L’entrata in vigore del Regolamento DORA rappresenta una svolta per la cybersecurity nel settore finanziario.
La pubblicazione della Direttiva NIS2 è stata solo l’inizio! Il Regolamento DORA (Digital Operational Resilience Act) è stato ufficialmente pubblicato sulla Gazzetta Ufficiale ed è ora in vigore, con l’ambizioso obiettivo di rafforzare e armonizzare a livello europeo i principali requisiti di cybersecurity per le società finanziarie come banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori.
Il Regolamento DORA fa parte di un pacchetto di misure strategiche per il fintech più ampio (che include anche una proposta di regolamento sui mercati delle cripto-attività, MiCA, e una sulla tecnologia di registro distribuito, DLT) e mira a garantire che le imprese del settore siano in grado di affrontare gli attacchi informatici e le perturbazioni operative attraverso l’implementazione di misure di governance, cybersecurity e gestione del rischio ICT e segnalazione degli incidenti.
Di seguito una analisi delle previsioni più rilevanti del regolamento DORA sulla cybersecurity.
1. Obiettivi, ambito e termine per l’applicazione del Regolamento DORA
Perché un regolamento? Negli ultimi dieci anni, l’utilizzo di tecnologie dell’informazione e comunicazione (ICT) ha rivoluzionato il settore finanziario e acquisito un ruolo centrale nella sua operatività quotidiana. La trasformazione digitale non è però stata accompagnata da un’adeguata consapevolezza e gestione dei rischi informatici a cui il settore diventa sempre più esposto. Le previsioni in materia di cybersecurity sono rimaste finora sparse in diversi atti dell’UE, non sempre tra loro coerenti e differenziate a livello nazionale.
La crescita e gravità dei cyberattacchi, il pericolo di conseguenze sistemiche e le lacune del quadro normativo esistente hanno portato al concepimento del Regolamento DORA ora approvato, che si prefigge di regolare in maniera uniforme la “resilienza operativa” nel settore finanziario in UE. L’obiettivo è quindi imporre l’adozione di requisiti di cybersecurity standardizzati, necessari a garantire che le entità finanziarie che operano in Europa siano poste nelle condizioni di prevenire, resistere e reagire alle minacce informatiche di cui potrebbero essere bersaglio. A tal fine, il Regolamento DORA introduce un corpus armonizzato di misure di cybersicurezza tecnico-organizzative volte ad abilitare e sostenere il potenziale innovativo della finanza digitale mitigando, al contempo, i rischi che derivano dall’innovazione tecnologica.
A chi si applica? La portata del Regolamento DORA è molto ampia e impatterà quasi tutti gli operatori del settore finanziario. Si applicherà infatti non solo a enti finanziari di stampo “tradizionale” (per esempio, banche, imprese di investimento e assicurazioni), ma anche ai “nuovi attori” del mercato quali aziende di servizi di cripto-asset e fornitori critici di servizi ICT (e.g. fornitori di servizi cloud). Inoltre, il Regolamento DORA approvato si applica anche ai fornitori critici di servizi alle aziende sopra indicate.
Quando sarà operativo? Gli operatori interessati potranno beneficiare di un grace period di 24 mesi a partire dalla data di entrata in vigore del Regolamento DORA per attuare tutti gli adempimenti necessari da un punto di vista tecnico-organizzativo per conformarsi alla normativa in oggetto.
2. I pilastri di cybersecurity del Regolamento DORA approvato
Il Regolamento DORA può essere sintetizzato in tre pilastri principali:
i) Governance e organizzazione interna (Art. 5)
Le entità finanziarie dovranno dotarsi di una governance di cybersecurity interna e di un quadro di controllo tali da garantire una gestione efficace e prudente di tutti i rischi ICT, al fine di raggiungere un elevato livello di resilienza operativa digitale. In particolare, occorrerà attribuire una serie definita di compiti all’organo di gestione dell’ente finanziario, che rimane il principale responsabile della gestione complessiva dei rischi ICT.
ii) Risk management (Artt. 6-16)
Le entità finanziarie dovranno disporre di un quadro di gestione del cyber rischio solido, completo e ben documentato come parte del loro sistema complessivo di gestione del rischio. Tra le altre cose, gli operatori dovranno avere cura di:
- utilizzare strumenti e sistemi di ICT resilienti, tali da ridurre al minimo l’impatto dei relativi rischi;
- identificare prontamente tutte le fonti di rischio e implementare meccanismi in grado di rilevare attività anomale; e
- adottare procedure interne e misure di protezione e prevenzione.
Il Regolamento DORA introduce alcune semplificazioni per imprese esentate dagli obblighi rafforzati (es. piccole imprese di investimento non interconnesse), che non escludono però l’implementazione di basilari misure di mappature e gestione del rischio ICT.
iii) Incident management e reporting (Artt. 17-23)
Numerose sono le previsioni introdotte in materia di gestione degli incidenti legati ai servizi ICT. Infatti, le entità finanziare dovranno:
- prevedere e implementare politiche di continuità operativa e sistemi e piani di ripristino in caso di disastro relativo alle ICT, quale conseguenza ad esempio di un cyberattacco;
- dotarsi di capacità e personale idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le possibili conseguenze sulla loro resilienza operativa digitale;
- prevedere piani di comunicazione nei confronti dei vari stakeholder.
