Pubblicato in Gazzetta Ufficiale il 27 dicembre 2022, il Regolamento (UE) 2022/2554 altrimenti detto Regolamento DORA – sulla resilienza operativa digitale per il settore finanziario, avrà un impatto molto profondo e articolato sulla struttura dei diversi operatori: DORA, infatti, mira a consolidare e aggiornare i requisiti in materia di rischi informatici, riunendo per la prima volta in un unico atto legislativo tutte le disposizioni in materia di rischio digitale nel settore finanziario.

A chi si applica il Regolamento DORA

Il Regolamento DORA pone infatti l’obiettivo di definire un framework comune di resilienza operativa digitale per tutti gli operatori del settore finanziario, definendo obblighi uniformi in materia di sicurezza dei sistemi informatici e di rete.

Il Regolamento si applica, in modo ampio, alla quasi totalità degli operatori del mercato finanziario: non solo le banche, ma le imprese di investimento e le imprese di assicurazione, oltre agli operatori del mercato finanziario e ai loro fornitori.

Il Regolamento DORA si muove su diversi fronti, prevedendo novità che impattano su:

  • la gestione dei rischi ICT;
  • la governance, organizzazione e sistemi di controllo;
  • la classificazione e segnalazione degli incidenti informatici;
  • i test di resilienza operativa digitale;
  • la gestione dei rischi informatici derivanti da terzi, i relativi contratti e la supervisione dei fornitori critici.




I 4 pilastri del Regolamento DORA

L’applicazione del DORA partirà dal 17 gennaio 2025. Stando all’analisi dei singoli articoli che compongono il Regolamento, possiamo sintetizzare e definirne i 4 pilastri principali e i relativi obiettivi:

  1. Governance e organizzazione interna;
  2. Risk management;
  3. Incident management e reporting;
  4. Fornitori terzi di servizi ICT.

Analizziamoli singolarmente.

Governance e organizzazione interna (Art. 5)

Le entità finanziarie dovranno dotarsi di una governance di cybersecurity interna e di un quadro di controllo tali da garantire una gestione efficace e prudente di tutti i rischi ICT, al fine di raggiungere un elevato livello di resilienza operativa digitale. In particolare, occorrerà attribuire una serie definita di compiti all’organo di gestione dell’ente finanziario, che rimane il principale responsabile della gestione complessiva dei rischi ICT.

Risk management (Artt. 6-16)

Le entità finanziarie dovranno disporre di un quadro di gestione del cyber rischio solido, completo e ben documentato come parte del loro sistema complessivo di gestione del rischio. Tra le altre cose, gli operatori dovranno avere cura di:

  • utilizzare strumenti e sistemi di ICT resilienti, tali da ridurre al minimo l’impatto dei relativi rischi;
  • identificare prontamente tutte le fonti di rischio e implementare meccanismi in grado di rilevare attività anomale;
  • adottare procedure interne e misure di protezione e prevenzione.

Incident management e reporting (Artt. 17-23)

Numerose sono le previsioni introdotte dal Regolamento DORA in materia di gestione degli incidenti legati ai servizi ICT. Infatti, le entità finanziare dovranno:

  • prevedere e implementare politiche di continuità operativa e sistemi e piani di ripristino in caso di disastro relativo alle ICT, quale conseguenza ad esempio di un cyberattacco;
  • dotarsi di capacità e personale idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le possibili conseguenze sulla loro resilienza operativa digitale;
  • prevedere piani di comunicazione nei confronti dei vari stakeholder.

Per quanto concerne, invece, la segnalazione degli incidenti connessi, le entità finanziarie dovranno stabilire e attuare un processo di gestione per monitorare e registrare gli incidenti connessi alle ICT, per classificarli e determinarne l’impatto e segnalarli, tramite una relazione, alle autorità competenti se ritenuti gravi.

Fornitori terzi di servizi ICT (Artt. 28-44)

Al fine di mitigare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori terzi di servizi, è previsto il conferimento alle autorità di vigilanza finanziaria di specifici poteri di sorveglianza.

Gli impatti del Regolamento DORA sulle organizzazioni

Pertanto, oltre a prevedere un quadro di sorveglianza a livello europeo per i fornitori terzi di servizi ICT critici, saranno armonizzati gli aspetti contrattuali chiave (stipula, esecuzione, fase post-contrattuale) per garantire che le società finanziarie monitorino i cyber rischi di terzi. Inoltre, al fine di garantire l’adeguato monitoraggio dei fornitori di servizi tecnologici che assolvono una funzione critica per il funzionamento del settore finanziario, per ciascun fornitore terzo di servizi ICT critico sarà definita una autorità di sorveglianza “capofila”.

È importante tenere presente che, per l’applicazione dei requisiti sopra riportati, il Regolamento approvato rimanda al principio di proporzionalità (Art. 4) e quindi, secondo una logica ormai consolidata e presente in numerose altre normative (prima fra tutte, ad esempio, il GDPR), rimette al singolo soggetto, l’onere di valutare e dimostrare il corretto livello dei requisiti che devono essere implementati.




Come prepararsi all’applicazione del Regolamento DORA

Pur diventando, il Regolamento DORA, vincolante a decorrere dal 17 gennaio 2025, nel mentre il quadro giuridico dovrà essere completato da standard tecnici regolatori che dovranno essere sviluppati dalle Autorità competenti saranno finalizzati al più tardi a inizio 2024.

Sarà fondamentale per tutte le entità finanziarie adottare un approccio proattivo e consapevole, attraverso lo svolgimento di attività preparatorie che consentano di determinare l’effettivo impatto del Regolamento DORA sulla propria organizzazione e di non trovarsi quindi impreparate al momento della sua applicazione. Tra queste, in particolare, sarà opportuno per gli operatori:

  • Gap analysis dell’ICT risk management framework: revisionare la struttura di governance interna e le misure di gestione dei rischi e incidenti ICT già adottate, per verificare la consapevolezza aziendale rispetto al nuovo impianto normativo e valutare se le risorse, le strategie e i piani di risposta e di ripristino in essere rispondano adeguatamente ai requisiti normativi. In caso contrario, occorrerà prevedere piani di aggiornamento e adeguamento.
  • Revisione dei meccanismi di incident reporting: valutare le capacità e la reattività dell’azienda in ambito di reportistica, e di conseguenza implementare da zero o adeguare le esistenti procedure di segnalazione degli incidenti, al fine di garantire un allineamento con i nuovi requisiti normativi.
  • Valutazione dei fornitori critici di servizi ICT e rinegoziazione dei contratti: mappare i contratti con i fornitori terzi di ICT, valutandone la criticità rispetto all’operatività del business, revisionando e documentando le loro vulnerabilità per permettere la pianificazione di adeguate strategia di contenimento del rischio e rinegoziando gli obblighi delle parti per renderli conformi a quanto previsto dal regolamento.

Infine, sarà importante per tutti gli operatori del mercato monitorare le posizioni e le indicazioni che saranno adottate dalle Autorità europee di Vigilanza rispetto al Regolamento DORA tra cui, in particolare, la definizione dei criteri in base ai quali determinate imprese saranno tenute a effettuare il c.d. “threat led penetration test” almeno una volta ogni tre anni.