Regolamento DORA: cos’è, obiettivi e a quali aziende si applica
Il Finance sta attraversando un periodo di intensa trasformazione digitale e, oggi, si presenta come uno dei settori più vivaci in termini di innovazione tecnologica. Pagamenti digitali, Online banking, sistemi di autenticazione sempre più sofisticati consentono di offrire una customer experience più fluida, veloce e su misura. Tuttavia, il rovescio della medaglia mostra come la corsa alla digitalizzazione abbia portato a scoprire il fianco a nuovi e più potenti cyber attack.
Il regolamento DORA (Digital Operational Resilience Act) nasce in questo contesto.
Regolamento DORA: cos’è e a chi si rivolge
Il Digital Operational Resilience Act fa parte di un ampio pacchetto di normative e misure strategiche, varato dalla Commissione Europea allo scopo di rafforzare e garantire la resilienza delle organizzazioni finanziarie e la loro capacità di far fronte agli attacchi informatici. In particolare, il DORA si concentra sulla resilienza operativa digitale, ovvero la capacità di garantire business continuity anche in caso di incidenti o violazioni dell’infrastruttura IT.
Il regolamento DORA, entrato in vigore il 16 gennaio 2023, è obbligatorio dal 17 gennaio 2025. Le imprese del settore Finance, operanti nell’Unione Europea, che non lo hanno già fatto, devono, ora, implementare una serie di misure connesse alla Governance, al Risk Management, alla Cyber Security e all’Incident Management allo scopo di adeguarsi alla normativa DORA ed evitare, così, le sanzioni previste, applicate dalle entità di regolamentazione designate in ciascuno Stato.
La normativa si rivolge alle entità finanziarie (come banche, assicurazioni, società di investimento, istituti di credito, operatori di criptovalute, ecc.) e ai loro fornitori critici di terze parti che forniscono servizi di Information and Communication Technology.
A questi, infatti, è richiesto di adeguarsi ai nuovi requisiti normativi, dimostrando in modo misurabile la propria resilienza operativa e garantendo la sicurezza dei sistemi, attraverso monitoraggio costante, test periodici e attività di gestione del rischio.
Una delle principali novità legate all’entrata in vigore del Regolamento, sta nel fatto che i divieti di esternalizzare servizi ICT (outsourcing) relativi a funzioni aziendali operative essenziali (“Funzioni Essenziali e Importanti” nella terminologia DORA), previsti in precedenza dalla normativa secondaria di Banca d’Italia, non saranno più applicabili, come specifica l’ultimo aggiornamento della stessa Banca d’Italia.
Regolamento DORA: quali sono gli obiettivi
La normativa DORA si pone due principali obiettivi:
-
definire un framework per la gestione del rischio ICT nel settore Finance.
-
uniformare la gestione della resilienza operativa delle realtà finanziare su tutto il territorio UE, finora soggetto a leggi e regolamentazioni diverse in ciascuno Stato.
L’applicazione del regolamento da parte delle entità finanziarie garantisce, inoltre, una maggior tutela dei consumatori.
I pilastri del Digital Operational Resilience Act
Il raggiungimento di tali obiettivi si articola in una serie di punti chiave, dei veri e propri pilasti, che le organizzazioni dovranno mettere in atto e rispettare al fine di essere compliant.
Si possono distinguere 9 requisiti per la gestione del rischio ICT previsti dal Regolamento DORA:
Governance. È necessario un maggior allineamento all’interno delle aziende rispetto alla gestione dei rischi ICT: identificazione delle responsabilità, mappatura dei sistemi, identificazione di asset critici e dipendenze, valutazione del rischio e definizione di piani di azione connessi a gravi interruzioni, al fine di garantire business continuity e disaster recovery. Nella Governance rientra anche la formazione connessa alle attività elencate.
Risk Management. L’obiettivo di questo pillar è definire e migliorare norme e regolamenti connessi alla gestione del rischio. Le realtà finanziarie dovranno istituire sistemi volti a identificare, monitorare, gestire, registrare, classificare e segnalare in modo puntuale i rischi connessi all’ambito ICT. L’attività di Risk Management prevede, inoltre, l’implementazione di strumenti e sistemi IT resilienti e di strategie di continuità operativa e recovery.
Incident Management. DORA prevede specifici criteri per la mappatura e la classificazione degli incidenti, allo scopo di definire le soglie di rilevanza. A seconda della gravità dell’incidente, inoltre, potrebbe essere richiesta la segnalazione alle autorità di regolamentazione, ai clienti e ai partner interessati.
Test di Resilienza. Le organizzazioni, nel rispetto del regolamento DORA, dovranno essere sottoposte a test periodici per identificare eventuali punti deboli e definire azioni migliorative in termini di sicurezza. Enti autorizzati saranno preposti all’esecuzione di Penetration Test e Red-Teaming. L’obiettivo di questo pillar è quello di avere un approccio proattivo e non solo reattivo nei confronti del rischio ICT. Nel rispetto dell’articolo 26 del Regolamento DORA, gli intermediari identificati secondo i criteri stabiliti, dovranno eseguire Threat-Led Penetration Test almeno ogni tre anni. Tali test fanno parte degli strumenti di vigilanza, e i loro risultati saranno integrati nei processi di supervisione. Per quanto riguarda gli intermediari direttamente vigilati da Banca d’Italia, il processo di identificazione è ancora in corso. Una volta completato, i soggetti interessati saranno informati e verrà definita una pianificazione per l’esecuzione dei test.
