HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Regolamento DORA: quali novità ci attendono?

Regolamento DORA: quali novità ci attendono?

PrintMailRate-it

Ultimo aggiornamento del 31.01.2023 | Tempo di lettura ca. 7 minuti


In data 16 gennaio 2023 è entrato formalmente in vigore il Regolamento (UE) 2022/2554 (Digital Operational Resilience Act, di seguito “Regolamento DORA”). Il nuovo Regolamento, a far data dal 17 gennaio 2025, vincolerà le imprese finanziarie interessate e i rispettivi fornitori di natura critica al rispetto di una serie di requisiti di sicurezza informatica e di resilienza. 

Nello specifico, il documento ha l’obiettivo di:
  • rafforzare e armonizzare a livello europeo i principali requisiti di cybersecurity per i soggetti operanti nell’ambito finanziario e assicurativo;
  • armonizzare i requisiti di rischio delle tecnologie dell'informazione e della comunicazione (di seguito, “tecnologie ICT”) in tutta l’Unione Europea, creando un approccio comune in tutto il settore dei servizi finanziari;
  • garantire che tutti i soggetti interessati dispongano di idonee garanzie per mitigare eventuali attacchi informatici e altri rischi cyber, attraverso l’implementazione di misure di governance, gestione del rischio del tecnologie ICT e segnalazione degli incidenti.

L’entrata in vigore del Regolamento DORA si inserisce peraltro in un più ampio quadro di produzione normativa europea, che comprende in tal senso anche la pubblicazione – avvenuta in data 27 dicembre 2022 – della Direttiva (UE) 2022/2555 (di seguito, “Direttiva NIS 2”) e della Direttiva (UE) 2022/2557 (di seguito, “Direttiva CER”). 

Le tre normative compongono un framework europeo avente l’obiettivo di rafforzare la capacità resiliente delle imprese europee all’interno del contesto cyber. 

In particolare, per quel che concerne il rapporto tra il Regolamento DORA e la Direttiva NIS 2, è importante comprendere quale delle due fonti trovi applicazione laddove un’impresa rientri nel campo applicativo di entrambe. Sul punto, sei segnala quanto previsto dall’art. 4 della Direttiva NIS2, secondo cui “qualora gli atti giuridici settoriali dell'Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cybersicurezza o di notificare gli incidenti significativi, nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, a tali soggetti non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all'esecuzione di cui al capo VII. 

Qualora gli atti giuridici settoriali dell'Unione non contemplino tutti i soggetti di un settore specifico che rientra nell'ambito di applicazione della presente direttiva, le pertinenti disposizioni della presente direttiva continuano ad applicarsi ai soggetti non contemplati da tali atti giuridici settoriali dell’Unione”.

Contesto

Il Regolamento DORA ha una portata applicativa molto ampia. Nel dettaglio, esso si applicherà a circa 22.000 società rientranti nell’ambito della fornitura dei servizi finanziari, sia tradizionali – come ad esempio sono gli istituti di pagamento e le imprese di assicurazione – che non – come, ad esempio, sono i fornitori di servizi cripto e i fornitori di servizi ICT.

In particolare, l’individuazione dei fornitori di servizi ICT è demandata alle Autorità di vigilanza dei mercati finanziari dell’Unione Europea, che sono chiamate a individuare le categorie applicative sulla base dei criteri individuati dall’art. 31 del Regolamento DORA. Fra questi – a titolo esemplificativo e non esaustivo – si richiamano:
  • l’impatto sistemico sulla stabilità, la continuità o la qualità della fornitura di servizi finanziari;
  • il carattere sistemico della fornitura di servizi essenziali o l’importanza delle entità finanziarie che dipendono dal fornitore terzo di servizi ICT.

Adempimenti previsti 

Una volta divenuto vincolante, il Regolamento DORA richiederà a tutti i soggetti interessati l’adozione di determinate misure tecniche ed organizzative.

In particolare, le istituzioni finanziarie coinvolte sono chiamate in primis ad adottare un processo di gestione dei rischi connessi alle tecnologie ICT, con l’obiettivo di individuare i rischi informatici in via preventiva e ridurre al minimo l’impatto degli incidenti cyber. 

Tale onere viene posto in capo all’organo di gestione dell’impresa, che è chiamato ad assumersi “piena e ultima responsabilità” per:
  • la gestione dei rischi ICT;
  • la definizione e l’approvazione della strategia di resilienza operativa digitale;
  • la revisione e l’approvazione della politica aziendale sull’ingaggio di fornitori terzi per i servizi ICT. 


Più nel dettaglio, l’approccio di risk assessment richiamato contempla:

  • l’individuazione di requisiti per l’armonizzazione del processo di gestione del rischio delle tecnologie ICT, con una visione end-to-end dei processi aziendali;
  • la creazione di un ICT Risk Management Framework;
  • la definizione di una strategia resiliente in ambito di Disaster Recovery e Business Continuity.


