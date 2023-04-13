Il DORA stabilisce i requisiti tecnici per le entità finanziarie e i provider ITC in quattro ambiti:

Gestione del rischio ICT e governance

Segnalazione e risposta agli incidenti

Test di resilienza operativa digitale

Gestione del rischio di terze parti

La condivisione delle informazioni è incoraggiata ma non obbligatoria.

I requisiti saranno applicati in modo proporzionale, vale a dire che le entità minori non saranno tenute a rispettare gli stessi standard delle principali istituzioni finanziarie. Sebbene gli standard tecnici di regolamentazione e di attuazione per ciascun dominio siano ancora in fase di sviluppo, la legislazione DORA esistente offre alcuni insight sui requisiti generali.

Gestione del rischio ICT e governance

Il regolamento DORA attribuisce all'organo amministrativo di un'entità la responsabilità della gestione ICT. I membri del consiglio di amministrazione, i dirigenti e altri senior manager devono definire adeguate strategie di gestione del rischio, contribuire attivamente alla loro attuazione e mantenersi aggiornati sul landscape del rischio ICT. Anch'essi possono essere ritenuti personalmente responsabili per il mancato rispetto delle norme da parte dell'entità di appartenenza.



Le organizzazioni interessate sono tenute a sviluppare framework completi per la gestione del rischio ICT. A tal fine, devono mappare i propri sistemi ICT, identificare e classificare funzioni e asset critici e documentare le dipendenze tra risorse, sistemi, processi e provider. Devono inoltre condurre continue valutazioni del rischio sui propri sistemi ICT, documentare e classificare le minacce informatiche e documentare le misure in atto per mitigare eventuali rischi identificati.

Nell'ambito del processo di valutazione del rischio, le entità devono condurre analisi dell'impatto aziendale per valutare in che modo scenari specifici e interruzioni gravi possano influire sull'attività. I risultati di tali analisi dovrebbero poi essere utilizzati per stabilire i livelli di tolleranza al rischio e aggiornare la progettazione della propria infrastruttura ICT. Le entità saranno inoltre tenute ad adottare adeguate misure di cybersecurity come le politiche per la gestione delle identità e degli accessi e la gestione delle patch, oltre a controlli tecnici quali sistemi di rilevamento e risposta estesi, software per le informazioni sulla sicurezza e gestione degli eventi (SIEM) e strumenti per l'orchestrazione della sicurezza, automazione e risposta (SOAR).

Sarà inoltre necessario per le entità stabilire piani di continuità aziendale e disaster recovery per vari scenari di rischio informatico, quali malfunzionamenti del servizio ICT, disastri naturali e attacchi informatici. Tali piani dovranno includere misure di data backup and recovery, processi di ripristino dei sistemi e piani per comunicare con clienti, partner e autorità interessati.

È imminente la pubblicazione degli standard tecnici di regolamentazione che specificano gli elementi richiesti per il framework di gestione del rischio da parte di un'entità. Gli esperti si aspettano linee guida simili a quelle pubblicate dall'autorità bancaria europea sulla gestione dei rischi ICT e di sicurezza.

Risposta agli incidenti e reportistica

Le entità interessate sono tenute a stabilire sistemi per monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell'incidente, alle entità può essere richiesta la segnalazione sia alle autorità di regolamentazione sia ai clienti e ai partner interessati. Per gli incidenti critici dovranno essere presentati tre diversi tipi di rapporti: un rapporto iniziale di notifica alle autorità, un rapporto intermedio sui progressi compiuti per risolvere l'incidente e un rapporto finale che analizza le cause principali dell'incidente.

Le regole su come classificare gli incidenti, quali incidenti devono essere segnalati e le tempistiche per la segnalazione sono di prossima pubblicazione. Le autorità europee di vigilanza stanno inoltre esplorando modi per semplificare la segnalazione istituendo un hub centrale e modelli di report comuni.

Test di resilienza operativa digitale



Le entità sono tenute a testare regolarmente i propri sistemi ICT per valutarne la forza delle protezioni e identificare ‌le vulnerabilità. I risultati di tali test e i piani per affrontare eventuali debolezze riscontrate verranno poi comunicati alle autorità competenti e da esse convalidati.

Una volta all'anno è richiesta l'esecuzione di alcuni test di base, quali valutazioni delle vulnerabilità e test basati su scenari. Le entità finanziarie ritenute critiche per il sistema dovranno anch'esse sottoporsi ogni tre anni a test di penetrazione basati su minacce (TLPT). A questi test di penetrazione dovranno partecipare pure i fornitori ICT critici per l'entità. Sono imminenti standard tecnici su come dovrebbero essere eseguiti i TLPT, ma è probabile che si allineeranno al framework TIBER-EU per il red teaming etico basato sulla threat intelligence.

Gestione del rischio di terze parti

Un aspetto esclusivo del regolamento DORA è che si applica non soltanto alle entità finanziarie, ma anche ai fornitori ICT che servono il settore finanziario.

Le società finanziarie dovrebbero assumere un ruolo attivo nella gestione del rischio di terze parti in ambito ICT. Nell'esternalizzare funzioni critiche e importanti, saranno tenute a negoziare accordi specifici riguardanti, tra le altre cose, strategie di uscita, audit e obiettivi prestazionali per l’accessibilità, l’integrità e la sicurezza. Alle entità non sarà consentito stipulare contratti con fornitori ICT che non siano in grado di soddisfare tali requisiti. Le autorità competenti avranno il potere di sospendere o risolvere i contratti non conformi. La Commissione Europea sta esplorando la possibilità di elaborare clausole contrattuali standardizzate utili a entità e fornitori ICT per assicurarsi di sottoscrivere accordi conformi al regolamento DORA.

Gli istituti finanziari dovranno inoltre mappare le proprie dipendenze ICT di terze parti e dovranno assicurarsi che le funzioni critiche e importanti non siano troppo concentrate presso un singolo fornitore o un piccolo gruppo di fornitori.

I fornitori di servizi ICT critici di terze parti saranno sottoposti alla supervisione diretta delle autorità europee di vigilanza competenti. La Commissione europea è ancora impegnata a elaborare i criteri per determinare i fornitori critici. A coloro che soddisfano gli standard verrà assegnato come supervisore principale una delle autorità di vigilanza. Oltre a imporre i requisiti DORA ai fornitori critici, tali organi avranno il potere di vietare a questi di stipulare contratti con società finanziarie o altri fornitori ICT che non ottemperino al regolamento DORA.

Condivisione delle informazioni

Le entità finanziarie sono tenute a stabilire processi di apprendimento basati sugli incidenti ICT sia interni sia esterni. A tal fine, il regolamento DORA incoraggia le entità a partecipare ad accordi volontari di condivisione in materia di threat intelligence. Tutte le informazioni condivise in questo modo devono comunque essere protette secondo le linee guida pertinenti, ad esempio le informazioni di identificazione personale sono pur sempre soggette alle considerazioni del Regolamento generale sulla protezione dei dati.