Home
topics
Legge sulla resilienza operativa digitale
Il Digital Operational Resilience Act, o DORA, è un regolamento dell'Unione Europea (UE) che stabilisce un framework vincolante e completo relativo alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell'UE.
Il regolamento DORA stabilisce gli standard tecnici che le entità finanziarie e i loro fornitori critici di servizi tecnologici di terze parti devono implementare nei propri sistemi ICT entro il 17 gennaio 2025.
Scopri come applicare la governance e la privacy dei dati su larga scala con gli standard a livello di organizzazione e le funzionalità di data lineage.
Il regolamento DORA ha due obiettivi principali: affrontare compiutamente la gestione del rischio ICT nel settore dei servizi finanziari e armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell'UE.
Prima del regolamento DORA, le norme sulla gestione del rischio per le istituzioni finanziarie nell'UE si concentravano principalmente sulla necessità di assicurare che le imprese avessero capitale sufficiente per coprire i rischi operativi. Sebbene alcuni enti regolatori dell'UE avessero rilasciato delle linee guida sull'ICT e la gestione dei rischi per la sicurezza, tali linee guida non si applicavano in egual misura a tutte le entità finanziarie e spesso si basavano su principi generali anziché su specifici standard tecnici. In assenza di norme per la gestione dei rischi relative all'ICT a livello UE, gli stati membri dell'UE avevano emanato i propri requisiti. Questo insieme di normative si è rivelato complesso da gestire per le entità finanziarie.
Con il regolamento DORA, l'UE mira a stabilire un framework universale per la gestione e la mitigazione del rischio ICT nel settore finanziario. Lo scopo è eliminare le lacune, le sovrapposizioni e i conflitti che potrebbero sorgere tra le normative eterogenee nei vari Stati UE armonizzando le regole di gestione del rischio in tutta l’UE. Un insieme condiviso di norme può facilitare la conformità delle entità finanziarie e migliorare al contempo la resilienza dell'intero sistema finanziario europeo, assicurando il rispetto degli stessi standard da parte di tutti gli attori.
Il regolamento DORA si applica a tutte le istituzioni finanziarie dell'UE. Sono incluse entità finanziarie tradizionali, quali banche, società di investimento e istituti di credito, ed entità non tradizionali, come fornitori di asset legati a criptovalute e piattaforme di crowdfunding.
In particolare, il regolamento DORA si applica anche ad alcune entità generalmente escluse dalla regolamentazione finanziaria. Ad esempio, i fornitori di servizi di terze parti che forniscono a ditte finanziarie sistemi e servizi ICT, come fornitori di cloud service e data center, devono soddisfare i requisiti DORA. Sono interessate anche le aziende che forniscono servizi informativi critici di terze parti, quali servizi di rating creditizio e di data analytics.
Questo regolamento è stato proposto per la prima volta nel settembre 2020 dalla Commissione Europea, il ramo esecutivo dell'UE responsabile della funzione legislativa. Fa parte di un più ampio pacchetto finanziario digitale che comprende anche iniziative per la regolamentazione delle criptovalute e il miglioramento della strategia globale dell'UE in materia di finanza digitale. Il Consiglio dell'Unione Europea e il Parlamento Europeo (organismi legislativi responsabili dell'approvazione delle leggi UE) hanno adottato formalmente il regolamento DORA nel novembre 2022. Le entità finanziarie e i fornitori di servizi ICT di terze parti hanno tempo fino al 17 gennaio 2025 per ottemperare ai requisiti DORA prima dell'attuazione.
Sebbene l'UE abbia ufficialmente adottato il regolamento, i dettagli chiave sono ancora in fase di definizione da parte delle autorità europee di vigilanza (ESA). Le ESA sono le autorità di regolamentazione preposte a sorvegliare il sistema finanziario dell’UE e includono l’autorità bancaria europea (EBA), l’autorità europea degli strumenti finanziari e dei mercati e l’autorità europea delle assicurazioni e delle pensioni aziendali e professionali.
Le ESA sono incaricate di redigere gli standard tecnici di regolamentazione e di attuazione che le entità interessate dovranno implementare. La stesura definitiva di tali standard è prevista per il 2024. La Commissione europea sta sviluppando un framework di supervisione per i fornitori ICT critici, che dovrebbe essere finalizzato nel 2024.
Una volta perfezionati gli standard e giunta la scadenza di gennaio 2025, l'applicazione spetterà alle autorità di regolamentazione designate in ciascuno Stato membro dell'UE, vale a dire le "autorità competenti". Queste ultime potranno richiedere alle entità finanziarie di adottare misure di sicurezza specifiche e di correggere le vulnerabilità. Potranno inoltre imporre sanzioni amministrative, e in alcuni casi penali, alle entità inadempienti. Ogni Stato membro deciderà le opportune sanzioni.
