Approvato il Regolamento DORA: nuovi obblighi di cybersecurity per banche, assicurazioni e finanziarie

Dopo l’approvazione della Direttiva NIS2, il Parlamento UE ha approvato il 10 novembre 2022 anche il Regolamento DORA (Digital Operational Resilience Act), che ha l’ambizioso obiettivo di consolidare e armonizzare a livello europeo i principali requisiti di cybersecurity con riferimento alla resilienza operativa digitale nel settore finanziario per società come banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori.

Il Regolamento DORA si inserisce in un più ampio pacchetto europeo di misure strategiche per il fintech (che include una proposta di regolamento sui mercati delle cripto-attività, MiCA, e una sulla tecnologia di registro distribuito, DLT) e vuole assicurare che le imprese del settore siano in grado di affrontare attacchi informatici e perturbazioni operative, attraverso l’implementazione di misure di governance, cybersecurity e ICT risk management e incident reporting.

1. Obiettivi, ambito e termine per l’applicazione del Regolamento DORA

Perché un regolamento? Negli ultimi dieci anni, l’utilizzo di tecnologie dell’informazione e comunicazione (ICT) ha rivoluzionato il settore finanziario e acquisito un ruolo centrale nella sua operatività quotidiana. La trasformazione digitale non è però stata accompagnata da un’adeguata consapevolezza e gestione dei rischi informatici a cui il settore diventa sempre più esposto. Le previsioni in materia di cybersecurity sono rimaste finora sparse in diversi atti dell’UE, non sempre tra loro coerenti e differenziate a livello nazionale.

La crescita e gravità dei cyberattacchi, il pericolo di conseguenze sistemiche e le lacune del quadro normativo esistente hanno portato al concepimento del Regolamento DORA ora approvato, che si prefigge di regolare in maniera uniforme la “resilienza operativa” nel settore finanziario in UE. L’obiettivo è quindi imporre l’adozione di requisiti di cybersecurity standardizzati, necessari a garantire che le entità finanziarie che operano in Europa siano poste nelle condizioni di prevenire, resistere e reagire alle minacce informatiche di cui potrebbero essere bersaglio. A tal fine, il Regolamento DORA introduce un corpus armonizzato di misure di cybersicurezza tecnico-organizzative volte ad abilitare e sostenere il potenziale innovativo della finanza digitale mitigando, al contempo, i rischi che derivano dall’innovazione tecnologica.

A chi si applica? La portata del Regolamento DORA è molto ampia e impatterà quasi tutti gli operatori del settore finanziario. Si applicherà infatti non solo a enti finanziari di stampo “tradizionale” (per esempio, banche, imprese di investimento e assicurazioni), ma anche ai “nuovi attori” del mercato quali aziende di servizi di cripto-asset e fornitori critici di servizi ICT (e.g. fornitori di servizi cloud). Inoltre, il Regolamento DORA approvato si applica anche ai fornitori critici di servizi alle aziende sopra indicate.

Quando sarà operativo? Gli operatori interessati potranno beneficiare di un grace period di 24 mesi a partire dalla data di entrata in vigore del Regolamento DORA per attuare tutti gli adempimenti necessari da un punto di vista tecnico-organizzativo per conformarsi alla normativa in oggetto.

2. I pilastri di cybersecurity del Regolamento DORA approvato

Il Regolamento DORA può essere sintetizzato in tre pilastri principali:

i) Governance e organizzazione interna (Art. 5)

Le entità finanziarie dovranno dotarsi di una governance di cybersecurity interna e di un quadro di controllo tali da garantire una gestione efficace e prudente di tutti i rischi ICT, al fine di raggiungere un elevato livello di resilienza operativa digitale. In particolare, occorrerà attribuire una serie definita di compiti all’organo di gestione dell’ente finanziario, che rimane il principale responsabile della gestione complessiva dei rischi ICT.

ii) Risk management (Artt. 6-16)

Le entità finanziarie dovranno disporre di un quadro di gestione del cyber rischio solido, completo e ben documentato come parte del loro sistema complessivo di gestione del rischio. Tra le altre cose, gli operatori dovranno avere cura di:

  • utilizzare strumenti e sistemi di ICT resilienti, tali da ridurre al minimo l’impatto dei relativi rischi;
  • identificare prontamente tutte le fonti di rischio e implementare meccanismi in grado di rilevare attività anomale; e
  • adottare procedure interne e misure di protezione e prevenzione.

Il Regolamento DORA introduce alcune semplificazioni per imprese esentate dagli obblighi rafforzati (es. piccole imprese di investimento non interconnesse), che non escludono però l’implementazione di basilari misure di mappature e gestione del rischio ICT.

iii) Incident management e reporting (Artt. 17-23)

Numerose sono le previsioni introdotte in materia di gestione degli incidenti legati ai servizi ICT. Infatti, le entità finanziare dovranno:

  • prevedere e implementare politiche di continuità operativa e sistemi e piani di ripristino in caso di disastro relativo alle ICT, quale conseguenza ad esempio di un cyberattacco;
  • dotarsi di capacità e personale idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le possibili conseguenze sulla loro resilienza operativa digitale;
  • prevedere piani di comunicazione nei confronti dei vari stakeholder.

