17 MAGGIO
IL REGOLAMENTO DORA: NUOVE REGOLE PER LA CYBERSECURITY IN EUROPA
GOVERNANCE RISK & CONTROL
4 MIN READ
IL REGOLAMENTO DORA: NUOVE REGOLE PER LA CYBERSECURITY IN EUROPA
La digitalizzazione, l’interconnessione sociale ed economica sono ormai diventati un elemento imprescindibile e fortemente caratterizzante del sistema finanziario in cui operiamo. L’innovazione tecnologica genera innumerevoli benefici, sotto forma di rapidità, efficienza, competitività delle imprese e degli intermediari finanziari, mentre per i cittadini questo si riverbera nella possibilità di beneficiare di una migliore “customer experience e di minori costi, in un contesto di grande attenzione agli ambiti della sostenibilità.
La digitalizzazione, tuttavia, porta con sé anche molti rischi per l’economia e il sistema finanziario, attraverso una maggiore esposizione, ad esempio, alle minacce cyber. Infatti, il sistema finanziario ed il suo funzionamento son sempre più spesso bersaglio privilegiato per attori malevoli e pericolosi.
I recenti interventi normativi hanno quindi cercato di intervenire a presidio e di questi rischi, anche mediante il monitoraggio dell’utilizzo della tecnologia finalizzata a contrastare in maniera coordinata le minacce informatiche.
L’ultimo rapporto Clusit (2024) restituisce una fotografia nettamente peggiorativa rispetto ai dodici mesi precedenti, continuando a evidenziare una curva di attacchi cyber in inesorabile e continua ascesa.
Dal 2016 a oggi il tema è stato oggetto di numerosi interventi normativi in conseguenza all’ampliamento della predetta rischiosità cyber, sia attraverso nuove normative europeo, sia mediante l’emanazione di normativa a livello nazionale.
Tra le altre disposizioni, in data 16 gennaio 2023 è entrato formalmente in vigore il Regolamento (UE) 2022/2554 denominato: “Digital Operational Resilience Act” ovvero anche chiamato Regolamento “DORA”.
In particolare, il nuovo Regolamento, a far data dal 17 gennaio 2025, vincolerà le imprese finanziarie interessate e i rispettivi fornitori di natura critica al rispetto di una serie di requisiti di sicurezza informatica e di resilienza.
Con la finalità di garantire una maggiore sicurezza ed efficienza nell’affrontare gli attacchi ed i rischi di matrice informatica e le relative problematiche connesse, il Regolamento si rivolge ad una vasta platea di operatori, non solo del settore finanziario, mediante l’implementazione di misure specifiche e ad hoc sotto il profilo della governance, della cybersecurity, della gestione del rischio ICT e della segnalazione degli eventuali incidenti.
Secondo stime approssimative, i destinatari del Regolamento saranno circa 22.000 società rientranti o meno nell’ambito della offerta di servizi finanziari. Infatti, oltre agli enti creditizi, agli istituti di pagamento, a quelli di moneta elettronica, alle imprese di investimento, saranno coinvolti anche fornitori di servizi per le cripto-attività autorizzati ed emittenti di token, depositari centrali di titoli, sedi di negoziazione, gestori di fondi di investimento alternativi, società di gestione, imprese di assicurazione e di riassicurazione, intermediari assicurativi e riassicurativi, enti pensionistici, agenzie di rating del credito, fornitori di servizi di crowdfunding, soggetti che gestiscono le cartolarizzazioni ed i relativi fornitori terzi di servizi in generale riferibili all’area ITC.
Il Regolamento DORA persegue l’obiettivo di armonizzare le regole concernenti la sicurezza delle reti e dei sistemi informativi attualmente in essere all’interno dell’Unione Europea. Esso prevede che le Autorità europee di vigilanza (ESAs) elaborino specifici standard tecnici (RTS - Regulatory Technical Standard e ITS – Implementing Technical Standard): un primo set di norme è già stato sottoposto alla Commissione europea all’inizio del corrente anno, mentre un secondo gruppo di norme dovrà essere approvato entro il mese di dicembre 2024.
Da gennaio 2025 quindi tutti i soggetti destinatari del Regolamento DORA dovranno adempiere agli obblighi previsti e adottare misure tecniche e organizzative.
