adottare un approccio proattivo e a non essere impreparati per l'applicazione dei requisiti della norma, che, come sopra menzionato, diventerà vincolante a partire dal 17 gennaio 2025. Nei prossimi mesi, pertanto, sarà necessario intraprendere azioni preliminari per valutare la maturità organizzativa dell'attuale modello di gestione del rischio delle ICT e determinare l'impatto che DORA ha sugli operatori. Sarà necessario effettuare un'analisi delle lacune sul quadro di gestione dei rischi delle ICT e, in particolare:

• organizzazione interna e governance
• garanzie tecniche e organizzative per la mitigazione dei rischi
• gestione, classificazione e segnalazione di incidenti informatici
• test di resilienza operativa digitale

La norma prevede un solido e completo programma di test di resilienza operativa digitale basato su un approccio basato sul rischio, conformemente al principio di proporzionalità, meccanismi di segnalazione degli incidenti. Sarà necessario valutare la reattività dell'impresa nel campo della segnalazione e della segnalazione di incidenti con terzi.
In particolare, gli operatori dovranno valutare: la mappatura dei fornitori di servizi ICT (se esistenti) e dei fornitori di servizi esternalizzati; se gli accordi contrattuali riguardino una funzione critica o importante; le modalità di governance per la gestione dei rischi connesse agli accordi contrattuali esistenti, compresa la possibilità che tali accordi possano aggravare il rischio di concentrazione delle ICT. Nella valle del gap analysis, a seconda del livello di maturità rilevato e dei punti di criticità nei vari campi, sarà necessario attivare diversi cantieri di lavoro per raggiungere un livello di conformità coerente con la norma. Inoltre, gli operatori dovranno pianificare e svolgere attività di formazione. Tutti i dipendenti e gli alti dirigenti coinvolti dovranno attuare un programma di formazione obbligatorio sulla gestione del rischio ICT con un livello di complessità proporzionale alla funzione svolta, compresi i fornitori di servizi ICT terzi in tali attività.
La regolamentazione europea monitorerà gli sviluppi normativi che dovrebbero essere emanati dalla regolamentazione europea. Sarà inoltre necessario tenere conto della direttiva NIS 2, che introduce misure specifiche e più rigorose in termini di gestione del rischio informatico, comunicazione e condivisione delle informazioni sugli incidenti di sicurezza, anche per quanto riguarda una serie di settori e materie più ampie di quelle previste nella direttiva NIS originaria. Pertanto, sarà necessaria una strategia adeguata per realizzare in modo sinergico le azioni di conformità previste dalla regolamentazione doppia (regolamento DORA e direttiva NIS 2).

Le specifiche per il mondo bancario.

Lo scorso 4 novembre è entrato in vigore il 40° aggiornamento della circolare 285, chiedendo alle banche di recepire le modifiche introdotte entro il 30 giugno 2023. Questo aggiornamento invita le banche ad attuare gli orientamenti EBA/GL/2019/04 sulla gestione del rischio delle tecnologie dell'informazione (ICT) e sulla sicurezza (EBA/GL/2019/04). Tra le principali novità, le nuove norme prevedono che le banche abbiano una funzione di controllo di secondo livello per la gestione e il controllo dei rischi per le ICT e la sicurezza. Al momento dell'adozione delle misure previste dal regolamento DORA, occorre tener conto delle innovazioni introdotte dal 40° aggiornamento al fine di realizzare le azioni di conformità in modo sinergico.

Per maggiori informazioni e/o approfondimenti rimandiamo alla documentazione ufficiale:

• REGOLAMENTO (UE) 2022/2554 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011