Il Regolamento UE 2022/2554, noto come "DORA" (Digital Operational Resilience Act), la cui applicazione dovrebbe decorrere a partire dal 17 gennaio 2025, rappresenta un pilastro fondamentale del pacchetto Digital Finance dell'Unione Europea, insieme alla Markets in Crypto-Assets Regulation (MiCAR) e al DLT Pilot Regime.
Adottato il 14 dicembre 2022, il Regolamento 2022/2554 mira a creare un quadro normativo uniforme per garantire la resilienza operativa digitale del settore bancario, finanziario e assicurativo nel vecchio continente.
Ambito di applicazione del Regolamento
Il regolamento nasce dall'esigenza di armonizzare e rafforzare i requisiti di sicurezza informatica nel settore finanziario, stabilendo standard comuni per la gestione dei rischi ICT.
Il suo ambito di applicazione è particolarmente ampio, estendendosi dalle banche tradizionali alle imprese di investimento, fino a interessare tutti i fornitori di servizi di ICT, come definito dall'articolo 2 del regolamento.
Con l'aumento delle minacce informatiche e delle interruzioni operative conseguenti a incidenti di sicurezza, il legislatore europeo ha riconosciuto l'importanza di dotare le istituzioni finanziarie, bancarie e assicurative dell'Unione di un quadro normativo che favorisca la loro "resilienza operativa digitale", ossia la capacità di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo tramite i servizi ICT di fornitori terzi, la sicurezza dei sistemi informatici anche a fronte di eventuali perturbazioni.
In tal senso, è cruciale che le entità finanziarie ed i loro provider di servizi ICT adottino misure adeguate e idonee per garantire la sicurezza e l'affidabilità delle loro operazioni.
I cinque elementi di DORA
Il framework normativo si articola attraverso cinque elementi fondamentali che costituiscono l'ossatura dell'intero impianto regolamentare.
Il Capo II del regolamento si concentra sulla governance e gestione dei rischi ICT, richiedendo alle entità finanziarie di implementare un framework di governance che garantisca una gestione efficace dei rischi ICT, con responsabilità chiare dell'organo di amministrazione.
Il Capo III introduce l'obbligo di implementare un processo strutturato di gestione degli incidenti ICT, comprensivo di procedure di classificazione e reporting alle autorità competenti.
Il Digital Operational Resilience Testing, disciplinato dal Capo IV, impone la necessità di condurre test periodici di resilienza digitale, prevedendo test avanzati per le entità finanziarie significative.
Il Capo V si occupa della gestione dei rischi dei fornitori terzi di ICT, introducendo un framework di supervisione dei fornitori critici di servizi ICT.
Infine, il Capo VI promuove la condivisione di informazioni su minacce e vulnerabilità tra le entità finanziarie.
Sfide e criticità
Il settore finanziario si trova ora di fronte a una sfida significativa: l'adeguamento alle nuove disposizioni entro il termine del 17 gennaio 2025.
La gestione dei fornitori emerge come uno dei punti più critici: le entità finanziarie dovranno implementare robusti sistemi di due diligence e monitoraggio continuo dei fornitori critici di servizi ICT.
Il rischio principale risiede nella possibile sottovalutazione della complessità del processo di adeguamento, specialmente per quanto riguarda la mappatura completa dei servizi ICT critici, l'implementazione di sistemi di monitoraggio efficaci e la gestione dei contratti con i fornitori secondo i nuovi requisiti dell'articolo 28.
Non solo banche...
L'impatto del DORA sulle varie tipologie di entità finanziarie non sarà lo stesso per tutti i destinatari, sia in termini di presidi di governance interna (es. aggiornamento delle policy di sicurezza informatica) sia in termini di revisione dei contratti con i fornitori di servizi ICT a supporto di funzioni essenziali o importanti.
In particolare, le banche (attesa la loro rilevanza a livello di rischio sistemico) erano già sottoposte a un framework regolamentare particolarmente avanzato in ragione del recepimento sia degli orientamenti EBA su esternalizzazione che degli orientamenti EBA sulla gestione dei rischi ICT e di sicurezza (entrambi poi richiamati e attuati nella Circolare 285) che già anticipavano alcune delle misure poi successivamente ribadite da DORA.
Particolare attenzione merita, inoltre, l’inclusione dei cosiddetti Crypto-Asset Service Provider (CASP) nel perimetro di applicazione del regolamento.
Questi operatori, spesso caratterizzati da strutture organizzative snelle e approcci agili tipici delle startup, dovranno confrontarsi con requisiti di compliance tradizionalmente pensati per istituzioni finanziarie mature.
Per i CASP, le sfide principali includono l'implementazione di strutture di governance robuste, l'adozione di processi di risk management formalizzati e la gestione della supply chain ICT secondo standard enterprise.
Da dove partire
A ogni modo, ciascuna entità finanziaria dovrà innanzitutto individuare tutti i contratti riconducibili a servizi ICT prestati da fornitori terzi; tra questi si dovranno distinguere i servizi a supporto di funzioni essenziali o importanti, ossia quelle funzioni la cui interruzione o la cui esecuzione interrotta, carente o insufficiente, comprometterebbe sostanzialmente i risultati finanziari o la solidità o la continuità dei servizi e delle sue attività, o ancora il costante adempimento delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa di settore applicabile.
Successivamente, sarà necessario svolgere una gap analysis per poter correttamente valutare i rischi e le azioni da intraprendere per poter adeguare tutte le policy e le procedure interne e i contratti ai nuovi requisiti previsti dal Regolamento DORA e dai regolamenti delegati.
Bilanciare compliance e innovazione
Il Regolamento DORA rappresenta dunque un cambio di paradigma nella gestione della resilienza operativa digitale del settore finanziario europeo.
La sfida principale per gli operatori sarà quella di trasformare i requisiti normativi in prassi operative efficaci, bilanciando compliance e innovazione.
Il successo nell'implementazione dipenderà dalla capacità di adottare un approccio proattivo e strutturato, con particolare attenzione alla gestione dei fornitori ICT e all'adeguamento delle strutture organizzative.
Per le nuove entità finanziarie, come ad esempio i CASP, questo rappresenterà un'opportunità di maturazione e professionalizzazione, pur mantenendo la flessibilità necessaria per operare in un mercato in rapida evoluzione.