DORA chi? Il Regolamento D.O.R.A.
Introduzione a DORA: la rivoluzionaria normativa per la regolamentazione della Digital Data Governance
di Federica Massa e Federico Lusian
La normativa DORA (Digital Operational Resilience Act) consentirà di garantire la resilienza operativa digitale in tutto il settore finanziario: le entità finanziarie (assicurazioni, banche, società di crowdfunding, fornitori di servizi per le cripto-valute, etc) avranno a disposizione due anni di tempo per adeguarsi a tale regolamento a partire dall’entrata in vigore della normativa avvenuta il 16 gennaio 2023.
Il contesto normativo UE
La crescente innovazione e applicazione delle tecnologie digitali alle attività finanziarie unitamente alle minacce ed alle perturbazioni a cui potrebbero essere soggette queste ultime, hanno spinto l’UE nel 2018 ad adottare un piano di azione in merito alla finanza digitale. Tale piano trova attuazione nel “Pacchetto UE sulla finanza digitale” che si compone di tre iniziative legislative sviluppate a partire dal 2020:
- MICA – Markets in Crypto-Assets
- DLT – Digital Ledger Technology
- DORA
Con DORA avviene l’armonizzazione a livello europeo dei requisiti stabiliti in merito alla sicurezza delle TIC (tecnologie dell’informazione della comunicazione) attraverso la creazione di un quadro di gestione dei rischi TIC. DORA riprende, rafforzandoli, diversi elementi già tracciati dal “orientamento sulla sicurezza e sulla governance della tecnologia dell’informazione e della comunicazione” emanato dell’EIOPA e introduce nuovi obblighi per le entità che operano nel settore finanziario e per i fornitori terzi di servizi TIC considerati critici.
Resilienza Operativa Digitale: un elemento di novità
Con l’espressione resilienza operativa digitale si intende la capacità degli operatori del settore dei servizi finanziari di resistere ad ogni tipo di perturbazione o minaccia collegata alle TIC: ciò implica garantire continuità di servizio digitale anche in presenza di eventuali minacce alla sicurezza, di incidenti oppure di violazioni delle infrastrutture informatiche.
L’applicazione dei requisiti normativi introdotti da DORA pertanto garantirà l’integrità, la solidità e l’affidabilità degli operatori finanziari rappresentando un veicolo di consapevolezza riguardo ai rischi informatici e di sicurezza e promuovendo i progressi tecnologici, la stabilità e la protezione dei consumatori in ambito finanziario.
I sei pilastri di DORA
- Di fondamentale importanza in questo processo di adeguamento è il ruolo del Consiglio di Amministrazione, che non solo ha il compito di definire una strategia di gestione dei rischi relativi alle TIC, ma dovrà anche mantenere un ruolo attivo nell’amministrazione di questi ultimi, anche sulla base del reporting che riceverà (almeno su base annuale) da parte del responsabile IT in merito agli esiti ed alle evidenze dei test di resilienza effettuati. È inoltre previsto l’obbligo di formazione per tutta la popolazione aziendale (dipendenti, dirigenti e amministratori) in merito alla Cyber-security.
- Per garantire una adeguata gestione dei rischi il legislatore introduce alcuni adempimenti specifici per le entità finanziarie, con impatto sia sulle infrastrutture (es: dotarsi di strumenti e sistemi TIC resilienti e garantire misure di protezione adeguate, effettuare continui rilevamenti di minacce alla sicurezza informatica, …) sia sulle policy e procedure aziendali (es: business continuity, disaster recovery, back up e ripristino, resilienza operativa e digitale)
- Per quanto riguarda i servizi TIC forniti da terze parti è necessario un continuo e completo monitoraggio dei rischi in tutte le fasi del rapporto, da quelle precontrattuali (es: due diligence sui potenziali fornitori) a quelle “business as usual” (es: audit periodici sugli outsourcer in ambito TIC, manutenzione di un registro di tutti gli accordi contrattuali in essere, assesment sui contratti, …). Sono inoltre previsti specifici elementi e clausole minime da prevedere in tutti i contratti di outsourcing. I fornitori terzi di servizi TIC classificati come critici sono soggetti a sorveglianza da parte dalle Autorità di Vigilanza, che può richiedere la trasmissione di tutte le informazioni ritenute necessarie (documenti aziendali od operativi, contratti, segnalazioni di incidenti, relazioni di audit, …) all’adempimento dei compiti di controllo.
- Deve essere sviluppato un processo di monitoraggio, gestione e segnalazione degli incidenti che include la fase di identificazione degli incidenti (con il supporto di indicatori di allerta precoce) e la successiva classificazione di tali incidenti secondo i criteri descritti nel regolamento. È inoltre previsto l’obbligo di segnalazione alle Autorità di Vigilanza degli incidenti classificati come gravi e la comunicazione degli stessi a stakeholders interni ed esterni, coerentemente con i piani di comunicazione sviluppati ex-ante a cura di una specifica figura aziendale (la cui nomina fa parte degli adempimenti di DORA).
- Una delle maggiori novità introdotte da DORA riguarda l’obbligo di pianificare ed effettuare periodicamente dei test di penetrazione basati su minacce volti ad individuare eventuali punti di debolezza per poter adottare misure correttive adeguate. Tali test si affiancano ai test di resilienza operativa e si rivolgono alle funzioni che sono considerate critiche o importanti; devono essere ripetuti almeno ogni tre anni, oltre che a seguito di eventuali incidenti gravi o modifiche significative dei sistemi.
- Infine, viene introdotto un meccanismo europeo di scambio di informazioni riguardanti i dati delle minacce informatiche, con l’obiettivo di facilitare una collaborazione “sistemica” che possa ridurre la propagazione delle minacce nell’universo finanziario, rafforzando la capacità di difesa complessiva. L’adesione a tale meccanismo risulta discrezionale.
In Parva, ci stiamo confrontando con diversi client in merito a DORA, e siamo convinti che non esista una soluzione “standard” valida per tutti per implementare le misure necessarie per essere conformi alla nuova normativa, in quanto ogni società finanziaria parte da una situazione “as-is” diversa. Ad esempio, i grandi gruppi internazionali bancari e assicurativi sono già conformi con molti requisiti di DORA, in quanto hanno già adottato le linee guida EIOPA/ESMA/EBA sulla cyber-security (che hanno molti punti in comune con DORA), mentre altri soggetti hanno un gap più ampio da colmare – in particolare i fornitori di servizi TIC, che con DORA diventano soggetti direttamente vigilati. E tu? A che punto sei con DORA?