La tua ricerca

    08.11.2024

    Le novità e l'impatto del regolamento Dora


    Articolo a cura di Fabio Coco pubblicato su Funds People

    Con l'aumento delle minacce informatiche, il legislatore europeo ha riconosciuto l'importanza di dotare le istituzioni finanziarie, bancarie e assicurative dell'Unione di un quadro normativo che favorisca la loro resilienza operativa digitale.

    Il Regolamento UE 2022/2554, noto come "DORA" (Digital Operational Resilience Act), la cui applicazione dovrebbe decorrere a partire dal 17 gennaio 2025, rappresenta la più importante riforma sinora varata nel settore della sicurezza informatica nell'ambito bancario, finanziario e assicurativo. Come confermato dai suoi considerando, il crescente grado di digitalizzazione e interconnessione ha amplificato i rischi informatici in conseguenza del ruolo essenziale acquisito dai servizi ICT. Con l'aumento delle minacce informatiche e delle interruzioni operative conseguenti a incidenti di sicurezza, il legislatore europeo ha riconosciuto l'importanza di dotare le istituzioni finanziarie, bancarie e assicurative dell'Unione di un quadro normativo che favorisca la loro "resilienza operativa digitale", ossia la capacità di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo tramite i servizi ICT di fornitori terzi, la sicurezza dei sistemi informatici anche a fronte di eventuali perturbazioni. In tal senso, è cruciale che le entità finanziarie ed i loro provider di servizi ICT adottino misure adeguate e idonee per garantire la sicurezza e l'affidabilità delle loro operazioni.

    I pilastri principali su cui poggia la disciplina di DORA sono essenzialmente cinque:

    (i) Gestione dei rischi: obbligo di mappare tutte le funzioni e le attività supportate da servizi ICT e gestirne i rischi, le minacce alla cybersecurity e le vulnerabilità, dotandosi di strutture di governance interna e formalizzando le relative policy per monitorarle.

    (ii) Resilienza operativa: obbligo di prevedere un programma di test per valutare e rimediare eventuali lacune di sicurezza informatica.

    (iii) Rapporti con i fornitori terzi: valutazione e monitoraggio dei rischi dei rapporti con fornitori esterni (in particolare i fornitori con cui hanno rapporti diretti e anche i subcontractors) tramite la redazione di accordi contrattuali che includano i requisiti minimi indicati nel regolamento.

    (iv) Gestione degli incidenti: obbligo di informare le autorità competenti su eventuali incidenti significativi e le misure adottate per affrontarli.

    (v) Meccanismi di condivisione delle informazioni: possibilità di scambio reciproco di informazioni e analisi delle minacce informatiche.

     

    Gli impatti di DORA

    L'impatto di DORA sulle varie tipologie di entità finanziarie non sarà lo stesso per tutti i destinatari, sia in termini di presidi di governance interna (es. aggiornamento delle policy di sicurezza informatica) sia in termini di revisione dei contratti con i fornitori di servizi ICT a supporto di funzioni essenziali o importanti.

    In particolare, le banche (attesa la loro rilevanza a livello di rischio sistemico) erano già sottoposte a un framework regolamentare particolarmente avanzato in ragione del recepimento sia degli orientamenti EBA su esternalizzazione che degli orientamenti EBA sulla gestione dei rischi ICT e di sicurezza (entrambi poi richiamati e attuati nella Circolare 285) che già anticipavano alcune delle misure poi successivamente ribadite da DORA.

    Insieme alle banche, anche le imprese di assicurazione, nonché SGR e gestori di FIA, sono già attualmente chiamati ad adottare una serie di presidi in caso di esternalizzazione di funzioni essenziali o importanti. Per le imprese di assicurazione vi saranno impatti sulle attività da svolgere internamente per l'adeguamento e la compliance con le previsioni di DORA, anche alla luce della ormai risalente regolamentazione di settore (i.e. il Regolamento IVASS n. 38 del 2018). Le SGR, i gestori di FIA e le imprese di investimento a loro volta avranno un impatto rilevante (in termini di sforzi interni per l'adeguamento); le attuali fonti non approfondiscono e non considerano in modo esaustivo le regole di resilienza operativa digitale (si pensi al Regolamento UE 2013/231 e al Regolamento di Banca d'Italia e Consob del 5 dicembre 2019, ma anche al Regolamento UE 2017/565; anche se parzialmente, l'unica fonte che cerca di regolamentare il tema sono gli orientamenti ESMA sul cloud, applicabili peraltro solo ai servizi in cloud).

    In ogni caso, ciascuna entità finanziaria dovrà innanzitutto individuare tutti i contratti riconducibili a servizi ICT prestati da fornitori terzi; tra questi si dovranno distinguere i servizi a supporto di funzioni essenziali o importanti, ossia quelle funzioni la cui interruzione o la cui esecuzione interrotta, carente o insufficiente, comprometterebbe sostanzialmente i risultati finanziari o la solidità o la continuità dei servizi e delle sue attività, o ancora il costante adempimento delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa di settore applicabile. Successivamente, sarà necessario svolgere una gap analysis per poter correttamente valutare i rischi e le azioni da intraprendere per poter adeguare tutte le policy e le procedure interne e i contratti ai nuovi requisiti previsti dal Regolamento DORA e dai regolamenti delegati.

    In tal senso, il framework DORA è ben lungi dall'essere completato e, in particolare, (i) mancano ancora la maggior parte delle norme tecniche di attuazione (c.d. RTS e ITS, si pensi ad esempio alla classificazione degli incidenti, alla gestione dei rapporti con i subfornitori, alle metodologie di notifica e reporting degli incidenti) e (ii) sarà necessaria l'emanazione di un decreto legislativo di "armonizzazione" dell'ordinamento italiano alle novità introdotte dal pacchetto DORA come previsto dall'art. 16 della legge delega n. 15/2024. Inevitabilmente, tutto ciò rende ancora più difficile questa fase di implementazione e progressivo adeguamento a questa nuova normativa "iper-tecnica".