Consulenza Regolamento DORA – Digital Operational Resilience Act
Consulenza Regolamento DORA: Il Digital Operational Resilience Act, o DORA, è un regolamento dell’Unione Europea (UE) che stabilisce un framework vincolante e completo relativo alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell’UE comprese le piattaforme di crowdfounding e i fornitori che operano nell’ambito delle criptovalute.
Il Regolamento (UE) 2022/2554 (noto come Regolamento DORA) del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario stabilisce gli standard tecnici che le entità finanziarie e i loro fornitori critici di servizi tecnologici di terze parti devono implementare nei propri sistemi ICT entro il 17 gennaio 2025.
Consulenza Regolamento DORA: le finalità
Il regolamento DORA ha come finalità i seguenti obiettivi principali:
- affrontare la gestione del rischio ICT nel settore finanziario e
- armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell’Unione Europea.
Lo scopo che l’Unione Europea con l’adozione del Regolamento DORA mira a stabilire un framework universale per la gestione e la mitigazione del rischio ICT nel settore finanziario per eliminare le lacune, le sovrapposizioni e i conflitti tra le normative eterogenee nei vari Stati UE armonizzando così le regole di gestione del rischio in tutta l’UE.
Le ESA sono le autorità di regolamentazione preposte a sorvegliare il sistema finanziario dell’UE e includono l’autorità bancaria europea (EBA), l’autorità europea degli strumenti finanziari e dei mercati e l’autorità europea delle assicurazioni e delle pensioni aziendali e professionali.
Le ESA sono incaricate di redigere gli standard tecnici di regolamentazione e di attuazione che le entità interessate dovranno implementare. L’applicazione spetterà alle autorità di regolamentazione designate da ciascuno Stato membro dell’UE, vale a dire le “autorità competenti”. Queste ultime potranno richiedere alle entità finanziarie di adottare misure di sicurezza specifiche e di correggere le vulnerabilità. Potranno inoltre imporre sanzioni amministrative, e in alcuni casi penali, alle entità inadempienti. Ogni Stato membro deciderà le opportune sanzioni.
Consulenza Regolamento DORA: le sanzioni
I fornitori ICT ritenuti “critici” dalla Commissione Europea saranno controllati direttamente da “organi primari di sorveglianza” appartenenti alle ESA. Al pari delle autorità competenti, gli organi primari di sorveglianza possono richiedere misure di sicurezza e correzione e sanzionare i fornitori ICT non conformi. Il regolamento DORA consente agli organi primari di sorveglianza di imporre sanzioni ai fornitori ICT pari all’1% del loro turnover mondiale medio giornaliero registrato nell’esercizio precedente. Le multe potranno essere comminate giornalmente per un massimo di sei mesi fino al momento in cui il fornitore non avrà raggiunto la piena conformità.
Consulenza Regolamento DORA: requisiti
Il Regolamento DORA stabilisce i requisiti tecnici per le entità finanziarie e i provider ITC nei seguenti ambiti:
- Gestione del rischio ICT e governance
- Segnalazione e risposta agli incidenti
- Test di resilienza operativa ICT
- Gestione del rischio nella supply chain
- Condivisione delle informazioni
Gestione del rischio ICT e governance
Il regolamento DORA attribuisce all’organo amministrativo di un’entità la responsabilità della gestione ICT. I membri del consiglio di amministrazione, i dirigenti e altri senior manager devono definire adeguate strategie di gestione del rischio, contribuire attivamente alla loro attuazione e mantenersi aggiornati sul rischio ICT. Anch’essi possono essere ritenuti personalmente responsabili per il mancato rispetto delle norme da parte dell’entità di appartenenza.
Le organizzazioni rientranti nel Regolamento DORA sono tenute a sviluppare framework per la gestione del rischio ICT. A tal fine, devono mappare i propri sistemi ICT, identificare e classificare funzioni e asset critici e documentare le dipendenze tra risorse, sistemi, processi e provider. Devono inoltre condurre continue valutazioni del rischio sui propri sistemi ICT, documentare e classificare le minacce informatiche e documentare le misure in atto per mitigare eventuali rischi identificati.
