Digital Operational Resilience Act (DORA): Misure vincolanti entro gennaio 2025.
È risaputo che il settore finanziario è quello che più fa gola al crimine informatico ed è particolarmente vulnerabile agli attacchi.
Un rischio cresciuto esponenzialmente a seguito dei cambiamenti nel settore bancario, alle nuove iniziative digitali e alle valute digitali ormai sdoganate in molte transazioni.
Per questo le stesse istituzioni hanno ritenuto necessario regolamentare con apposite misure una materia sempre più complessa e rischiosa.
In prima linea su questo fronte è, ancora un volta, l’Unione europea che ha emanato il DORA (Digital Operational Resilience Act), con l’obiettivo di affrontare compiutamente la gestione del rischio ICT nel settore dei servizi finanziari e armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell’UE.
Con il regolamento DORA, l’UE mira a stabilire un framework universale per la gestione e la mitigazione del rischio ICT nel settore finanziario.
Lo scopo è eliminare le lacune, le sovrapposizioni e i conflitti che potrebbero sorgere tra le diverse normative nei vari Stati UE armonizzando le regole di gestione del rischio in tutta Europa.
Un insieme condiviso di norme può infatti facilitare la conformità delle entità finanziarie e, al tempo stesso, migliorare la resilienza dell’intero sistema finanziario europeo, assicurando il rispetto degli stessi standard da parte di tutti gli attori.
Una misura proposta per la prima volta nel settembre 2020 dalla Commissione Europea, e che fa parte di un più ampio pacchetto finanziario digitale che comprende anche iniziative per la regolamentazione delle criptovalute e il miglioramento della strategia globale dell’UE in materia di finanza digitale.
Il Consiglio dell’Unione Europea e il Parlamento Europeo hanno adottato formalmente il DORA nel novembre 2022, il 27 dicembre 2022 è stato pubblicato in Gazzetta Ufficiale e il 16 gennaio 2023 è entrato in vigore.
Le entità finanziarie e i fornitori di servizi ICT di terze parti per ottemperare ai requisiti richiesti hanno tempo fino al 17 gennaio 2025 quando il regolamento diventerà vincolante.
Il regolamento DORA si applica a tutte le istituzioni finanziarie dell’UE, inclusi i soggetti finanziari tradizionali, come le banche, le società di investimento, gli istituti di credito, nonché soggetti non tradizionali, come fornitori di servizi legati a criptovalute e piattaforme di crowdfunding, fornitori di servizi cloud e data center.
Anche le ditte che forniscono servizi informativi critici di terze parti, quali i servizi di rating e di data analytics, sono interessate alla normativa.
Dopo il termine del gennaio 2025 saranno le autorità di regolamentazione designate in ciascuno Stato membro a gestirne l’applicazione. Queste autorità competenti potranno richiedere alle entità finanziarie di adottare misure di sicurezza specifiche e di correggere le eventuali vulnerabilità. Potranno inoltre imporre sanzioni amministrative e, in alcuni casi, penali, alle entità inadempienti. Le sanzioni saranno decise da ogni singolo Stato membro e possono essere pari all’1% del turnover mondiale medio giornaliero registrato nell’esercizio precedente dal soggetto sanzionato.
Le multe potranno essere comminate giornalmente per un massimo di sei mesi fino al momento in cui il fornitore non avrà raggiunto la piena conformità.
I 6 pilastri del Regolamento
Le misure previste dal DORA sono suddivise in 6 grandi ambiti che devono rappresentare dei punti imprescindibili che aziende e organizzazioni sono chiamate a migliorare o implementare:
- ICT Governance.
Qui l’obiettivo è di favorire un migliore allineamento delle strategie di gestione dei rischi ICT da parte delle entità finanziarie. L’Organo di Gestione avrà un ruolo fondamentale nell’attribuire responsabilità e ruoli per tutte le funzioni ICT, controllare e monitorare la gestione dei rischi ICT e, infine, allocare adeguatamente investimenti e formazione in ambito ICT; - ICT Risk Management.