Nel dettaglio, i destinatari saranno chiamati, in primis, a implementare un processo di gestione dei rischi connessi alle tecnologie ICT, con l’obiettivo di individuare i rischi informatici in via preventiva e ridurre al minimo l’impatto degli incidenti cyber. Tra i numerosi adempimenti introdotti dalla nuova disciplina europea, gli operatori interessati dovranno:
Inoltre, i destinatari del Regolamento DORA dovranno essere in grado di classificare le minacce informatiche e gli incidenti cyber connessi ai fornitori di tecnologie ICT, alla luce di una serie di criteri elaborati, fra i quali:
Nel merito, il nuovo Regolamento richiede procedure per: identificare, tracciare, registrare, categorizzare e classificare gli incidenti ICT e Cyber in base alle priorità, gravità e criticità dei servizi; assegnare ruoli e responsabilità al personale interno; elaborare piani per la comunicazione e formazione al personale, ai portatori di interessi esterni, ai mezzi di comunicazione e ai clienti.
Al fine di tracciare gli incidenti ICT, il Regolamento DORA introduce un sistema di segnalazione degli incidenti informatici nei confronti delle Autorità competenti, prevedendo da un lato una notifica volontaria delle minacce informatiche significative e critiche per il sistema finanziario ed i loro clienti; dall’altro lato una segnalazione degli incidenti di sicurezza ICT di natura particolarmente grave entro un termine temporale, da individuare a cura delle ESAs entro il dicembre 2024.
Il Regolamento DORA favorisce poi il cosiddetto. information sharing, incoraggiando le entità finanziarie a partecipare ad accordi volontari di condivisione in materia di “threat intelligence”. La condivisione delle informazioni inerenti le minacce informatiche tra gli intermediari soggetti al Regolamento persegue, in particolare, lo scopo di:
Infine, meritano una specifica menzione gli adempimenti previsti dal Regolamento DORA in relazione ai test di resilienza digitale, che fanno emergere almeno due principali impatti:
Con riferimento al quadro sanzionatorio, il Regolamento detta in generale i criteri di calcolo delle sanzioni, anche se la loro specifica identificazione è lasciata alle Autorità di vigilanza nazionali che daranno indicazioni puntuali entro la fine del 2024.
Conclusioni
Entro il 17 gennaio 2025 i destinatari del Regolamento dovranno quindi necessariamente conformarsi alle disposizioni previste dal Regolamento (anche al fine di prevenire il rischio di irrogazione delle sanzioni amministrative o, eventualmente, anche di natura penale previste dagli Stati Membri), integrando l’attuale framework in materia di cyber-security e protezione dei dati personali mediante i nuovi adempimenti e integrate con le altre fonti normative rilevanti di settore.
Gli operatori sono chiamati, dunque, a verificare nell’ambito degli adempimenti previsti, quelli eventualmente già svolti in ottemperanza alle normative di settore anche precedenti, in modo da pianificare gli interventi da svolgere per assicurare la piena conformità regolamentare al Regolamento DORA.
Occorrerà adottare un “risk based approach”, applicando le attività di implementazione avendo sempre a mente il principio di proporzionalità: infatti, l’adozione dei presidi e l’assolvimento degli adempimenti richiesti dal nuovo Regolamento andranno valutati in base alla natura, alla complessità ed alla dimensione dell’impresa.
I destinatari della nuova normativa dovranno quindi nei prossimi mesi impostare ed implementare un efficace programma di adeguamento al Regolamento, che partendo da un assessment in ambito ICT possa consentire di costruire un adeguato e compiuto framework di resilienza operativa digitale.
Il Regolamento DORA ha quindi posto l’attenzione anche su adempimenti complessi che, per la crescente evoluzione digitale dei servizi forniti dalle imprese, non potranno essere differiti oltre nel corso del 2024, se si vogliono con efficacia trovare soluzioni di prevenzione e gestione riconducibili alle migliori e più riconosciute migliori prassi operative.
BACK TO TOP
HEADQUARTER
Sede legale: Via Garofalo, 4
20133, Milano (MI)
Sede operativa: Corso Europa, 13
20122, Milano (MI)
info@consiliabm.com
SOCIAL MEDIA