Digital Operational Resilience Act – DORA
Mai come prima d’ora, il mondo sta vivendo un momento di piena transizione digitale, guidata anche dai governi che hanno inserito la tematica nei primi posti delle loro agende e nei piani di ripresa dalla pandemia di COVID-19. Proprio l’emergenza sanitaria ha dimostrato ulteriormente la necessità di un’evoluzione dei modelli di business in questa direzione. In conseguenza di ciò, le aziende che si troveranno ad essere impegnate in tale sfida dovranno di certo affrontare gli innumerevoli rischi legati alla trasformazione digitale.
In tale contesto, l’Unione Europea ha colto l’opportunità per definire delle regole che assicurino standard di sicurezza delle infrastrutture ed il monitoraggio dei fornitori ICT operanti nel settore finanziario, attraverso la proposta di regolamento in materia di “resilienza operativa digitale per il settore finanziario” pubblicata il 24 settembre 2020 da parte della Commissione Europea (Digital Operational Resilience Act – DORA) e facente parte di un pacchetto di misure finalizzate ad accrescere e supportare il potenziale della finanza digitale in termini di innovazione e concorrenza, con un approccio orientato alla gestione dei rischi ICT.
I principali obiettivi che il Regolamento DORA si propone di conseguire sono i seguenti:
- migliorare, snellire e armonizzare la gestione del rischio ICT;
- aumentare la consapevolezza delle autorità di vigilanza sui rischi informatici e sulla gestione degli incidenti;
- garantire alle autorità di vigilanza il potere di sorvegliare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori di servizi ICT.
Per quanto riguarda i requisiti previsti dal Regolamento, gli stessi possono essere raggruppati secondo le seguenti tematiche:
Per quanto riguarda le tempistiche, la pubblicazione del Regolamento in versione definitiva non è prevista prima del 2022. Nell’attesa, sorgono già i primi interrogativi: poiché l’attuale comparto normativo dei singoli paesi europei risulta già piuttosto evoluto in merito alla vigilanza ed al controllo dei processi e presidi ICT posti in essere dai soggetti coinvolti dal Regolamento DORA, quali sovrapposizioni normative potremo riscontrare in Italia e in Europa sulle tematiche nel perimetro di analisi? Le autorità di vigilanza dei singoli paesi (ad esempio Banca d’Italia e ISVAP per il nostro paese) hanno già sensibilizzato a sufficienza i soggetti vigilati attraverso le circolari sinora emanate e le attività di ispezione eseguite negli anni? Di che entità risulterà l’attuale “Gap” procedurale e di controllo interno ICT dei soggetti nel perimetro DORA rispetto ai requisiti richiesti e, di conseguenza, quanto sarà gravoso per tali soggetti il “costo della Compliance” di tale novità normativa?
Alle società italiane coinvolte non resta quindi che attendere i prossimi sviluppi e preparare nel contempo la strategia per poter rispondere in modo proattivo alle evoluzioni che ne deriveranno.