Digital Operational Resilience Act – DORA

Mai come prima d’ora, il mondo sta vivendo un momento di piena transizione digitale, guidata anche dai governi che hanno inserito la tematica nei primi posti delle loro agende e nei piani di ripresa dalla pandemia di COVID-19. Proprio l’emergenza sanitaria ha dimostrato ulteriormente la necessità di un’evoluzione dei modelli di business in questa direzione. In conseguenza di ciò, le aziende che si troveranno ad essere impegnate in tale sfida dovranno di certo affrontare gli innumerevoli rischi legati alla trasformazione digitale.

In tale contesto, l’Unione Europea ha colto l’opportunità per definire delle regole che assicurino standard di sicurezza delle infrastrutture ed il monitoraggio dei fornitori ICT operanti nel settore finanziario, attraverso la proposta di regolamento in materia di “resilienza operativa digitale per il settore finanziario” pubblicata il 24 settembre 2020 da parte della Commissione Europea (Digital Operational Resilience Act – DORA) e facente parte di un pacchetto di misure finalizzate ad accrescere e supportare il potenziale della finanza digitale in termini di innovazione e concorrenza, con un approccio orientato alla gestione dei rischi ICT.

I principali obiettivi che il Regolamento DORA si propone di conseguire sono i seguenti:

  • migliorare, snellire e armonizzare la gestione del rischio ICT;
  • aumentare la consapevolezza delle autorità di vigilanza sui rischi informatici e sulla gestione degli incidenti;
  • garantire alle autorità di vigilanza il potere di sorvegliare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori di servizi ICT.

Per quanto riguarda i requisiti previsti dal Regolamento, gli stessi possono essere raggruppati secondo le seguenti tematiche:

  • Governance

    favorire un migliore allineamento delle strategie commerciali delle entità finanziarie e della gestione dei rischi relativi alle tecnologie ICT attraverso la definizione di ruoli e responsabilità definiti. L’organo di gestione sarà tenuto a mantenere un ruolo attivo e cruciale nel dirigere il quadro di gestione dei rischi ICT e dovrà garantire il rispetto di una scrupolosa igiene informatica.

  • Gestione dei rischi ICT

    per tenere il passo con il rapido sviluppo del contesto delle minacce informatiche, le entità finanziarie devono:

    • istituire e mantenere strumenti e sistemi ICT resilienti, tali da ridurre al minimo l’impatto dei rischi ICT;
    • identificare costantemente tutte le fonti di rischio ICT;
    • introdurre misure di protezione e prevenzione;
    • individuare tempestivamente le attività anomale;
    • mettere in atto strategie di continuità operativa e piani di ripristino in caso di disastro come parte integrante della strategia di continuità operativa.
  • Gestione degli incidenti ICT

    requisiti per l’armonizzazione e la razionalizzazione delle segnalazioni di incidenti ICT.

  • Test di resilienza operativa digitale:

    le capabilities e le funzioni incluse nella gestione dei rischi ICT devono essere sottoposte a test periodici per accertarne il livello di  “Readiness”, identificarne punti di miglioramento o carenze e verificare la capacità di attuare tempestivamente misure correttive.

  • Gestione dei rischi ICT di terze parti

    garantire un solido monitoraggio dei rischi ICT derivanti da terzi.

  • Condivisione delle informazioni

    sensibilizzare in merito ai rischi ICT, ridurne al minimo la propagazione, sostenere le capacità di difesa e le tecniche di identificazione delle minacce delle entità finanziarie.

Per quanto riguarda le tempistiche, la pubblicazione del Regolamento in versione definitiva non è prevista prima del 2022. Nell’attesa, sorgono già i primi interrogativi: poiché l’attuale comparto normativo dei singoli paesi europei risulta già piuttosto evoluto in merito alla vigilanza ed al controllo dei processi e presidi ICT posti in essere dai soggetti coinvolti dal Regolamento DORA, quali sovrapposizioni normative potremo riscontrare in Italia e in Europa sulle tematiche nel perimetro di analisi? Le autorità di vigilanza dei singoli paesi (ad esempio Banca d’Italia e ISVAP per il nostro paese) hanno già sensibilizzato a sufficienza i soggetti vigilati attraverso le circolari sinora emanate e le attività di ispezione eseguite negli anni? Di che entità risulterà l’attuale “Gap” procedurale e di controllo interno ICT dei soggetti nel perimetro DORA rispetto ai requisiti richiesti e, di conseguenza, quanto sarà gravoso per tali soggetti il “costo della Compliance” di tale novità normativa?

Alle società italiane coinvolte non resta quindi che attendere i prossimi sviluppi e preparare nel contempo la strategia per poter rispondere in modo proattivo alle evoluzioni che ne deriveranno.