Per quanto concerne, invece, la segnalazione degli incidenti connessi, le entità finanziarie dovranno stabilire e attuare un processo di gestione per monitorare e registrare gli incidenti connessi alle ICT, per classificarli e determinarne l’impatto e segnalarli, tramite una relazione, alle autorità competenti se ritenuti gravi.

iv) Fornitori terzi di servizi ICT (Artt. 28-44)

Al fine di mitigare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori terzi di servizi, è previsto il conferimento alle autorità di vigilanza finanziaria di specifici poteri di sorveglianza.

Pertanto, oltre a prevedere un quadro di sorveglianza a livello europeo per i fornitori terzi di servizi ICT critici, saranno armonizzati gli aspetti contrattuali chiave (stipula, esecuzione, fase post-contrattuale) per garantire che le società finanziarie monitorino i cyber rischi di terzi. Inoltre, al fine di garantire l’adeguato monitoraggio dei fornitori di servizi tecnologici che assolvono una funzione critica per il funzionamento del settore finanziario, per ciascun fornitore terzo di servizi ICT critico sarà definita una autorità di sorveglianza “capofila”.

Quindi il Regolamento DORA è particolarmente oneroso anche per i fornitori di servizi critici a queste aziende.

3. Principali conseguenze per gli operatori e prossimi passi

È importante tenere presente che, per l’applicazione dei requisiti sopra riportati, il Regolamento DORA approvato rimanda al principio di proporzionalità (Art. 4) e quindi, secondo una logica ormai consolidata e presente in numerose altre normative (prima fra tutte, ad esempio, il GDPR), rimette al singolo soggetto, l’onere di valutare e dimostrare il corretto livello dei requisiti che devono essere implementati.

Come prepararsi al Regolamento DORA?

Sarà fondamentale per tutte le entità finanziarie adottare un approccio proattivo e consapevole, attraverso lo svolgimento di attività preparatorie che consentano di determinare l’effettivo impatto di DORA sulla propria organizzazione e di non trovarsi quindi impreparate al momento della sua applicazione. Tra queste, in particolare, sarà opportuno per gli operatori:

  1. Gap analysis dell’ICT risk management framework: revisionare la struttura di governance interna e le misure di gestione dei rischi e incidenti ICT già adottate, per verificare la consapevolezza aziendale rispetto al nuovo impianto normativo e valutare se le risorse, le strategie e i piani di risposta e di ripristino in essere rispondano adeguatamente ai requisiti normativi. In caso contrario, occorrerà prevedere piani di aggiornamento e adeguamento.
  2. Revisione dei meccanismi di incident reporting: valutare le capacità e la reattività dell’azienda in ambito di reportistica, e di conseguenza implementare da zero o adeguare le esistenti procedure di segnalazione degli incidenti, al fine di garantire un allineamento con i nuovi requisiti normativi.
  3. Valutazione dei fornitori critici di servizi ICT e rinegoziazione dei contratti: mappare i contratti con i fornitori terzi di ICT, valutandone la criticità rispetto all’operatività del business, revisionando e documentando le loro vulnerabilità per permettere la pianificazione di adeguate strategia di contenimento del rischio e rinegoziando gli obblighi delle parti per renderli conformi a quanto previsto dal regolamento.

A loro volta, i fornitori di servizi ICT dovranno valutare la propria appartenenza alla categoria dei fornitori definiti “critici” e, in caso positivo, analizzare le azioni da intraprendere per soddisfare le nuove esigenze di supervisione da parte delle Autorità europee di Vigilanza (ABE, EIOPA, ESMA).

Infine, sarà importante per tutti gli operatori del mercato monitorare le posizioni e le indicazioni che saranno adottate dalle Autorità europee di Vigilanza, tra cui, in particolare, la definizione dei criteri in base ai quali determinate imprese saranno tenute a effettuare c.d. “threat led penetration test” almeno una volta ogni tre anni.

E’ probabile che diverse organizzazioni dovranno gestire in contemporanea le attività necessarie a conformarsi con gli obblighi di cui alla Direttiva NIS, la Regolamento DORA e al Cyber Resilience Act, insieme le attività necessarie a conformarsi con la normativa locale in materia del perimetro di sicurezza cibernetica.  A tal fine, sarà fondamentale una adeguata programmazione per evitare lo spreco di risorse o lo svolgimento di attività superficiali che non garantiscono una compliance.

A tale fine, potrebbero essere di interesse i seguenti articoli “La Direttiva NIS2 approvata – novità in materia cybersecurity per un numero sempre maggiore di società”, “Quale responsabilità degli amministratori per un cyberattacco a danno della società?” e “Cyber Resilience Act: novità in tema di sicurezza informatica per i prodotti digitali IoT”.

Autrici: Maria Chiari Meneghetti e Giorgia Carneri