I fornitori ICT ritenuti "critici" dalla Commissione Europea saranno controllati direttamente da "organi primari di sorveglianza" appartenenti alle ESA. Al pari delle autorità competenti, gli organi primari di sorveglianza possono richiedere misure di sicurezza e correzione e sanzionare i fornitori ICT non conformi. Il regolamento DORA consente agli organi primari di sorveglianza di imporre sanzioni ai fornitori ICT pari all'1% del loro turnover mondiale medio giornaliero registrato nell'esercizio precedente. Le multe potranno essere comminate giornalmente per un massimo di sei mesi fino al momento in cui il fornitore non avrà raggiunto la piena conformità.
Il DORA stabilisce i requisiti tecnici per le entità finanziarie e i provider ITC in quattro ambiti:
- Gestione del rischio ICT e governance
- Segnalazione e risposta agli incidenti
- Test di resilienza operativa digitale
- Gestione del rischio di terze parti
La condivisione delle informazioni è incoraggiata ma non obbligatoria.
I requisiti saranno applicati in modo proporzionale, vale a dire che le entità minori non saranno tenute a rispettare gli stessi standard delle principali istituzioni finanziarie. Sebbene gli standard tecnici di regolamentazione e di attuazione per ciascun dominio siano ancora in fase di sviluppo, la legislazione DORA esistente offre alcuni insight sui requisiti generali.
Gestione del rischio ICT e governance
Il regolamento DORA attribuisce all'organo amministrativo di un'entità la responsabilità della gestione ICT. I membri del consiglio di amministrazione, i dirigenti e altri senior manager devono definire adeguate strategie di gestione del rischio, contribuire attivamente alla loro attuazione e mantenersi aggiornati sul landscape del rischio ICT. Anch'essi possono essere ritenuti personalmente responsabili per il mancato rispetto delle norme da parte dell'entità di appartenenza.
Le organizzazioni interessate sono tenute a sviluppare framework completi per la gestione del rischio ICT. A tal fine, devono mappare i propri sistemi ICT, identificare e classificare funzioni e asset critici e documentare le dipendenze tra risorse, sistemi, processi e provider. Devono inoltre condurre continue valutazioni del rischio sui propri sistemi ICT, documentare e classificare le minacce informatiche e documentare le misure in atto per mitigare eventuali rischi identificati.
Nell'ambito del processo di valutazione del rischio, le entità devono condurre analisi dell'impatto aziendale per valutare in che modo scenari specifici e interruzioni gravi possano influire sull'attività. I risultati di tali analisi dovrebbero poi essere utilizzati per stabilire i livelli di tolleranza al rischio e aggiornare la progettazione della propria infrastruttura ICT. Le entità saranno inoltre tenute ad adottare adeguate misure di cybersecurity come le politiche per la gestione delle identità e degli accessi e la gestione delle patch, oltre a controlli tecnici quali sistemi di rilevamento e risposta estesi, software per le informazioni sulla sicurezza e gestione degli eventi (SIEM) e strumenti per l'orchestrazione della sicurezza, automazione e risposta (SOAR).
Sarà inoltre necessario per le entità stabilire piani di continuità aziendale e disaster recovery per vari scenari di rischio informatico, quali malfunzionamenti del servizio ICT, disastri naturali e attacchi informatici. Tali piani dovranno includere misure di data backup and recovery, processi di ripristino dei sistemi e piani per comunicare con clienti, partner e autorità interessati.
È imminente la pubblicazione degli standard tecnici di regolamentazione che specificano gli elementi richiesti per il framework di gestione del rischio da parte di un'entità. Gli esperti si aspettano linee guida simili a quelle pubblicate dall'autorità bancaria europea sulla gestione dei rischi ICT e di sicurezza.
Risposta agli incidenti e reportistica
Le entità interessate sono tenute a stabilire sistemi per monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell'incidente, alle entità può essere richiesta la segnalazione sia alle autorità di regolamentazione sia ai clienti e ai partner interessati. Per gli incidenti critici dovranno essere presentati tre diversi tipi di rapporti: un rapporto iniziale di notifica alle autorità, un rapporto intermedio sui progressi compiuti per risolvere l'incidente e un rapporto finale che analizza le cause principali dell'incidente.