Gestione del rischio di fornitori di terze parti. Una delle principali novità della normativa DORA è che si applica anche ai fornitori critici di terze parti e questo impone azioni di adeguamento anche ai fornitori stessi, che dovranno essere pronti a rispondere alle domande dei propri clienti in tema di resilienza operativa e rispettare adempimenti specifici.
Resilienza operativa. Le aziende coinvolte dovranno redigere un piano di continuità operativa e di ripristino da attuare in caso di disastri (BCP/DRP). Il piano dovrà, inoltre, prevedere la Business Continuity e dovrà essere periodicamente testato e aggiornato, secondo le esigenze.
Sicurezza dei dati. La riservatezza, integrità e disponibilità dei dati gestiti dai sistemi IT dovranno essere garantite da misure tecniche e organizzative, atte anche a prevenire accessi non autorizzati e minimizzare i rischi di perdita o compromissione dei dati stessi.
Supervisione e audit. Al fine che sia garantita una efficace gestione del rischio è fondamentale redigere una documentazione accurata, completa e sempre aggiornata dei processi. Tale documentazione faciliterà il lavoro di audit e ispezioni delle autorità competenze, volte a verificare la compliance rispetto al Regolamento DORA per le aziende interessate.
Le società finanziarie, dal canto loro, devono assumere un ruolo attivo nella gestione del rischio derivante dai fornitori IT, in particolar modo nel caso dell’esternalizzazione di funzioni critiche. Ciò implica anche la negoziazione di accordi specifici su strategie di uscita, audit e obiettivi prestazionali al fine di garantire accessibilità, integrità e sicurezza dei dati.
Ai Pillar in elenco si aggiunge, poi il Knowledge Sharing. Il regolamento DORA, infatti, incoraggia la comunicazione e la cooperazione tra le entità finanziarie all’interno della Comunità Europea, attraverso accordi volontari per lo scambio di informazioni e dati di threat intelligence. È importante tenere a mente, però, che tali informazioni devono, in ogni caso, essere protette dalle relative policy e normative. Il trattamento dei dati personali, ad esempio, deve essere eseguito nel rispetto del GDPR.
Conformarsi al Regolamento DORA: cosa devono fare le aziende
Le aziende devono, quindi, uniformarsi alla nuova normativa e avvicinarsi ai pillar, sfruttando gli strumenti disponibili e sviluppando o modificando i processi relativi alla segnalazione degli incidenti.
Al fine di rispettare gli obblighi più stringenti, le imprese del settore finanziario dovranno portare avanti 4 attività principali:
- Analisi delle lacune e dei punti di debolezza nel proprio framework di Risk Management, al fine di individuare i passi necessari a raggiungere la situazione ottimale. Banca d’Italia, in una nota recente, sottolinea che le entità finanziarie (ad eccezione delle microimprese) dovranno affidare ad una funzione di controllo indipendente la responsabilità della gestione dei rischi informatici, onde evitare conflitto d’interessi.
- Adottare policy, processi, procedure e soluzioni tecnologiche per elevare il proprio livello di sicurezza allineandolo ai requisiti della normativa
- Revisione delle modalità di Incident Reporting, in modo da verificare le capacità interne connesse alla realizzazione di reportistica e alla segnalazione degli incident. A partire dal 17 gennaio, le entità finanziarie devono segnalare tramite la piattaforma Infostat della Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le minacce informatiche significative. Inoltre, banche, istituti di pagamento, prestatori di servizi di informazione sui conti e istituti di moneta elettronica dovranno segnalare anche gli incidenti operativi o relativi alla sicurezza dei pagamenti.
- Assessment dei fornitori critici e rinegoziazione dei contratti. Questo permetterà di identificare i fornitori terzi di servizi ICT e di valutarne criticità e vulnerabilità, azione indispensabile sia per pianificare strategie di contenimento del rischio sia per rinegoziare gli accordi alla luce di quanto previsto dal DORA.
In caso di mancato rispetto della normativa, le principali sanzioni, variabili in base alla gravità delle violazioni e all’entità coinvolta, prevedono:
- Sanzioni pecuniarie, variabili in base alla legislazione statale e UE.
- Misure correttive, come adeguamenti immediati, sospensione di specifiche attività o interruzione dei rapporti con fornitori di terze parti non conformi
- Responsabilità civile e penale dei Responsabili della Governance e del Risk Management, in caso di azioni legali intraprese da clienti, partner o autorità competenti.
- Regime di supervisione intensificato, con audit più frequenti e scrupolosi da parte delle autorità.
- Revoca della licenza operativa per le entità finanziarie coinvolte in violazioni particolarmente gravi.
Dunque, una presa di coscienza delle proprie lacune e vulnerabilità, così come dei processi virtuosi già in essere è fondamentale non solo per assicurarsi di essere compliant, ma anche al fine di migliorare processi di Governance interni. Governance e Compliance sono, infatti, strettamente legate e costituiscono il punto di partenza per l’adozione e il rispetto di qualunque tipo di protocollo o regolamento. DORA è, infatti, soltanto uno degli ultimi, importanti cambiamenti ai quali dovrà adeguarsi il settore Finance, insieme alla direttiva NIS2, ma la velocità di innovazione e sviluppo tecnologico del settore lascia presagire che non sarà certo l’unico.