In questo contesto, l’obiettivo è di migliorare e armonizzare le regole per la gestione del rischio ICT. Le entità finanziarie dovranno istituire e mantenere strumenti e sistemi ICT resilienti attraverso l’identificazione dei rischi ICT, la predisposizione di misure di protezione e prevenzione, il rilevamento di minacce, la gestione degli incidenti, l’implementazione di strategie di continuità operativa e piani di ripristino in caso di disastro; - Gestione degli incidenti.
Prevede specifici obblighi in materia di gestione degli incidenti ICT. Le organizzazioni di settore dovranno implementare un sistema di mappatura, in cui si classificano i vari incidenti sulla base di criteri descritti nel Regolamento e ulteriormente definiti dalle AEV (Autorità Europee di Vigilanza) per specificare le soglie di rilevanza; - Test di Resilienza.
Questa è la maggiore novità, perché viene specificato che le entità finanziarie dovranno essere sottoposte periodicamente a test per accertarne il grado di maturità, identificarne punti deboli e definire eventuali misure correttive. Una misura che evidenzia l’obiettivo del regolatore di adottare un approccio proattivo che non si limiti alle sole misure correttive “di reazione”. In questa fase, le attività di Penetration Test e, più in generale, di Red-Teaming, dovranno essere svolte solo da soggetti autorizzati e opportunamente certificati. Al riguardo, per lo svolgimento di questi Test, può essere utilizzato il Framework previsto dalla Comunità Europea, ossia il TIBER EU, recepito in Italia come TIBER IT, adottato anche da Banca d’Italia, Consob e IVASS. - Rischi Terze Parti.
Per questo ambito il regolatore specifica che le varie entità dovranno garantire il rispetto di norme che si applicano al monitoraggio dei rischi ICT derivanti da Terze Parti e armonizzare gli elementi essenziali del servizio in tutte le fasi del contratto: stipula, esecuzione, estinzione e fase post-contrattuale; - Condivisione delle informazioni.
Qui l’obiettivo è quello di sopperire alla mancanza di comunicazioni tra le varie entità all’interno della Comunità Europea. Viene infatti consentita, alle organizzazioni finanziarie, la stipula di accordi per scambiarsi informazioni e dati sulle minacce informatiche, al fine di rafforzare la cooperazione tra gli Stati membri.
Dopo la data del 17 gennaio 2025, dunque, tutti i soggetti interessati dovranno adottare determinate misure tecniche e organizzative.
In particolare, le istituzioni finanziarie coinvolte sono chiamate in primis ad adottare un processo di gestione dei rischi connessi alle tecnologie ICT, con l’obiettivo di individuare i rischi informatici in via preventiva e ridurre al minimo l’impatto degli incidenti cyber.
Tale onere viene posto in capo all’organo di gestione dell’impresa, che è chiamato ad assumersi “piena e ultima responsabilità” per:
- la gestione dei rischi ICT;
- la definizione e l’approvazione della strategia di resilienza operativa digitale;
- la revisione e l’approvazione della politica aziendale sull’ingaggio di fornitori terzi per i servizi ICT.
Tutti gli attori che rientrano nel Regolamento DORA, devono dunque prepararsi a recepirlo entro gennaio 2025, sviluppando o aggiornando le proprie procedure di segnalazione degli incidenti in linea con le nuove misure. Si tratta di una serie di adempimenti che le entità finanziarie sono obbligate a svolgere, per assicurare un elevato livello di resilienza operativa digitale e che rappresentano un ulteriore campo di conoscenze che devono essere acquisite e gestite.
Tra questi grande rilevanza viene data alla formazione e alla sensibilizzazione che le diverse entità finanziarie dovranno mettere in campo in modo sistemico.
Secondo il punto 6 del fondamentale articolo 13 del Regolamento dovranno essere previsti moduli obbligatori di formazione del personale sulla sicurezza delle ICT.
Tali programmi formativi dovranno essere applicabili a tutti i dipendenti e al personale direttivo, e avranno un livello di complessità commisurato al mandato delle loro funzioni. Dove necessario le entità finanziarie dovranno includere nei loro programmi di formazione anche i fornitori terzi di servizi ICT.
La formazione è dunque un pilastro di questa nuova normativa, necessaria non solo per rendere i soggetti coinvolti inattaccabili sul fronte della sicurezza informatica ma anche sul piano giuridico ed evitare spiacevoli sanzioni.