Le regole su come classificare gli incidenti, quali incidenti devono essere segnalati e le tempistiche per la segnalazione sono di prossima pubblicazione. Le autorità europee di vigilanza stanno inoltre esplorando modi per semplificare la segnalazione istituendo un hub centrale e modelli di report comuni.
Test di resilienza operativa digitale
Le entità sono tenute a testare regolarmente i propri sistemi ICT per valutarne la forza delle protezioni e identificare le vulnerabilità. I risultati di tali test e i piani per affrontare eventuali debolezze riscontrate verranno poi comunicati alle autorità competenti e da esse convalidati.
Una volta all'anno è richiesta l'esecuzione di alcuni test di base, quali valutazioni delle vulnerabilità e test basati su scenari. Le entità finanziarie ritenute critiche per il sistema dovranno anch'esse sottoporsi ogni tre anni a test di penetrazione basati su minacce (TLPT). A questi test di penetrazione dovranno partecipare pure i fornitori ICT critici per l'entità. Sono imminenti standard tecnici su come dovrebbero essere eseguiti i TLPT, ma è probabile che si allineeranno al framework TIBER-EU per il red teaming etico basato sulla threat intelligence.
Gestione del rischio di terze parti
Un aspetto esclusivo del regolamento DORA è che si applica non soltanto alle entità finanziarie, ma anche ai fornitori ICT che servono il settore finanziario.
Le società finanziarie dovrebbero assumere un ruolo attivo nella gestione del rischio di terze parti in ambito ICT. Nell'esternalizzare funzioni critiche e importanti, saranno tenute a negoziare accordi specifici riguardanti, tra le altre cose, strategie di uscita, audit e obiettivi prestazionali per l’accessibilità, l’integrità e la sicurezza. Alle entità non sarà consentito stipulare contratti con fornitori ICT che non siano in grado di soddisfare tali requisiti. Le autorità competenti avranno il potere di sospendere o risolvere i contratti non conformi. La Commissione Europea sta esplorando la possibilità di elaborare clausole contrattuali standardizzate utili a entità e fornitori ICT per assicurarsi di sottoscrivere accordi conformi al regolamento DORA.
Gli istituti finanziari dovranno inoltre mappare le proprie dipendenze ICT di terze parti e dovranno assicurarsi che le funzioni critiche e importanti non siano troppo concentrate presso un singolo fornitore o un piccolo gruppo di fornitori.
I fornitori di servizi ICT critici di terze parti saranno sottoposti alla supervisione diretta delle autorità europee di vigilanza competenti. La Commissione europea è ancora impegnata a elaborare i criteri per determinare i fornitori critici. A coloro che soddisfano gli standard verrà assegnato come supervisore principale una delle autorità di vigilanza. Oltre a imporre i requisiti DORA ai fornitori critici, tali organi avranno il potere di vietare a questi di stipulare contratti con società finanziarie o altri fornitori ICT che non ottemperino al regolamento DORA.
Condivisione delle informazioni
Le entità finanziarie sono tenute a stabilire processi di apprendimento basati sugli incidenti ICT sia interni sia esterni. A tal fine, il regolamento DORA incoraggia le entità a partecipare ad accordi volontari di condivisione in materia di threat intelligence. Tutte le informazioni condivise in questo modo devono comunque essere protette secondo le linee guida pertinenti, ad esempio le informazioni di identificazione personale sono pur sempre soggette alle considerazioni del Regolamento generale sulla protezione dei dati.
Sfrutta tutta la potenza della tua infrastruttura IT. L'ultima generazione di server, storage e software IBM può aiutarti a modernizzare e scalare le risorse installate on-premise e nel cloud con un hybrid cloud sicuro e l'automazione e gli insight di un'AI attendibile.
Scopri come automazioni AI ad alto impatto possono contribuire a rendere più proattivi i tuoi sistemi IT, efficienti i processi e produttive le risorse umane.
Accelera l'innovazione e al contempo soddisfa le tue esigenze di sicurezza e conformità. IBM Cloud for Financial Services è progettato per aiutare i clienti a mitigare i rischi e accelerare l'adozione del cloud per i workload più sensibili.
Il regolamento DORA riconosce l'evoluzione della natura del rischio e della resilienza nel panorama sempre più digitalizzato dei servizi finanziari dell'UE.
Come ogni impresa progettata per un cambiamento radicale a una certa velocità e a una determinata scala, l'implementazione del regolamento DORA richiederà un'attenzione e un impegno costanti, in particolare a livello di Consiglio di amministrazione e dirigenza.
I Chief Supply Chain Officer che guardano al futuro possono distinguersi dagli omologhi concentrati solo sul presente.