.svg)
Il Digital Operational Resilience Act (DORA) rappresenta un passaggio fondamentale per la resilienza operativa digitale nel settore finanziario europeo. Questo regolamento, pensato per affrontare le crescenti sfide dei rischi informatici, mira a unificare e rafforzare le normative esistenti, offrendo un quadro organico che obbliga le entità finanziarie a implementare strategie più solide di protezione, gestione e ripristino in caso di incidenti ICT. Dalla sua applicazione, (gennaio 2025), DORA ha introdotto requisiti stringenti che hanno trasformato la gestione dei rischi digitali in una priorità strategica per il settore.
Un ruolo cruciale in questo percorso è affidato ai fornitori di servizi digitali, che diventano partner essenziali per garantire la conformità normativa e migliorare la resilienza delle organizzazioni finanziarie. In questo contesto, scegliere un partner come Impresoft 4ward significa puntare su competenza tecnica e capacità strategica, elementi chiave per affrontare le sfide del nuovo panorama regolamentare e trasformare la compliance in un'opportunità di crescita.
Regolamento DORA cos’è
DORA, acronimo di Digital Operational Resilience Act, è la nuova direttiva dell'Unione Europea pensata per rafforzare la resilienza operativa digitale nel settore finanziario.
Si legge infatti nel testo: “Il presente regolamento mira a consolidare e aggiornare i requisiti in materia di rischi informatici nell’ambito dei requisiti in materia di rischi operativi che sono stati finora trattati separatamente in vari atti giuridici dell’Unione. Tali atti riguardavano le principali categorie di rischio finanziario (ad esempio rischio di credito, rischio di mercato, rischio di controparte e rischio di liquidità, rischio di condotta sul mercato), ma nel momento in cui sono stati adottati non trattavano in maniera globale tutte le componenti della resilienza operativa”.
Il regolamento DORA si applica a 21 categorie di entità finanziarie, tra cui istituti finanziari tradizionali, aziende FinTech, intermediari assicurativi e, elemento di grande rilievo, fornitori di servizi ICT che supportano le organizzazioni coinvolte. L'obiettivo è garantire che tutte le entità, comprese quelle tecnologiche, siano in grado di gestire e rispondere adeguatamente ai rischi digitali.
Un elenco completo delle organizzazioni interessate è disponibile nell'Articolo 2 della direttiva.
Un aspetto cruciale di DORA è l'inclusione dei fornitori terzi di servizi ICT. La normativa impone obblighi diretti a questi fornitori e introduce requisiti più stringenti per la gestione dei rischi legati a terze parti da parte delle organizzazioni finanziarie. Questa attenzione è stata motivata dai numerosi incidenti di sicurezza informatica che hanno colpito il settore negli ultimi anni, spesso originati da falle nei sistemi dei fornitori. DORA mira così a colmare le lacune che hanno permesso il verificarsi di gravi violazioni dei dati, rafforzando la resilienza digitale dell'intero ecosistema.
DORA prevede alcune esenzioni specifiche, principalmente per le microimprese e alcune piccole e medie imprese. Sono escluse le imprese finanziarie con meno di 10 dipendenti e un fatturato annuo e/o bilancio inferiore ai 2 milioni di euro. Per gli intermediari, l'esenzione si applica a società con meno di 250 dipendenti, un fatturato inferiore ai 50 milioni di euro o un bilancio totale inferiore ai 43 milioni di euro. Queste disposizioni mirano a bilanciare la protezione del settore finanziario con la riduzione dell'onere normativo per le organizzazioni di dimensioni ridotte.
