DORA: il regolamento europeo sulla resilienza operativa digitale entra in vigore nel 2025

Fra qualche ora entreremo ufficialmente nel 2025.

Ad attenderci, al ritorno in ufficio, ci sarà il Digital Operational Resilience Act (DORA), una delle normative europee più rilevanti in materia di sicurezza informatica e gestione dei rischi ICT: la sua entrata in vigore, fissata per il 17 gennaio 2025, rappresenta una tappa fondamentale per il settore finanziario europeo. Questo regolamento nasce con un obiettivo chiaro: garantire la resilienza digitale delle istituzioni finanziarie e rafforzare la loro capacità di far fronte a incidenti informatici e interruzioni operative.

In un contesto in cui la digitalizzazione avanza rapidamente e i rischi legati alla sicurezza informatica diventano sempre più complessi, il DORA offre un framework unico e armonizzato che coinvolge non solo banche e istituti finanziari tradizionali, ma anche fornitori di servizi ICT critici, come cloud provider, data center e piattaforme di analisi dati. È la risposta dell’Unione Europea alla crescente necessità di garantire stabilità e sicurezza in un sistema finanziario sempre più interconnesso e dipendente dalla tecnologia.

 

Perché il DORA è importante?

Prima dell’introduzione del DORA, la gestione dei rischi ICT nel settore finanziario europeo era caratterizzata da frammentazione e incertezze normative. Ogni Stato membro applicava regole diverse, spesso basate su principi generali e non su standard tecnici chiari. Questa disomogeneità non solo complicava la conformità per le aziende finanziarie operanti in più Paesi, ma lasciava spazio a lacune nella sicurezza e nella resilienza del sistema.

Il DORA pone fine a questa situazione introducendo un quadro comune e vincolante che si applica a tutte le entità finanziarie dell’UE e ai loro fornitori ICT. In questo modo, le regole diventano uniformi e più efficaci, offrendo maggiore sicurezza sia agli operatori del settore che ai consumatori. Il regolamento non solo si occupa della prevenzione degli incidenti, ma fornisce anche linee guida concrete per la gestione e mitigazione degli effetti di eventuali problemi.

 

A chi si applica il DORA?

Il regolamento ha un’ampia applicabilità:

  • Istituzioni finanziarie tradizionali, come banche, società di investimento, assicurazioni e istituti di credito.
  • Entità non tradizionali, tra cui piattaforme di crowdfunding e fornitori di servizi per criptovalute.
  • Fornitori ICT terzi che supportano le attività finanziarie, come cloud provider, data center e servizi di analisi dati.

Questa inclusione è una delle caratteristiche più innovative del DORA. Per la prima volta, i fornitori di servizi tecnologici critici saranno sottoposti a controlli rigorosi e saranno direttamente supervisionati dalle autorità europee competenti, le cosiddette ESA (Autorità europee di vigilanza). Ciò garantisce che anche gli attori “indiretti” nel panorama finanziario rispettino standard di sicurezza altrettanto elevati.

 

Cosa prevede il DORA? I requisiti chiave

Il regolamento DORA stabilisce standard rigorosi in quattro aree principali:

  1. Gestione del rischio ICT e governance
    Ogni entità finanziaria dovrà sviluppare una strategia chiara e documentata per la gestione del rischio ICT. Il consiglio di amministrazione e i dirigenti saranno direttamente responsabili di:

    • Mappare sistemi e risorse critiche.
    • Valutare continuamente i rischi informatici e adottare misure di mitigazione.
    • Definire piani di continuità operativa e di disaster recovery per far fronte a eventi imprevisti, come cyberattacchi o malfunzionamenti dei sistemi.
  2. Gestione e segnalazione degli incidenti
    Le entità dovranno implementare sistemi di monitoraggio e risposta per identificare e risolvere rapidamente gli incidenti ICT. Gli eventi più gravi dovranno essere segnalati alle autorità competenti in tre fasi: notifica iniziale, aggiornamento intermedio e rapporto finale con l’analisi delle cause.
  3. Test di resilienza operativa digitale
    I sistemi ICT dovranno essere sottoposti a test periodici per verificarne la sicurezza e individuare eventuali vulnerabilità. Per le entità più critiche, saranno obbligatori test avanzati, come i penetration test basati su minacce reali.
  4. Gestione del rischio di terze parti
    Le istituzioni finanziarie dovranno monitorare attentamente i loro fornitori ICT, assicurandosi che rispettino i requisiti di sicurezza del DORA. Sarà vietato collaborare con fornitori che non soddisfano tali standard, e le autorità avranno il potere di sospendere i contratti non conformi.

 

2025: l’anno della svolta

Il DORA, adottato formalmente nel 2022, è ora nella fase finale di preparazione. Gli standard tecnici definitivi saranno pubblicati entro il 2024, lasciando a enti finanziari e fornitori ICT meno di un anno per adeguarsi. La data del 17 gennaio 2025 segna l’inizio dell’applicazione ufficiale, con le autorità nazionali pronte a vigilare sulla conformità e a sanzionare eventuali inadempienze.

Le sanzioni previste sono severe: i fornitori ICT critici rischiano multe giornaliere fino all’1% del fatturato mondiale medio se non raggiungono tempestivamente la conformità.

 

Un nuovo paradigma per la sicurezza digitale

Il DORA rappresenta una rivoluzione per il settore finanziario europeo, introducendo un approccio strutturato e rigoroso alla gestione del rischio ICT. Non si tratta solo di conformarsi a un obbligo normativo, ma di promuovere un ecosistema digitale più resiliente e sicuro. L’entrata in vigore del regolamento nel 2025 segna un passo decisivo per l’Unione Europea, che mira a consolidare la fiducia degli operatori finanziari e dei cittadini in un mondo sempre più connesso.

Per le aziende, adeguarsi al DORA non sarà solo una sfida, ma un’opportunità per rafforzare le proprie infrastrutture tecnologiche e prepararsi alle sfide future della cybersicurezza.

 

Condividi