Per quanto concerne, invece, la segnalazione degli incidenti connessi, le entità finanziarie dovranno stabilire e attuare un processo di gestione per monitorare e registrare gli incidenti connessi alle ICT, per classificarli e determinarne l’impatto e segnalarli, tramite una relazione, alle autorità competenti se ritenuti gravi.
iv) Fornitori terzi di servizi ICT (Artt. 28-44)
Al fine di mitigare i rischi derivanti dalla dipendenza delle entità finanziarie da fornitori terzi di servizi, è previsto il conferimento alle autorità di vigilanza finanziaria di specifici poteri di sorveglianza.
Pertanto, oltre a prevedere un quadro di sorveglianza a livello europeo per i fornitori terzi di servizi ICT critici, saranno armonizzati gli aspetti contrattuali chiave (stipula, esecuzione, fase post-contrattuale) per garantire che le società finanziarie monitorino i cyber rischi di terzi. Inoltre, al fine di garantire l’adeguato monitoraggio dei fornitori di servizi tecnologici che assolvono una funzione critica per il funzionamento del settore finanziario, per ciascun fornitore terzo di servizi ICT critico sarà definita una autorità di sorveglianza “capofila”.
Quindi il Regolamento DORA è particolarmente oneroso anche per i fornitori di servizi critici a queste aziende.
3. Principali conseguenze per gli operatori e prossimi passi
È importante tenere presente che, per l’applicazione dei requisiti sopra riportati, il Regolamento DORA approvato rimanda al principio di proporzionalità (Art. 4) e quindi, secondo una logica ormai consolidata e presente in numerose altre normative (prima fra tutte, ad esempio, il GDPR), rimette al singolo soggetto, l’onere di valutare e dimostrare il corretto livello dei requisiti che devono essere implementati.
Come prepararsi al Regolamento DORA?
Sarà fondamentale per tutte le entità finanziarie adottare un approccio proattivo e consapevole, attraverso lo svolgimento di attività preparatorie che consentano di determinare l’effettivo impatto di DORA sulla propria organizzazione e di non trovarsi quindi impreparate al momento della sua applicazione. Tra queste, in particolare, sarà opportuno per gli operatori:
- Gap analysis dell’ICT risk management framework: revisionare la struttura di governance interna e le misure di gestione dei rischi e incidenti ICT già adottate, per verificare la consapevolezza aziendale rispetto al nuovo impianto normativo e valutare se le risorse, le strategie e i piani di risposta e di ripristino in essere rispondano adeguatamente ai requisiti normativi. In caso contrario, occorrerà prevedere piani di aggiornamento e adeguamento.
- Revisione dei meccanismi di incident reporting: valutare le capacità e la reattività dell’azienda in ambito di reportistica, e di conseguenza implementare da zero o adeguare le esistenti procedure di segnalazione degli incidenti, al fine di garantire un allineamento con i nuovi requisiti normativi.
- Valutazione dei fornitori critici di servizi ICT e rinegoziazione dei contratti: mappare i contratti con i fornitori terzi di ICT, valutandone la criticità rispetto all’operatività del business, revisionando e documentando le loro vulnerabilità per permettere la pianificazione di adeguate strategia di contenimento del rischio e rinegoziando gli obblighi delle parti per renderli conformi a quanto previsto dal regolamento.
A loro volta, i fornitori di servizi ICT dovranno valutare la propria appartenenza alla categoria dei fornitori definiti “critici” e, in caso positivo, analizzare le azioni da intraprendere per soddisfare le nuove esigenze di supervisione da parte delle Autorità europee di Vigilanza (ABE, EIOPA, ESMA).
Infine, sarà importante per tutti gli operatori del mercato monitorare le posizioni e le indicazioni che saranno adottate dalle Autorità europee di Vigilanza, tra cui, in particolare, la definizione dei criteri in base ai quali determinate imprese saranno tenute a effettuare c.d. “threat led penetration test” almeno una volta ogni tre anni.
E’ probabile che diverse organizzazioni dovranno gestire in contemporanea le attività necessarie a conformarsi con gli obblighi di cui alla Direttiva NIS, la Regolamento DORA e al Cyber Resilience Act, insieme le attività necessarie a conformarsi con la normativa locale in materia del perimetro di sicurezza cibernetica. A tal fine, sarà fondamentale una adeguata programmazione per evitare lo spreco di risorse o lo svolgimento di attività superficiali che non garantiscono una compliance.
Le tempistiche del Regolamento DORA
Il regolamento DORA è entrato in vigore il 17 gennaio 2023, ma diventerà vincolante a decorrere dal 17 gennaio 2025. Nel mentre il quadro giuridico dovrà essere completato da standard tecnici regolatori che dovranno essere sviluppati da ESMA e saranno finalizzati al più tardi ad inizio 2024. La tempistica sembra lunga, ma in organizzazioni complesse può apparire decisamente limitata.
Per supportare le aziende, DLA Piper ha sviluppato insieme con un partner tecnologico, un tool di legal tech di analisi del livello di compliance ai requisiti del regolamento e una metodologia per la messa in conformità con lo stesso. Se volete maggiori informazioni, potete contattare Giulio Coraggio.
Autrici: Maria Chiari Meneghetti e Giorgia Carneri