DORA Digital Operational Resilience Act

Il Regolamento DORA richiederà un approccio multidisciplinare

30 giugno 2023

di Nunzia RUSSO

Si è cominciato a parlare del Regolamento DORA (Digital Operational Resilience Act) sin dal 2020 quando la Commissione Europea lo presentò nell’ambito del “Pacchetto sulla Finanza digitale”.

Nel Draft report della Commissione ECON al Parlamento europeo del 17 marzo 2021, si parlò di un passo importante per rafforzare e armonizzare il quadro normativo del settore sempre più digitalizzato e interconnesso con fornitori terzi di servizi ICT.

Successivamente il 27 dicembre 2022 è stato pubblicato in Gazzetta Ufficiale il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011.

A me piace definire praticamente il Regolamento DORA quell’insieme di regole che vogliono trarre i vantaggi dal Fintech ma mitigandone i rischi.

Il Regolamento DORA è entrato in vigore il 16/01/2023 e sarà vincolante a partire dal 17/01/2025.

Quando si tratta del DORA non possiamo non parlare di Resilienza Operativa Digitale. Con quest’ultimo termine, si intende la capacità degli Operatori di continuare ad offrire specifici risultati nonostante il verificarsi di incidenti e violazioni all’infrastruttura ICT.

Ma a quali Operatori ci si rivolge?

La platea si amplia, allargandosi oltre i tradizionali Istituti Finanziari e Assicurativi, le Imprese di Investimento, Agenzie di rating, enti pensionistici aziendali o professionali, Revisori legali, Reperti di dati sulle cartolarizzazioni, Fornitori di servizi di comunicazioni dati e di crowdfunding, Fornitori terzi di servizi ICT.

Tutti questi operatori del settore dovranno sottostare a norme uniformi e trasversali in materia di ICT Security disegnando un modello di resilienza digitale by design, che prevede una gestione del rischio integrata nell’intero ciclo di vita dei servizi.

Principi Guida

Il DORA delinea per i servizi ICT i principi guida che i contratti di Outsourcing dovranno contenere:

  • Una descrizione degli obiettivi di performance quantitativi e qualitativi.
  • Disposizioni in materia di accessibilità, integrità, sicurezza e protezione dei dati personali.
  • Obblighi di notifica, in capo ai fornitori ICT, in caso di guasti dei sistemi e/o di incidenti informatici.
  • Diritti di accesso, ispezione e revisione da parte degli Istituti Finanziari nei confronti dei Providers.

Adeguarsi al Regolamento DORA vuol dire:

  1. mettere in atto diversi processi con grandi impatti sull’organizzazione, che deve rivedere i diversi requisiti, compiti, ruoli delle responsabilità da attribuire formalmente all’interno della struttura;
  2. bisogna adeguare le normative interne (come policy, procedure, contratti etc) ai nuovi requisiti regolamentari e di conseguenza aggiornare i processi da adottare alle norme vigenti;
  3. definizione dei requisiti relativi a informazioni e dati da identificare, classificare, utilizzare e conservare;
  4. identificazione delle infrastrutture e applicazioni, valutazione/identificazione delle misure di sicurezza tecniche e organizzative da implementare per adeguarsi alle nuove procedure;
  5. creazione di sistemi di controllo da programmare periodicamente ed eseguire nel continuo.

Misure di sicurezza

A mio parere meritano una particolare attenzione le misure di sicurezza richiesta dal DORA che sono orientate alla gestione degli eventi cyber, con un approccio basato sul NIS Cybersecurity Framework.

Questo approccio aiuta a includere nel piano strategico IT tutte le attività di revisione, aggiornamento e integrazione del framework documentale di Information & Cyber Security.

Il nuovo framework normativo presuppone l’introduzione per tutti gli Istituti Finanziari di una funzione di controllo al fine di:

  1. garantire una sicurezza informatica di alto livello e,
  2. monitorare gli accordi con i fornitori terzi di servizi ICT per l’uso di tali servizi.

In particolare, il Responsabile della Sorveglianza dovrà essere in grado di organizzare efficientemente il reparto IT in modo da garantire il pieno rispetto delle strategie e delle politiche adottate.

Un’altra importante novità introdotta dal Regolamento DORA riguarda l’integrazione di programmi di test di resilienza operativa digitale nei Piani strategici ICT delle organizzazioni.

Un possibile approccio operativo che le organizzazioni devono adottare è:

  1. innanzitutto stare al passo con l’evoluzione delle minacce cyber per meglio comprendere i livelli di esposizione ai rischi in ambito ICT;
  2. adottare un approccio risk-based introducendo procedure e politiche agli eventi che possono sorgere;
  3. assicurare che i test vengono svolti da soggetti indipendenti interni o esterni.

Negli articoli 24, 25 e 26 il DORA prevede 7 opzioni di test di resilienza operativa digitale sia tecnologici (Vulnerability Assessment & Scan, Network Security Assessment, Code Review & Open Source Analysis, Penetration test) sia documentali (Cybersec & Privacy Assessment, Physical Security Review).

La Banca Centrale Europea sin dal 2008 ha definito il Framework TIBER (Threat Intelligence Based Ethical Red Teaming) che definisce il processo di esecuzione di test di penetrazione basati su minacce. Poi ad Agosto 2022 sono stati adottati anche da Banca d’Italia, IVASS e Consob.

Rischi

L’ultimo Report del Word Economic Forum (Global Security Outlook 2023) ha messo in guardia le aziende dal Rischio Terze Parti nel contesto geopolitico, poiché gli ultimi incidenti noti hanno coinvolto pesantemente la Supply Chain. E le autorità di vigilanza finanziaria hanno poteri di sorveglianza sui rischi dovuti alla dipendenza delle entità finanziarie da fornitori terzi di servizi.

In relazione al quadro sanzionatorio, si precisa che seppur il Regolamento DORA detti i criteri di calcolo delle sanzioni, la loro specifica identificazione è lasciata alle autorità di vigilanza. Pertanto, per comprenderne con precisione la portata sarà necessario monitorare le posizioni e le indicazioni che saranno fornite dalle Autorità di Vigilanza europee.



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *