Il Commento Comunitario e Internazionale

DORA: pubblicati i primi Regolamenti delegati

In vista della scadenza del prossimo 17 gennaio le entità finanziarie, così come i fornitori di servizi ICT, dovranno intraprendere il processo di adeguamento a DORA, implementando anche i requisiti ulteriori previsti dagli RTS

Finance exchange and stock market business chart analysis Currency graph, economic development investment in foreign exchange, economic trade with computer laptop top view.

di Alessandro Ferrari, Edoardo Bardelli*

18 Luglio 2024

Lo scorso 25 giugno sono stati pubblicati in Gazzetta Ufficiale dell’Unione Europea i primi tre regolamenti delegati previsti dal Digital Operational Resilience Act (Regolamento (UE) 2022/2554 – “DORA”).

DORA, applicabile a partire dal 17 gennaio 2025, armonizza le regole di governance e di gestione del rischio ICT per le istituzioni finanziarie (definizione amplissima che comprende non solo le banche ma anche le imprese di assicurazione e di riassicurazione, istituti di pagamento e moneta elettronica, imprese di investimento, gestori di fondi alternativi e molti altri operatori del nostro sistema finanziario), sino a oggi frammentate in vari corpi normativi, adottati soprattutto a livello di autorità di settore (EBA, ESMA ed EIOPA – “ ESA ”).

DORA ha conferito alle ESA il mandato di sviluppare le norme tecniche di regolamentazione (RTS – Regulatory Technical Standard) e di attuazione ( ITS – Implementing Technical Standard), con l’intento di specificare in dettaglio gli aspetti più critici della materia; le norme in questione sono poi verificate e adottate dalla Commissione Europea mediante atti delegati.

È in questo contesto che la Commissione Europea ha approvato i tre regolamenti delegati accennati in apertura.

Esaminiamo il contenuto di ciascun Regolamento e come le entità finanziarie possono adeguarsi.

• Regolamento delegato (UE) 2024/1772

Il primo Regolamento stabilisce i criteri di classificazione degli incidenti informatici e le soglie di materialità per determinare quali incidenti e minacce possono qualificarsi come gravi.

I criteri di classificazione degli incidenti informatici considerano la criticità dei servizi impattati, il profilo dei clienti, controparti e transazioni interessate, la perdita di dati, l’impatto sulla reputazione, l’ambito geografico e l’impatto economico.

Per ogni criterio, il Regolamento specifica una soglia di materialità che, se raggiunta, può portare l’incidente a essere qualificato come grave, secondo lo schema previsto dal Regolamento.

Ciascuna soglia si basa su criteri differenti come il numero di clienti, controparti e transazioni impattate, la durata dell’incidente e del tempo di ripristino, il numero di giurisdizioni coinvolte, la qualità dei dati persi, il costo e l’entità della perdita ed altri.

Le minacce informatiche sono invece classificate in base alla probabilità che la minaccia si concretizzi, al fatto che colpisca le funzioni importanti dell’istituzione finanziaria e che soddisfi le condizioni che la classificherebbero come incidente grave qualora si verificasse.

Qualora l’incidente sia classificabile come grave, l’istituzione finanziaria ha l’obbligo di notificarlo alla competente autorità di settore. Per questo motivo, è essenziale che i criteri di classificazione siano già correttamente interiorizzati e condivisi con ciascun fornitore di servizi ICT, così da predisporre sistemi di alert e notifica adeguati.

• Regolamento delegato (UE) 2024/1773

Il Regolamento in questione delinea i principi che le istituzioni finanziarie devono includere nelle policy relative ai contratti per i servizi ICT a supporto di funzioni essenziali o importanti. Tra i principi previsti nel Regolamento, segnaliamo in particolare i seguenti:

