Il Regolamento DORA – Digital Operational Resilience Act – è entrato in vigore nell’Unione Europea e verrà applicato a partire dal 17 gennaio 2025.
Questo regolamento mira a migliorare la resilienza operativa digitale delle entità finanziarie all’interno dell’UE, armonizzando le regole di gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione e agli incidenti informatici.
Il regolamento prevede, inoltre, delle norme tecniche di regolamentazione – RTS- su aspetti specifici.
DORA: obiettivi principali
Il regolamento stabilisce un quadro comune per la gestione dei rischi legati alla tecnologia e alla sicurezza informatica all’interno delle istituzioni finanziarie.
Gli obiettivi principali del DORA sono:
- Armonizzazione delle regole di ICT Governance e ICT Risk Management: il regolamento promuove una gestione omogenea dei rischi ICT in tutto il settore finanziario, basata su un principio di proporzionalità rispetto al rischio;
- Gestione degli incidenti e resilienza operativa: le entità finanziarie sono tenute a implementare una strategia di resilienza operativa digitale allineata alla loro strategia aziendale, che include la segnalazione degli incidenti, i test di resilienza operativa e la gestione dei rapporti con fornitori terzi di servizi ICT;
- Vigilanza sui fornitori critici di servizi ICT: viene introdotto un quadro di vigilanza paneuropeo per i fornitori terzi di servizi ICT considerati critici.
DORA: le norme tecniche di regolamentazione (RTS)
Il documento descrive la pubblicazione dei primi regolamenti delegati relativi a DORA, emessi il 25 giugno 2024 nella Gazzetta Ufficiale dell’UE:
- Regolamento delegato (UE) 2024/1772: definisce i criteri per la classificazione degli incidenti ICT e le soglie di rilevanza per la segnalazione di incidenti gravi. I criteri includono impatti sui clienti, reputazione, perdita di dati, estensione geografica e durata dell’inattività;
- Regolamento delegato (UE) 2024/1773: stabilisce le linee guida per la gestione degli accordi contrattuali con fornitori terzi di servizi ICT che supportano funzioni essenziali o importanti per le entità finanziarie;
- Regolamento delegato (UE) 2024/1774: Specifica gli strumenti, metodi, processi e politiche per la gestione del rischio ICT, compresi requisiti per la sicurezza, monitoraggio delle minacce, gestione degli asset ICT e separazione degli ambienti di produzione.
Le entità finanziarie devono adeguare le loro politiche di sicurezza ICT, assicurare la conformità agli obblighi di segnalazione e rivedere gli accordi contrattuali con i fornitori terzi. I requisiti contrattuali stabiliti da DORA si applicano a tutti i fornitori di servizi ICT, non solo agli outsourcing, rendendo l’attuazione della normativa particolarmente impegnativa.
Applicazione del regolamento DORA
Dal 17 gennaio 2025 il DORA sarà direttamente applicabile in tutti gli Stati membri dell’UE. Questo implica che sia le istituzioni finanziarie che i fornitori di servizi ICT dovranno adottare tempestivamente le misure necessarie, comprese le modifiche organizzative, per garantire la completa conformità al regolamento DORA.
Pertanto, è richiesto alle entità finanziarie di integrare la gestione del rischio ICT nelle loro strategie aziendali, monitorare i fornitori di servizi ICT critici e adottare politiche di sicurezza più rigorose.
Inoltre, il regolamento impone una stretta collaborazione tra autorità di vigilanza e istituzioni finanziarie per garantire la sicurezza e la resilienza operativa.