DORA, adeguamento obbligatorio del settore finanziario entro gennaio 2025

La conformità è richiesta anche ai fornitori di servizi ICT di terze parti che offrono sistemi e servizi di cybersecurity, cloud, data center, rating creditizio e data analytics.

Composite image between a hand photography and a 3D background.

07 Novembre 2024

Entro il 17 gennaio 2025, le istituzioni finanziarie europee e i loro fornitori di servizi tecnologici di terze parti devono assicurarsi che i propri sistemi siano in linea con gli standard tecnici previsti dal Digital Operational Resilience Act (DORA), il Regolamento 2022/2554 dell’Unione Europea che stabilisce un framework vincolante e completo per la gestione del rischio delle tecnologie di informazione e comunicazione (ICT).

Il 17 gennaio 2024, le tre Autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESAs) hanno pubblicato il primo set di bozze finali degli standard tecnici previsti da DORA.

Potenziamento della resilienza digitale delle istituzioni finanziarie

La diffusione del digitale continua a crescere, anche nel settore dei servizi finanziari, aumentando la necessità per le istituzioni finanziarie europee di essere pronte a prevenire e gestire gli incidenti informatici.

Il regolamento DORA, che fa parte del più ampio pacchetto della Commissione Europea sulla finanza digitale, lanciato nel settembre 2020, introduce un solido quadro normativo, richiedendo alle entità finanziarie di implementare efficaci processi di gestione e protocolli di segnalazione degli incidenti, nonché solide procedure per la gestione dei rischi informatici.

Gli obblighi previsti dal regolamento si applicano alle istituzioni finanziarie tradizionali, tra cui banche, istituti di pagamento, società di investimento e nuovi attori emergenti come i fornitori di servizi legati ai cripto-asset e alle piattaforme di crowdfunding. La conformità è richiesta anche ai fornitori di servizi ICT di terze parti che offrono sistemi e servizi di cybersecurity, cloud, data center, rating creditizio e data analytics.

Per gli enti coinvolti, il regolamento DORA rappresenta al contempo una sfida e un’opportunità. Se, da una parte, garantire la conformità alla normativa richiede un significativo investimento nelle infrastrutture ICT e in solide pratiche di cybersecurity, dall’altra contribuisce a migliorare la resilienza complessiva.

La mancata conformità alla normativa europea non solo espone a sanzioni significative, ma mette anche a rischio la fiducia che i clienti ripongono nella capacità delle aziende di proteggere i propri dati finanziari.

Vademecum per l’adeguamento al regolamento

Con la scadenza del 2025 ormai alle porte, le istituzioni finanziarie devono agire immediatamente per assicurarsi di essere sulla buona strada per soddisfare i requisiti tecnici per le entità finanziarie e i fornitori ITC del regolamento DORA, distinti in quattro ambiti:

• Gestione del rischio ICT e governance

• Segnalazione e risposta agli incidenti

• Test di resilienza operativa digitale

• Gestione del rischio di terze parti

I destinatari del regolamento devono sviluppare e mantenere un sistema completo di gestione del rischio ICT. Ciò comporta una mappatura preliminare dei sistemi informatici, l’identificazione e la classificazione delle potenziali vulnerabilità, l’esecuzione di valutazioni periodiche dei rischi e la definizione di strategie per mitigarli.

Inoltre, le istituzioni finanziarie devono predisporre un protocollo strutturato per la segnalazione degli incidenti per garantire una comunicazione tempestiva e accurata di eventuali interruzioni alle autorità di vigilanza europee (ESAs).

Il regolamento richiede anche l’esecuzione di test di resilienza operativa digitale di base almeno una volta all’anno; le entità finanziarie più critiche dovranno inoltre affrontare, ogni tre anni, test di penetrazione avanzata per assicurare la resilienza dei sistemi.

È necessario anche valutare e gestire i rischi derivanti dai fornitori di servizi ICT, assicurando che questi ultimi rispettino gli stessi elevati standard di resilienza operativa.

Il regolamento incentiva, infine, la condivisione di informazioni tra istituti finanziari e i fornitori di servizi ICT per rafforzare la conformità e la resilienza collettiva contro le minacce digitali.

_______
*A cura di Mariam Naveriani, Mariam Naveriani, GPD studio legale e tributario

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più

Gli ultimi contenuti di Comunitario e Internazionale

02 Aprile 2025
Cedu, Italia condannata per non aver accertato le cause della morte di un operaio dell'Ilva di Taranto
di Marina Castellaneta
28 Marzo 2025
La competenza giurisdizionale internazionale in materia di contratti conclusi da consumatori
di Federico Gasparinetti*
27 Marzo 2025
Cedu condanna Italia, inchiesta inefficace su morte operaio Ilva
27 Marzo 2025
Trattamento acque reflue, la Corte Ue condanna nuovamente l’Italia
di Francesco Machina Grifeo
26 Marzo 2025
Ristoro per ritardo voli, spetta al vettore dimostrare che il passeggero ha viaggiato gratis
di Marina Castellaneta

DORA, adeguamento obbligatorio del settore finanziario entro gennaio 2025

La conformità è richiesta anche ai fornitori di servizi ICT di terze parti che offrono sistemi e servizi di cybersecurity, cloud, data center, rating creditizio e data analytics.

Potenziamento della resilienza digitale delle istituzioni finanziarie

Vademecum per l’adeguamento al regolamento

Gli ultimi contenuti di Comunitario e Internazionale

Cedu, Italia condannata per non aver accertato le cause della morte di un operaio dell'Ilva di Taranto

La competenza giurisdizionale internazionale in materia di contratti conclusi da consumatori

Cedu condanna Italia, inchiesta inefficace su morte operaio Ilva

Trattamento acque reflue, la Corte Ue condanna nuovamente l’Italia

Ristoro per ritardo voli, spetta al vettore dimostrare che il passeggero ha viaggiato gratis