Comunitario e Internazionale

DORA, gli effetti diretti e indiretti e le azioni di adeguamento da valutare

Significativo l’impatto sui fornitori terzi di servizi ICT, ICT TPP, che dovranno aggiornare i termini contrattuali, assicurandosi di soddisfare gli obblighi e implementando piani di risposta agli incidenti e di continuità aziendale

Cyber security global network concept, man hand protecting smartphone with wolrd map connection vitual screen.

di Giuseppe Bellavia

Il Digital Operational Resilience Act (cd “DORA”) è una normativa europea di prossima attuazione, che mira a garantire la resilienza operativa digitale delle istituzioni finanziarie. 

Introdotto nel contesto di un quadro più ampio di regolamentazione finanziaria, il DORA stabilisce i requisiti per la gestione dei rischi legati alla tecnologia e alla sicurezza informatica. Attualmente al centro del dibattito per il suo impatto su fondi di investimento e altri partecipanti al mercato finanziario, sia europei che non europei, nonché sui fornitori tecnologici.

Nel seguito una breve panoramica sul processo di implementazione, sugli effetti diretti e indiretti del DORA e sulle azioni di adeguamento che le entità interessate dovrebbero valutare.

Ambito di Applicazione

Il DORA riguarda un ampio spettro di entità finanziarie, inclusi banche, istituti di pagamento, compagnie di assicurazione e imprese operanti in criptovalute. L’ampio spettro dei destinatari distingue la normativa da altri regimi, come quello del Regno Unito, che non coprono alcune categorie come i gestori patrimoniali.

Oltre agli effetti diretti sulle entità finanziarie (EF), si prevede che l’impatto indiretto sui fornitori di servizi tecnologici a queste entità (i fornitori terzi di servizi ICT, ICT TPP) sia ancora più significativo. Questi dovranno adeguarsi agli standard di DORA per continuare a operare per la clientela UE.

Date Rilevanti

DORA è entrato in vigore il 14 dicembre 2022, con obblighi operativi vigenti dal 17 gennaio 2025.

Per i fornitori ICT è un regolamento delegato dell’UE del maggio 2024 a stabilire i criteri per la designazione dei fornitori critici. Inoltre, a luglio 2024 sono stati finalizzati gli standard tecnici, i quali dovranno essere implementati entro la fine del 2024.

Impatto sulle Entità Finanziarie

Le entità finanziarie devono sviluppare progetti di implementazione per soddisfare le seguenti richieste entro gennaio 2025:

  • Un sistema di gestione del rischio ICT per identificare funzioni aziendali e rischi supportati dall’ICT.
  • Monitoraggio continuo dei sistemi ICT per prevenire danni e interruzioni.
  • Test avanzati sulla resilienza digitale delle infrastrutture ICT.
  • Una gestione dei rischi terzi che includa contratti adeguati con i fornitori ICT, un registro informativo e una gestione della concentrazione del rischio.
  • Pianificazione della continuità aziendale e incident reporting.

 

Impatto sui Fornitori ICT (ICT TPP)

Anche per i fornitori di servizi ICT, anche se non direttamente menzionati dal DORA, sottentreranno degli oneri imposti indirettamente dalla normativa. Questi saranno soggetti a valutazioni volte a verificare la capacità di gestione delle funzioni critiche per i clienti EF e saranno pertanto tenuti ad adeguarsi alle richieste di questi ultimi. Gli obblighi includono:

  • Adeguare i contratti ai requisiti del DORA.
  • Mantenere e testare piani di continuità aziendale e di ripristino ICT.
  • Implementare una strategia ICT multi-fornitore e una gestione del rischio del terzo.

Fornitori ICT Critici (CTPP)

I fornitori di servizi “critici saranno soggetti a una supervisione diretta da parte delle autorità europee. Questi saranno designati attraverso un processo in due fasi volto a valutarne l’importanza sistemica per le entità finanziarie. I fornitori critici dovranno stabilire una filiale nell’UE e saranno supervisionati da un “Lead Overseer” che valuterà la gestione del rischio e la resilienza operativa.

Comparazione con il Regno Unito

Il quadro regolamentare del Regno Unito è simile al DORA, ma con alcune differenze, come un approccio meno prescrittivo e una copertura dei rischi non limitata all’ICT. Le nuove regole UK sui fornitori critici entreranno in vigore alla fine del 2024.

Considerazioni per le entità impattate della normativa

Le entità finanziarie dovrebbero:

  • Identificare i fornitori di servizi critici.
  • Rivedere i contratti e garantire che siano conformi al DORA.
  • Aggiornare le procedure interne per gestire i rischi legati ai fornitori terzi.

 I fornitori tecnologici, d’altra parte, dovrebbero prepararsi adeguando i termini contrattuali, assicurandosi di soddisfare gli obblighi e implementando piani di risposta agli incidenti e di continuità aziendale.

In sintesi, DORA richiede preparazione e adeguamento da parte di tutte le entità coinvolte per rispettare le scadenze e gli obblighi stabiliti.

Per saperne di piùRiproduzione riservata ©