Dal 17 gennaio 2025 è diventato operativo il nuovo Regolamento EU 2022/2554, conosciuto come DORA, dunque “Digital Operational Resilience Act”. Si tratta di una normativa che ha come obiettivo quello di migliorare la sicurezza digitale nell’ambito del settore finanziario europeo.
Il regolamento è entrato in vigore ufficialmente il 16 gennaio del 2023, ma gli Enti hanno avuto 24 mesi di tempo per adattarsi alle nuove regole. Infatti, sono state istituite sanzioni severe in caso di inadempimento.
Chi coinvolge
Il nuovo Regolamento coinvolge diverse categorie di operatori finanziari, tra cui banche, società di investimento, compagnie assicurative, fornitori di servizi relative alle criptovalute, piattaforme di crowdfunding e fornitori terzi di servizi ICT (ossia delle tecnologie dell’informazione e della comunicazione).
Cosa comporta
I loro principali obblighi sono legati ad esempio alla gestione dei rischi ICT, attraverso l’implementazione e lo sviluppo di piani di emergenza e test periodici, che saranno svolti regolarmente per valutare la resilienza a situazioni critiche. Inoltre, è necessario attuare misure interne di governance e controllo, come designare un responsabile ICT interno all’organizzazione o la creazione di un comitato di governance che monitora le attività ICT. Infatti, è importante predisporre di un chiaro quadro e ben documentato per la gestione dei rischi, che comprenda le strategie, le politiche e le modalità che verranno adottate per rispondere efficientemente e celermente a tutte le situazioni di rischio.
Un secondo obbligo è quello di monitorare i fornitori terzi ICT tramite una gestione attenta dei contratti con un registro dettagliato dei servizi offerti e la due diligence per assicurare l’affidabilità dei partner. Questo significa adottare un processo di valutazione approfondita dei fornitori, analizzando dettagliatamente i rischi operativi, finanziari, legali e tecnologici associati ad essi. Questo è rilevante anche per quanto riguarda la conformità normativa, dunque la classificazione e la documentazione di tutte le funzioni, i ruoli e le responsabilità all’interno delle aziende che trattano con le ICT.
Inoltre, è necessaria la segnalazione immediata degli incidenti ICT alle autorità competenti. A ciò si aggiunge, come menzionato in precedenza, che è obbligatorio conformarsi ad alcuni criteri che riescono a classificare i diversi tipi di rischi ed a standardizzare i processi di comunicazione in Europa, così da comunicare i principali incidenti connessi alle ICT ai clienti, alle controparti e al pubblico.
Infine, le entità finanziarie dovranno effettuare dei test di penetrazione guidati da minacce, Threat Based Penetration Testing (TLPT), ossia delle simulazioni di attacchi informatici per valutare la sicurezza dei sistemi e misurare l’efficacia delle contromisure. Questi test dovranno essere effettuati almeno ogni tre anni, in base al profilo di rischio delle entità finanziarie, e saranno svolti esclusivamente da soggetti incaricati dello svolgimento dei test certificati, in possesso di competenze e idoneità necessarie e coperti dall’assicurazione di responsabilità professionale.
Dalla grande crisi finanziaria del 2008, sono state applicate diverse riforme che hanno rafforzato la stabilità finanziaria del settore. Tuttavia, la crescente dipendenza verso i terzi da parte degli enti finanziaria, sebbene sia vantaggiosa per certi aspetti, potrebbe aumentare il rischio operativo e la probabilità di una cattiva gestione.
In conclusione, il Regolamento europeo DORA rappresenta un passo fondamentale verso il rafforzamento della resilienza digitale del settore finanziario europeo. Le sue disposizioni mirano a garantire che le istituzioni finanziare siano adeguatamente preparate a gestire i rischi legati alle tecnologie dell’informazione e della comunicazione, riducendo le vulnerabilità e migliorando la protezione contro gli attacchi informatici e le interruzioni dei servizi. Sebbene l’adozione di queste misure comporti sfide e investimenti per le entità coinvolte, la creazione di un quadro normativo chiaro e coerente contribuisce a proteggere l’intero sistema finanziario europeo, aumentando la fiducia degli utenti e garantendo una maggiore stabilità operativa. Le sanzioni in caso di inadempimento sottolineano l’importanza di conformarsi ai nuovi standard, mentre l’approccio proattivo nella gestione dei rischi ICT e la cooperazione con i fornitori terzi sono essenziali per assicurare una protezione a lungo termine contro i rischi digitali emergenti.
Fonti: https://european-union.europa.eu/index_en , https://www2.deloitte.com/cz/cs.html , https://www.lospecialegiornale.it/
Thanks for sharing. I read many of your blog posts, cool, your blog is very good.
Can you be more specific about the content of your article? After reading it, I still have some doubts. Hope you can help me.