l’organo di gestione ha la responsabilità finale nell’affrontare i rischi informatici, ciò richiede che tale organo sia costantemente coinvolto nel monitoraggio e nella gestione dei rischi informatici, anche attraverso il riesame, almeno una volta all’anno, della policy per l’uso di servizi ICT prestati da fornitori terzi;
la policy deve indicare regole, responsabilità e processi del ciclo di vita del contratto a supporto di funzioni critiche o importanti, tra cui: meccanismi di governance per l’approvazione, gestione e controllo dei contratti; la pianificazione degli accordi contrattuali, tra cui la valutazione ex-ante dei rischi, due-diligence sui fornitori e il processo di approvazione di nuovi accordi o di modifiche agli stessi; il coinvolgimento delle funzioni di controllo interno nelle diverse fasi di gestione; le modalità di monitoraggio e gestione degli accordi contrattuali; gli elementi strutturali delle strategie di uscita e dei processi di risoluzione dei contratti;
i contratti per i servizi ICT a supporto di funzioni essenziali o importanti devono necessariamente prevedere determinate clausole, individuate dal Regolamento e da DORA. Queste riguardano, per esempio, i livelli di servizio, i rapporti con i subfornitori, i requisiti di sicurezza dei dati e i diritti di audit dell’istituzione finanziaria sul fornitore.

In ogni caso, il Regolamento richiede alle istituzioni finanziare di adottare una policy che sia flessibile e proporzionata al livello di rischio complessivo, da valutarsi tenendo anche conto della dimensione e della complessità dei servizi prestati. L’obiettivo è quello di dotarsi di uno strumento efficace che possa supportare adeguatamente l’istituzione in tutte le fasi del rapporto con il fornitore.

• Regolamento delegato (UE) 2024/1774

L’ultimo RTS pubblicato definisce i processi e le policy di gestione del rischio ICT. L’obiettivo del Regolamento è quello di fornire alle istituzioni finanziarie una linea guida per l’adozione di un quadro completo, chiaro e funzionale per la gestione del rischio ICT, dalla sua corretta identificazione e valutazione, fino all’adozione di tutte le misure più adeguate a contenerlo.

A questo scopo, sono previste diverse misure e procedure che ciascuna istituzione finanziaria dovrebbe adottare. In particolare, si possono segnalare le seguenti policy e procedure:

in tema di sicurezza ICT, una policy per la gestione delle chiavi crittografiche, che tenga conto della classificazione dei dati e della valutazione del rischio, garantendo così che le misure crittografiche siano adeguate e mirate ai rischi specifici individuati;
una policy per l’identificazione e il monitoraggio delle vulnerabilità e delle minacce, sia interne che esterne ai sistemi e alle operazioni ICT;
una procedura dettagliata per la gestione degli asset ICT, tra cui devono essere ricompresi anche i dati;
una policy per la gestione degli ambienti di produzione che, tra l’altro, preveda la separazione rigorosa degli ambienti di produzione da quelli di test e sviluppo in modo da prevenire conflitti di interesse e garantire un controllo rigoroso sugli accessi e sulle modifiche ai dati e ai sistemi di produzione;
una procedura per l’acquisizione e lo sviluppo dei pacchetti software, nonché per l’integrazione efficace e sicura nell’ambiente IT esistente, in conformità con gli obiettivi aziendali e di sicurezza delle informazioni stabiliti.

Le policy, seppur numerose, dovrebbero facilitare una gestione più consapevole del rischio ICT e mirare all’ottimizzazione ed efficientamento generale dei processi.

Le imprese dovranno conformarsi in breve tempo

In vista del prossimo 17 gennaio le entità finanziarie, così come i fornitori di servizi ICT, dovrebbero aver già intrapreso il processo di adeguamento a DORA. Occorrerà ora implementare anche i requisiti ulteriori previsti dagli RTS. A questi dovrà aggiungersi il secondo set di Regolamenti che le ESA dovrebbero finalizzare e inviare alla Commissione nei prossimi giorni (contenenti, tra l’altro, i requisiti relativi alla catena di subfornitura e le norme in tema di test di penetrazione).

Alla luce dei numerosi adempimenti e delle stringenti tempistiche del percorso di adeguamento, un valido strumento che tutte le imprese dovrebbero considerare consiste in un report di tracciamento dei progressi e delle attività svolte. Questo approccio consente alle istituzioni finanziarie di monitorare efficacemente il processo di conformità e fornisce una prova tangibile del loro impegno tempestivo e accurato verso la compliance, pronta a essere presentata alle autorità competenti durante audit, richieste e ispezioni.