I soggetti finanziari interessati dovranno essere in grado altresì di classificare le minacce informatiche e gli incidenti cyber connessi ai fornitori di tecnologie ICT, alla luce di una serie di criteri elaborati dal Regolamento DORA, fra i quali – a titolo esemplificativo e non esaustivo – si citano:

  • il numero e/o la rilevanza di clienti o controparti finanziarie interessati;
  • la durata dell’incidente connesso alle tecnologie ICT;
  • le perdite di dati derivanti dall’incidente connesso alle tecnologie ICT, per quanto riguarda la disponibilità, autenticità, integrità e riservatezza dei dati.

Questa attività di classificazione deve essere condotta attraverso la predisposizione di procedure interne in grado di identificare, registrare e categorizzare gli incidenti in base al grado di priorità, gravità e criticità dei servizi colpiti, assegnando in tal senso i ruoli e responsabilità al personale interno ed elaborando piani di comunicazione per gli stakeholders interessati (ivi compresi, in particolare, i membri del Consiglio di Amministrazione societario).
 
Le operazioni di classificazione e tracciamento menzionate, peraltro, sono funzionali all’implementazione di un sistema di segnalazione degli incidenti informatici nei confronti delle Autorità competenti individuate all’art. 46 del Regolamento DORA. Sul punto, la disciplina prevede:
  • una notifica – su base volontaria – delle “minacce informatiche significative”, ossia di tutti quegli eventi che i soggetti finanziari interessati valutano come rilevanti per il sistema finanziario, per gli utenti dei servizi e per i clienti;
  • una segnalazione degli incidenti di sicurezza connessi alle tecnologie ICT di natura particolarmente grave, entro i termini che verranno individuati a norma dell’art. 20, comma 1, lett. a), punto ii) del Regolamento DORA. 

Nel contesto dell’attività di gestione del rischio legato all’utilizzo delle tecnologie ICT, il Regolamento DORA prevede anche una serie di adempimenti verso i fornitori terzi di servizi ICT. 

In particolare, viene richiesta  l’identificazione, la classificazione e la documentazione di tutti i processi dipendenti da fornitori terzi di servizi ICT, nonché la previsione di obblighi contrattuali che garantiscano un adeguato monitoraggio delle attività svolte da parte dei suddetti fornitori sui servizi tecnologici che ricoprono una funzione critica per il servizio erogato dal soggetto finanziario interessato.

Altresì, per favorire l’information sharing, il Regolamento DORA – all’art. 45 – istituisce un programma su base volontaria per la condivisione di informazioni rilevanti in ambito di cyber threat intelligence tra gli attori finanziari. L’obiettivo è quello di favorire la prevenzione delle nuove minacce e ridurre gli impatti negativi, rafforzando il grado di risposta e resilienza dell’intero ecosistema.

In ultima battuta, i soggetti finanziari interessati dovranno testare regolarmente la propria resilienza operativa. Nello specifico, Il Regolamento DORA prevede lo svolgimento obbligatorio di test periodici delle minacce fondati sul processo di Threat Led Penetration Testing. L’attività di verifica dovrà essere svolta mediante un approccio risk based alla luce delle dimensioni, della tipologia di attività e del profilo di rischio del singolo soggetto finanziario coinvolto. 

Le sanzioni

Dal punto di vista sanzionatorio, la specifica individuazione dei criteri di calcolo delle sanzioni è demandata alle Autorità competenti. Pertanto, per comprenderne con precisione la portata, sarà necessario monitorare le indicazioni che saranno fornite dalle Autorità europee di Vigilanza nel corso dei prossimi mesi. 

Cosa aspettarsi

È importante tenere presente che, per l’attuazione dei requisiti di cui sopra, il Regolamento DORA prevede l’applicazione di un criterio di proporzionalità (cfr. art. 4 Regolamento DORA).

In tal senso, molti dei nuovi requisiti del Regolamento DORA richiederanno l’adozione di un approccio proattivo e informato, che contempli lo svolgimento di una serie di attività. Pertanto, è raccomandabile:
  • adottare pratiche di governance del rischio ICT, compresa l'identificazione delle funzioni “critiche o importanti”;
  • ri-verificare i meccanismi di segnalazione degli incidenti; 
  • valutare i fornitori di servizi ICT critici e ri-negoziare i relativi accordi contrattuali;
  • accertare le competenze e le capacità necessarie per la definizione e gestione dei test di resilienza;
  • predisporre un piano di risposta agli incidenti, comprensivo di una descrizione dettagliata di ciò che costituisce un attacco informatico;
  • predisporre un programma di cybersecurity che includa una valutazione dei rischi determinati dagli attacchi informatici, con relativo piano di mitigazione;
  • implementare adeguati controlli di sicurezza sulla propria infrastruttura digitale (attraverso l’applicazione di una serie di misure tecniche, come ad esempio la crittografia, l’autenticazione multi-fattore, il controllo degli accessi, lo svolgimento di audit, l’implementazione di sistemi di monitoraggio, di gestione degli eventi e di piani di risposta agli incidenti);
  • adottare un adeguato piano di Business Continuity e di Disaster Recovery.

dalla newsletter
Legal Newsletter

autore

Contact Person Picture

Nadia Martini

Avvocato

Partner

+39 02 6328 841

Invia richiesta

Profilo

Contact Person Picture

Tommaso Mauri

Avvocato

Associate

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu