Digital Operational Resilience Act (DORA): il nuovo paradigma europeo per la gestione di Cybersecurity e ICT nei Financial Services.

Il Regolamento in materia di resilienza operativa digitale per il settore finanziario Digital Operational Resilience Act, o DORA) nasce dagli studi pregressi e dalla sintesi di proposte formulate da numerose autorità regolatorie comunitarie (preposte ai settori bancari, finanziari e assicurativi.

Il Regolamento, entrato in vigore il 16 gennaio 2023, sarà vincolante dal 17 gennaio 2025 e mira a consolidare e armonizzare la disciplina comunitaria sulla gestione dei rischi connessi all’uso di servizi ICT (Information and Communication Technologies) inerenti alla trasmissione, ricezione, elaborazione e conservazione di dati e informazioni.

La nuova disciplina è destinata a banche, compagnie di assicurazione, istituzioni finanziarie, emittenti di cripto-asset ed emettenti di token, ma la platea si estende anche alle c.d. “terze parti”: le imprese che forniscono a quei soggetti i servizi IT.

L’estensione della normativa anche a questi operatori risponde alla necessità di garantire alle autorità di vigilanza la supervisione diretta dei rischi associati all’affidamento di funzioni tecnologiche dagli istituti finanziari ai fornitori esterni.

Il Regolamento DORA persegue l’obiettivo di prevenire i rischi informatici e ridurre al minimo l’impatto degli incidenti cyber. In quest’ottica, DORA serve a creare un framework europeo funzionale al rafforzamento della capacità di resilienza digitale delle imprese europee.

La normativa individua sei pilastri cruciali, che ogni destinatario dovrà erigere per garantire il conseguimento degli obiettivi del Regolamento:

1. ICT Governance: ovvero migliore allineamento adeguate strategie di gestione dei rischi ICT. L’Organo di Gestione avrà un ruolo fondamentale nell’attribuzione di responsabilità e ruoli, nel controllare e monitorare la gestione dei rischi ICT e, infine, nell’allocare adeguati investimenti, ance per la formazione, in ambito ICT;
2. ICT Risk Management Framework: l’insieme di requisiti volti ad armonizzare, nei diversi settori, le regole di gestione dei rischi relativi alle tecnologie ICT in ogni fase del loro ciclo di vita, al fine di definire soluzioni di continuità in grado di coprire tutti gli scenari rilevanti;
3. Gestione, classificazione e segnalazione degli incidenti ICT: includerà i requisiti per l’armonizzazione delle attività di classificazione e segnalazione degli incidenti ICT, con la possibile creare un Hub europeo unico per la segnalazione dei principali incidenti ICT da parte degli istituti finanziari.
4. Test di resilienza operativa digitale: si tratta della maggiore novità, perché le entità finanziarie dovranno essere sottoposte periodicamente a test per accertarne il grado di maturità, identificarne i punti deboli e definire eventuali misure correttive;
5. Gestione del rischio dei fornitori di terze parti: sarà l’insieme di requisiti per l’inclusione dei fornitori critici di servizi ICT. Le Autorità di Vigilanza Europee avranno il compito di condurre ispezioni off-site e on-site, richiedere informazioni, rilasciare raccomandazioni e richieste, e imporre sanzioni.
6. Condivisione delle informazioni: stabilire modalità di scambio e condivisione delle informazioni tra gli operatori in merito a minacce e incidenti di sicurezza con l’obiettivo di ridurne la propagazione e sostenere le capacità di difesa.

Gli articoli del DORA spesso si intersecano con aspetti disciplinati da preesistenti normative comunitarie e nazionali, rispetto alle quali esso costituirà, per il settore finanziario, una legge speciale, che prevarrà in caso di contrasto con altre regolamentazioni, che, tuttavia, permarranno. Ciò avrà effetti anche sull’attuale assetto di competenze (in Italia affidate al MEF, in collaborazione con Banca d’Italia e Consob) e necessiterà di un più ampio raccordo con la normativa nazionale in materia di sicurezza cibernetica.

Il DORA rappresenta un’opportunità senza precedenti per rafforzare la sicurezza e la stabilità dei nostri sistemi finanziari. Tuttavia, diventare resilienti dal punto di vista digitale può rappresentare un aggravio in termini di costi per alcune imprese, specie se di dimensioni medie o piccole, sensibili alle implicazioni finanziarie di una simile regolamentazione.

Per far fronte a queste preoccupazioni, i regolatori hanno previsto il concetto di proporzionalità nell’applicazione del regolamento, tenuto conto delle dimensioni dell’azienda, della sua complessità e del suo livello di maturità.

Tutti gli operatori, incluse le aziende con una minore maturità nella governance sono chiamate a valutare il proprio grado di maturità rispetto ai requisiti normativi e a pianificare le azioni necessarie per adeguarvisi in modo efficace e cogliere le opportunità di miglioramento e le sfide poste dal DORA.

Avv.ti Alessandro Facchino ed Enzo Cardone