DORA, adeguamento obbligatorio del settore finanziario entro gennaio 2025
La conformità è richiesta anche ai fornitori di servizi ICT di terze parti che offrono sistemi e servizi di cybersecurity, cloud, data center, rating creditizio e data analytics.
Entro il 17 gennaio 2025, le istituzioni finanziarie europee e i loro fornitori di servizi tecnologici di terze parti devono assicurarsi che i propri sistemi siano in linea con gli standard tecnici previsti dal Digital Operational Resilience Act (DORA), il Regolamento 2022/2554 dell’Unione Europea che stabilisce un framework vincolante e completo per la gestione del rischio delle tecnologie di informazione e comunicazione (ICT).
Il 17 gennaio 2024, le tre Autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESAs) hanno pubblicato il primo set di bozze finali degli standard tecnici previsti da DORA.
Potenziamento della resilienza digitale delle istituzioni finanziarie
La diffusione del digitale continua a crescere, anche nel settore dei servizi finanziari, aumentando la necessità per le istituzioni finanziarie europee di essere pronte a prevenire e gestire gli incidenti informatici.
Il regolamento DORA, che fa parte del più ampio pacchetto della Commissione Europea sulla finanza digitale, lanciato nel settembre 2020, introduce un solido quadro normativo, richiedendo alle entità finanziarie di implementare efficaci processi di gestione e protocolli di segnalazione degli incidenti, nonché solide procedure per la gestione dei rischi informatici.
Gli obblighi previsti dal regolamento si applicano alle istituzioni finanziarie tradizionali, tra cui banche, istituti di pagamento, società di investimento e nuovi attori emergenti come i fornitori di servizi legati ai cripto-asset e alle piattaforme di crowdfunding. La conformità è richiesta anche ai fornitori di servizi ICT di terze parti che offrono sistemi e servizi di cybersecurity, cloud, data center, rating creditizio e data analytics.
Per gli enti coinvolti, il regolamento DORA rappresenta al contempo una sfida e un’opportunità. Se, da una parte, garantire la conformità alla normativa richiede un significativo investimento nelle infrastrutture ICT e in solide pratiche di cybersecurity, dall’altra contribuisce a migliorare la resilienza complessiva.
La mancata conformità alla normativa europea non solo espone a sanzioni significative, ma mette anche a rischio la fiducia che i clienti ripongono nella capacità delle aziende di proteggere i propri dati finanziari.
Vademecum per l’adeguamento al regolamento
Con la scadenza del 2025 ormai alle porte, le istituzioni finanziarie devono agire immediatamente per assicurarsi di essere sulla buona strada per soddisfare i requisiti tecnici per le entità finanziarie e i fornitori ITC del regolamento DORA, distinti in quattro ambiti:
• Gestione del rischio ICT e governance
• Segnalazione e risposta agli incidenti
• Test di resilienza operativa digitale
• Gestione del rischio di terze parti
I destinatari del regolamento devono sviluppare e mantenere un sistema completo di gestione del rischio ICT. Ciò comporta una mappatura preliminare dei sistemi informatici, l’identificazione e la classificazione delle potenziali vulnerabilità, l’esecuzione di valutazioni periodiche dei rischi e la definizione di strategie per mitigarli.
Inoltre, le istituzioni finanziarie devono predisporre un protocollo strutturato per la segnalazione degli incidenti per garantire una comunicazione tempestiva e accurata di eventuali interruzioni alle autorità di vigilanza europee (ESAs).
Il regolamento richiede anche l’esecuzione di test di resilienza operativa digitale di base almeno una volta all’anno; le entità finanziarie più critiche dovranno inoltre affrontare, ogni tre anni, test di penetrazione avanzata per assicurare la resilienza dei sistemi.
È necessario anche valutare e gestire i rischi derivanti dai fornitori di servizi ICT, assicurando che questi ultimi rispettino gli stessi elevati standard di resilienza operativa.
Il regolamento incentiva, infine, la condivisione di informazioni tra istituti finanziari e i fornitori di servizi ICT per rafforzare la conformità e la resilienza collettiva contro le minacce digitali.
_______
*A cura di Mariam Naveriani, Mariam Naveriani, GPD studio legale e tributario