Nell’ambito del processo di valutazione del rischio, le entità devono condurre analisi dell’impatto aziendale per valutare in che modo scenari specifici e interruzioni gravi possano influire sull’attività. I risultati di tali analisi dovrebbero poi essere utilizzati per stabilire i livelli di tolleranza al rischio e aggiornare la progettazione della propria infrastruttura ICT. Le entità saranno inoltre tenute ad adottare adeguate misure di cyber sicurezza come le politiche per la gestione delle identità e degli accessi e la gestione delle patch, oltre a controlli tecnici quali sistemi di rilevamento e risposta estesi, software per le informazioni sulla sicurezza e gestione degli eventi (SIEM) e strumenti per l’orchestrazione della sicurezza, automazione e risposta (SOAR).
Sarà inoltre necessario per le entità stabilire piani di business continuity aziendale e disaster recovery per vari scenari di rischio informatico, quali malfunzionamenti del servizio ICT, disastri naturali e attacchi informatici. Tali piani dovranno includere misure di data backup and recovery, processi di ripristino dei sistemi e piani per comunicare con clienti, partner e autorità interessati.
Segnalazione e risposta agli incidenti
Le entità interessate sono tenute a stabilire sistemi di monitoraggio, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell’incidente, alle entità può essere richiesta la segnalazione sia alle autorità di regolamentazione sia ai clienti e ai partner interessati.
Per gli incidenti critici dovranno essere presentati tre diversi tipi di rapporti:
- un rapporto iniziale di notifica alle autorità,
- un rapporto intermedio sui progressi compiuti per risolvere l’incidente e
- un rapporto finale che analizza le cause principali dell’incidente.
Test di resilienza operativa ICT
Le entità sono tenute a testare regolarmente i propri sistemi ICT per valutarne la forza delle protezioni e identificare le vulnerabilità. I risultati di tali test e i piani per affrontare eventuali debolezze riscontrate verranno poi comunicati alle autorità competenti e da esse convalidati.
Una volta all’anno è richiesta l’esecuzione di alcuni test di base:
- quali valutazioni delle vulnerabilità e
- test basati su scenari di rischio.
Le entità finanziarie ritenute critiche per il sistema dovranno sottoporsi ogni tre anni a penetration test basati su minacce (TLPT). Ai penetration test dovranno partecipare i fornitori ICT critici per l’entità.
Gestione del rischio nella supply chain
Il Regolamento DORA si applica non soltanto alle entità finanziarie, ma anche ai fornitori ICT che servono il settore finanziario.
Pertanto le società finanziarie nell’esternalizzare funzioni critiche e importanti, saranno tenute a negoziare accordi specifici riguardanti, tra gli altri aspetti, strategie di uscita, audit e obiettivi prestazionali per l’accessibilità, l’integrità e sicurezza. Alle entità non sarà consentito stipulare contratti con fornitori ICT che non siano in grado di soddisfare tali requisiti. Le autorità competenti avranno il potere di sospendere o risolvere i contratti non conformi. La Commissione Europea sta esplorando la possibilità di elaborare clausole contrattuali standardizzate utili a entità e fornitori ICT per assicurarsi di sottoscrivere accordi conformi al regolamento DORA.
Gli istituti finanziari dovranno inoltre mappare le proprie dipendenze ICT di terze parti e dovranno assicurarsi che le funzioni critiche e importanti non siano troppo concentrate presso un singolo fornitore o un piccolo gruppo di fornitori.
I fornitori di servizi ICT critici di terze parti saranno sottoposti alla supervisione diretta delle autorità europee di vigilanza competenti.
A coloro che soddisfano gli standard verrà assegnato come supervisore principale una delle autorità di vigilanza. Oltre a imporre i requisiti DORA ai fornitori critici, tali organi avranno il potere di vietare a questi di stipulare contratti con società finanziarie o altri fornitori ICT che non ottemperino al regolamento DORA.
Condivisione delle informazioni
Le entità finanziarie sono tenute a stabilire processi di apprendimento basati sugli incidenti ICT sia di origine interna sia di origine esterna.
Il Regolamento DORA incoraggia le entità a partecipare ad accordi volontari di condivisione in materia di threat intelligence.