DORA: Standard tecnici di regolamentazione ed attuazione.
Quali i prossimi passi?
By Federico Lusian & Federica Massa
La normativa DORA, in vigore da 16 gennaio 2023, ha l’obiettivo di spingere le entità finanziarie a sviluppare interventi volti al raggiungimento della resilienza operativa digitale; affinché questo obiettivo possa essere raggiunto, gli operatori del settore hanno tempo fino al 17 gennaio 2025 per rendersi conformi alla normativa. Nell’articolo precedente è stato approfondito il contesto normativo in cui DORA si innesta e quali sono i sei pilastri che la caratterizzano.
Di seguito verranno invece analizzati gli aspetti innovativi del framework di DORA e le tempistiche dettate per i futuri avanzamenti in merito alla definizione e pubblicazione del primo e secondo gruppo di Standard Tecnici di Regolamentazione (RTS) e Norme Tecniche di Attuazione (ITS).
Aspetti innovativi nel framework di DORA.
Precedentemente alla normativa DORA, alcuni passi erano già stati compiuti in materia di cyber-sicurezza in seguito alla pubblicazione di:
- Orientamenti EIOPA (European Insurance and Occupational Pensions Authority) relativi alla sicurezza delle TIC nell’ambito assicurativo;
- Guidelines di EBA (European Banking Authority) on ICT and security risk management
- NIS (Network and Information Security Directive) approvate da Parlamento e Consiglio Europeo; si rivolge alle entità quali banche, imprese di investimento e prestatori di servizi di pagamento .
DORA non introduce solo una rivoluzione in termini di adempimenti, ma un altro elemento di novità è rappresentato dall’estensione del “perimetro” delle entità finanziarie coinvolte: infatti entrano a far parte della platea dei soggetti impattati dalla regolamentazione anche i fornitori di servizi per le cripto-attività ed i fornitori di servizi di crowdfunding. Inoltre, per la prima volta, i fornitori di servizi TIC diventano soggetti vigilati, con adempimenti di natura segnaletica ed autorizzativa; questo rappresenta un elemento di discontinuità significativo, che mette gli outsourcer IT in “prima linea”, spingendoli ad adottare un approccio più proattivo nei confronti della normativa.
Timeline e prossimi passi di RTS e ITS
È necessario fare un passo indietro e tornare al 2018 quando l’UE promuove l’iniziativa di un action plan per la finanza digitale, che nel 2020 si traduce nel “Pacchetto UE sulla finanza digitale”; ma è al termine del 2022 che la proposta di DORA viene approvata e pubblicata con la sua successiva entrata in vigore ufficiale il 16 Gennaio 2023. A questo percorso segue un ricco calendario in cui le Autorità di Vigilanza in un Comitato Congiunto preparano dei set di in cui verranno indicati otto RTS e una serie di ITS, oltre a linee guida per:
- stimare costi e perdite derivanti dall’eventuale verificarsi di incidenti;
- organizzare la cooperazione tra Autorità di Vigilanza e Autorità Competenti;
- redigere la relazione di fattibilità in merito all’ulteriore centralizzazione della segnalazione degli incidenti.
Il Comitato ha raggruppato RTS ed ITS in 2 insiemi , definendo per ciascun insieme una scadenza per la pubblicazione: Gennaio 2024 per il primo gruppo e Giugno 2024 per il secondo.
È bene specificare che RTS e ITS sono entrambi strumenti utili a fornire specifiche e requisiti più dettagliati nella legislazione finanziaria; tuttavia, differiscono per un particolare: i primi (RTS) hanno lo scopo di specificare, armonizzare e sviluppare ulteriormente i quadri giuridici al fine di facilitare processi ed aumentare la certezza giuridica, mentre i secondi (ITS) assicurano condizioni uniformi di applicazione.
Primo insieme di RTS & ITS
Il primo insieme di RTS ed ITS è attualmente in consultazione ed include i seguenti:
- RTS nel quadro della gestione del rischio derivante da TIC (Cap. II, Art. 15) e RTS nel quadro semplificato della gestione del rischio derivante da TIC (Cap. II, Art. 16.3).
Vengono introdotti principi per tutte le entità finanziarie su aspetti come:- Politiche, procedure, protocolli e strumenti per la sicurezza delle TIC;
- Politica delle risorse umane e controllo degli accessi;
- Rilevamento e risposta agli incidenti legati alle TIC;
- Relazione sulla revisione e rapporto sulla revisione del quadro di gestione del rischio delle TIC.
- RTS in merito ai criteri di classificazione degli incidenti legati alle TIC (Cap. III, Art. 18.3).
La bozza stabilisce requisiti armonizzati per le entità finanziarie in merito a:- Classificazione degli incidenti legati alle TIC;
- Approccio di classificazione e soglie di rilevanza per la determinazione dei principali incidenti che devono essere segnalati alle autorità competenti;
- Criteri e soglie da applicare per la classificazione delle minacce informatiche significative;
- Criteri che le autorità competenti devono applicare per valutare la rilevanza degli incidenti.
- ITS per stabilire i modelli dei registri delle informazioni in relazione agli accordi contrattuali sull’uso di servizi TIC forniti da fornitori terzi (Cap. IV, Art 28.9).
Nella versione in consultazione vengono definiti i modelli armonizzati per il registro delle informazioni che gli enti finanziari dovrebbero mantenere in merito a tutti gli accordi contrattuali sull’utilizzo dei servizi TIC forniti da terze parti a livello individuale, consolidato e subconsolidato. Sono stati sviluppati due differenti modelli, il primo per i registri a livello individuale ed il secondo per i registri a livello consolidato e subconsolidato.
- RTS per stabilire le politiche in merito ai servizi TIC forniti da terze parti (Cap. IV, Art, 28.10).
In questo caso sono definiti i requisiti che riguardano tutte le fasi che vengono intraprese dalle entità finanziarie per quanto riguarda il ciclo di vita della gestione degli accordi di terze parti in materia di TIC.
DORA: i prossimi passi
È prevista per Settembre la chiusura della consultazione pubblica della bozza presentata nel mese di Giugno, versione che sarà integrata a seguito della revisione di tutte le risposte ottenute e presentata per l’approvazione definitiva entro il 17 Gennaio 2024.
Il secondo gruppo di RTS ed ITS, avendo natura più corposa, seguirà un orizzonte temporale più ampio: è infatti prevista la fase di consultazione pubblica da Novembre 2023 a Febbraio 2024 ed il termine ultimo per la pubblicazione ufficiale è fissato per il 17 Giugno 2024.
La Commissione Europea ha inoltre richiesto alle ESA di preparare gli atti delegati ad integrazione di DORA in relazione ai criteri di designazione dei fornitori terzi di servizi TIC critici. Tale documento, superata la fase di consultazione pubblica avvenuta tra i mesi di Maggio e Giugno, confluirà in una relazione finale prevista per il 30 Settembre 2023.
Nei prossimi mesi seguiranno quindi aggiornamenti in merito alle novità derivanti da tale documento; in Parva continueremo a monitorare da vicino l’avanzamento dei lavori e a pubblicare aggiornamenti sul nostro sito e via LinkedIn: rimanete sintonizzati!