Tale strumento risulta ancora più prezioso considerando che il secondo set di RTS e ITS , con i relativi requisiti, sarà pubblicato solo a ridosso del prossimo anno, rendendo di fatto più complicato il completo adeguamento entro il 17 gennaio 2025.

Un ulteriore passo fondamentale per conformarsi alle previsioni di DORA e degli RTS è l’adeguamento di tutti i contratti con i fornitori di servizi ICT, includendo le clausole necessarie indicate dalla normativa.

Questo complesso processo non può che iniziare da una fase di analisi interna. In particolare, risulta essenziale mappare accuratamente i contratti che rientrano nel perimetro di DORA, identificando, tramite le policy previste, quali servizi supportano funzioni essenziali o importanti. Successivamente, sarà necessaria una fase organizzativa e di individuazione dei contratti che dovranno essere adeguati per primi, secondo criteri di rischio, complessità e importanza dei servizi e analisi delle lacune principali da colmare.

Una volta completata la fase di preparazione interna sarà possibile avviare l’adeguamento vero e proprio, predisponendo un set di clausole che rispondano ai requisiti sia di DORA che dei nuovi RTS e negoziando direttamente l’inclusione delle clausole con ciascun fornitore. In questo processo, risulterà utile disporre anche di clausole secondarie da utilizzare durante la negoziazione, le quali, pur rispettando i requisiti DORA, risultino meno stringenti per il fornitore e quindi più facilmente accettabili.

Infine, è cruciale potenziare l’organo di gestione affinché sia adeguatamente preparato a fronteggiare le responsabilità imposte da DORA e dagli RTS. Questo organo, pur riferendo direttamente – o facendo parte – del consiglio di amministrazione, dovrà possedere competenze legali e tecniche specifiche e avere una chiara comprensione di tutte le procedure e misure adottate.

In generale, il percorso di adeguamento non dovrebbe limitarsi a una serie di adempimenti burocratici, ma deve essere basato su un’analisi e valutazione dei rischi approfondita, seguendo criteri di proporzionalità e flessibilità. Considerando i nuovi RTS e le imminenti scadenze, i mesi fino al 17 gennaio saranno decisivi per garantire un corretto adeguamento e l’implementazione di tutti i requisiti richiesti da DORA.

_______

*A cura di Alessandro Ferrari – Partner DLA Piper, responsabile sector Technology, e Edoardo Bardelli – Avvocato DLA Piper

Gli ultimi contenuti di Il Commento

17 Luglio 2024
La figura e il ruolo dell’agente contabile nelle società a partecipazione pubblica
di Rossana Mininno
11 Luglio 2024
EX ILVA e Direttiva UE sulle emissioni industriali, la CGUE fa il punto
di Lorica Marturano*
10 Luglio 2024
Il Disegno di Legge costituzionale di riforma della Magistratura
di Fabrizio Valerio Bonanni Saraceno*
05 Luglio 2024
EAA: quali sono i nuovi requisiti per l’accessibilità digitale? Facciamo il punto
di Rachele Finocchito*
03 Luglio 2024
Il danno morale nella sua natura giuridica di danno non patrimoniale
di Fabrizio Valerio Bonanni Saraceno*

DORA: pubblicati i primi Regolamenti delegati

In vista della scadenza del prossimo 17 gennaio le entità finanziarie, così come i fornitori di servizi ICT, dovranno intraprendere il processo di adeguamento a DORA, implementando anche i requisiti ulteriori previsti dagli RTS

Esaminiamo il contenuto di ciascun Regolamento e come le entità finanziarie possono adeguarsi.

Le imprese dovranno conformarsi in breve tempo

Gli ultimi contenuti di Il Commento

La figura e il ruolo dell’agente contabile nelle società a partecipazione pubblica

EX ILVA e Direttiva UE sulle emissioni industriali, la CGUE fa il punto

Il Disegno di Legge costituzionale di riforma della Magistratura

EAA: quali sono i nuovi requisiti per l’accessibilità digitale? Facciamo il punto

Il danno morale nella sua natura giuridica di danno non patrimoniale