Gli ambiti applicativi di DORA
Nella definizione del proprio ambito applicativo, DORA stabilisce una serie di obblighi molto chiari. Si parla infatti di “obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie”, in materia di gestione dei rischi, segnalazione alle autorità competenti degli incidenti gravi e notifica, su base volontaria, delle minacce informatiche significative, test di resilienza operativa digitale, condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche, cooperazione tra autorità competenti …
Ma per cercare di capire quali sono i pilastri sui quali poggia il regolamento, li sintetizziamo in cinque ambiti chiave:
Risk management and governance
DORA pone la responsabilità della gestione ICT direttamente sulle figure dirigenziali delle entità finanziarie. I membri del consiglio di amministrazione e i dirigenti senior sono incaricati di definire strategie di gestione del rischio, garantirne l’attuazione e mantenere una comprensione aggiornata del panorama dei rischi ICT. La normativa stabilisce che i leader possono essere ritenuti personalmente responsabili per la conformità della propria organizzazione ai requisiti di DORA. Le entità finanziarie devono sviluppare quadri completi per la gestione dei rischi ICT, mappare i sistemi ICT, condurre valutazioni continue dei rischi e implementare misure di protezione adeguate, nonché piani di continuità operativa e ripristino in caso di disastri.
Incident response and reporting
Le entità finanziarie devono disporre di sistemi per monitorare, gestire, registrare, classificare e segnalare gli incidenti legati all’ICT. In base alla gravità degli eventi, potrebbe essere necessario informare le autorità di regolamentazione, i clienti o i partner coinvolti. In caso di incidenti critici, le entità devono preparare tre tipi di rapporti: una notifica iniziale alle autorità, un rapporto intermedio per aggiornare sul progresso della risoluzione e un rapporto finale con un’analisi delle cause alla radice.
Digital operational resilience testing
È obbligatorio testare regolarmente i sistemi ICT per valutarne la sicurezza e individuare eventuali vulnerabilità. I risultati dei test e i piani per affrontare le debolezze identificate devono essere riportati alle autorità competenti. Test di base come le valutazioni delle vulnerabilità sono richiesti annualmente. Le entità finanziarie che svolgono un ruolo critico nel sistema finanziario dell'UE devono inoltre completare test di penetrazione orientati alle minacce (TLPT) ogni tre anni.
ICT third-party risk management
Una delle caratteristiche distintive di DORA è il focus sulla gestione dei rischi legati ai fornitori terzi. I requisiti non si applicano solo alle entità finanziarie, ma anche ai fornitori ICT che le supportano. Le entità devono gestire i rischi ICT legati ai fornitori terzi, negoziando clausole contrattuali su strategie di uscita, audit e obiettivi di performance in termini di accessibilità, integrità e sicurezza. Le entità non possono stipulare contratti con fornitori che non soddisfano i requisiti di DORA e le autorità competenti possono sospendere o terminare accordi non conformi. Inoltre, è necessario mappare le dipendenze dai fornitori terzi e diversificare i fornitori per evitare di dipendere eccessivamente da uno solo per le funzioni critiche.
Information and intelligence sharing
DORA richiede che le entità finanziarie implementino processi per apprendere dagli incidenti ICT, sia interni che esterni. La normativa incoraggia, senza imporre, la partecipazione volontaria alla condivisione di informazioni sulle minacce. Qualsiasi informazione condivisa deve comunque rispettare i regolamenti pertinenti, come il GDPR, per proteggere i dati personali sensibili e garantirne la sicurezza.
Tempi, adeguamento e obiettivi
Cerchiamo di capire come si è sviluppata DORA, in questi anni.
Il percorso di approvazione e implementazione di DORA inizia il 24 settembre 2020, quando la Commissione Europea pubblica il progetto di legge Digital Operational Resilience Act (DORA) all'interno del pacchetto Digital Finance Package (DFP). Questa data segna l’avvio del percorso legislativo per rafforzare la resilienza operativa digitale nel settore finanziario.
Tra il 2021 e il 2022, il dibattito prosegue con la presentazione delle proposte del Parlamento Europeo e del Consiglio, che portano a negoziati tecnici e politici nei primi sei mesi del 2022. L’adozione formale di DORA avviene il 28 novembre 2022, dopo che il Parlamento Europeo aveva votato a favore il 10 novembre dello stesso anno.
Il 16 gennaio 2023, DORA entra ufficialmente in vigore. Da quel momento, le Autorità Europee di Vigilanza (European Supervisory Authorities, ESAs) iniziano a lavorare alla definizione degli standard tecnici regolamentari e di attuazione (RTS e ITS) necessari per specificare e guidare l’implementazione dei requisiti previsti dalla normativa.
Nel corso del 2024, gli RTS e ITS vengono ulteriormente sviluppati e pubblicati dalle ESAs, fornendo alle entità finanziarie le indicazioni operative per allinearsi ai principi di DORA. Questo processo prepara il terreno per il rispetto dei requisiti obbligatori della normativa.
Il 17 gennaio 2025 segna l’inizio dell’applicazione effettiva di DORA. Da questa data, tutte le entità finanziarie coinvolte sono tenute a rispettare le disposizioni previste, sotto la supervisione delle autorità competenti degli Stati membri, che hanno il compito di garantire il rispetto della normativa, con il potere di richiedere misure di sicurezza specifiche, sanare vulnerabilità individuate e, in caso di non conformità, imporre sanzioni amministrative e penali.
Impatto sul mondo finance
DORA è destinata ad avere un impatto significativo sulle istituzioni finanziarie, imponendo loro nuovi requisiti che influenzano diversi aspetti della resilienza operativa digitale: il regolamento introduce infatti una serie di obblighi che richiedono un impegno considerevole per garantire la piena conformità a quanto previsto.
Questo significa che le organizzazioni finanziarie devono adottare misure più rigorose nella gestione dei rischi legati ai fornitori terzi, migliorare i processi di risposta agli incidenti informatici e sviluppare strategie operative in grado di affrontare le minacce digitali in modo efficace.
Per implementare DORA con successo, le istituzioni devono avere una conoscenza approfondita delle proprie operation e comprendere pienamente le implicazioni regolamentari, adattando i propri sistemi e processi alle nuove direttive.
Vantaggi di correre verso la compliance con Impresoft 4ward
I fornitori di servizi digitali assumono un ruolo cruciale nel percorso di adeguamento a DORA, poiché la normativa richiede una collaborazione più stretta tra questi attori, le entità finanziarie e le autorità competenti. Finora, le istituzioni finanziarie tendevano a considerare i fornitori ICT come intrinsecamente affidabili e conformi, ma con DORA questo paradigma cambia. I fornitori critici saranno soggetti a un controllo normativo diretto e a potenziali sanzioni in caso di non conformità, oltre a essere inclusi in un quadro di supervisione a livello europeo. Questa maggiore trasparenza richiede ai partner digitali di essere più aperti e proattivi riguardo alla gestione dei rischi, alla sicurezza e alle vulnerabilità, contribuendo a migliorare la resilienza del sistema finanziario.
La capacità di un partner tecnologico di supportare le istituzioni finanziarie in questo percorso dipende dalla sua competenza nella gestione dei rischi digitali e dalla sua esperienza con normative complesse come DORA. Impresoft 4ward rappresenta un partner ideale per affrontare queste sfide grazie a un mix di competenze tecniche avanzate e una conoscenza approfondita dei requisiti regolamentari. La sua esperienza nel fornire soluzioni scalabili e sicure consente alle entità finanziarie di mappare le proprie infrastrutture, identificare le vulnerabilità e garantire che i sistemi siano conformi alle disposizioni di DORA. Inoltre, Impresoft 4ward si distingue per l’attenzione dedicata alla consulenza strategica, aiutando i dirigenti a comprendere le implicazioni della normativa e a prendere decisioni informate per rafforzare la resilienza operativa.
Questa sinergia tra istituzioni finanziarie e fornitori digitali di fiducia come Impresoft 4ward è essenziale per affrontare l’evoluzione del panorama normativo. Con un supporto mirato, le organizzazioni possono non solo adeguarsi ai requisiti di DORA, ma anche cogliere l’opportunità di trasformare la conformità in un vantaggio competitivo, migliorando la trasparenza, la sicurezza e l’affidabilità dell’intero ecosistema digitale.
