A partire dal 2025, il Regolamento DORA introdurrà specifici obblighi in materia di cybersicurezza in capo a società finanziarie come banche, compagnie di assicurazione e società fintech.
Nel sesto articolo della rubrica CyberItalia, ripercorriamo quindi in pillole i nuovi obblighi previsti dal Regolamento DORA, diretti a rafforzare la resilienza operativa del settore finanziario per assicurare che gli operatori siano in grado di prevenire e affrontare attacchi informatici.
Il Regolamento DORA (Regolamento (UE) 2022/2554, “Digital Resilience Operational Act”) fa parte del pacchetto normativo UE sulla finanza digitale che mira a rafforzare la “resilienza operativa” nel settore finanziario in UE, imponendo l’adozione di requisiti di cybersecurity standardizzati, necessari a garantire che le entità finanziarie che operano in Europa siano poste nelle condizioni di prevenire, resistere e reagire alle minacce informatiche di cui potrebbero essere bersaglio.
Si tratta quindi di un Regolamento settoriale che trova applicazione ai soli operatori del settore finanziario e per questo normativa speciali rispetto agli obblighi a cui i medesimi soggetti sono tenuti ai sensi delle altre normative (es. NIS 2).
Quando? Adottato il 14 dicembre 2022, sarà direttamente applicabile negli Stati membri – senza necessità di recepimento – a partire dal 17 gennaio 2025.
A chi si rivolge? La portata del Regolamento DORA è molto ampia e troverà applicazione nei confronti di:
- Enti finanziari di stampo “tradizionale” (per esempio, banche, imprese di investimento e assicurazioni);
- Nuovi attori del settore fintech (es. aziende di moneta elettronica e servizi di cripto-asset);
- Fornitori critici di servizi ICT (e.g. fornitori di servizi cloud), che forniscono i propri servizi ai soggetti sopra indicati, con riferimento ad alcuni specifici obblighi di monitoraggio.
Cosa prevede? Le previsioni del Regolamento DORA possono essere sostanzialmente riassunte in quattro fondamentali pilastri:
- Governance e organizzazione interna: previsioni relative all’adozione di un sistema di governance cybersecurity interno e un quadro di controllo per garantire una gestione efficace di tutti i rischi ICT, al fine di raggiungere un elevato livello di resilienza operativa digitale.
- Gestione del rischio: previsioni circa l’implementazione di un quadro di gestione del cyber rischio solido, completo e ben documentato come parte del loro sistema complessivo di gestione del rischio, e le periodiche attività di test a cui gli enti finanziari dovranno essere sottoposti
- Gestione degli incidenti e segnalazioni: previsioni di dettaglio rispetto alle misure da adottare per la gestione e segnalazione degli incidenti legati ai servizi ICT.
- Gestione delle terze parti ICT: disposizioni relative alla corretta valutazione dei fornitori terzi di servizi ICT e degli impatti conseguenti al loro operato.
A questi pilastri si aggiungono le prescrizioni rivolte agli Stati in merito all’adozione di un sistema di vigilanza a livello nazionale sulla conformità di tali soggetti di specifici livelli di sicurezza.
Numerose previsioni del Regolamento DORA dovranno essere ulteriormente specificate attraverso l’emanazione di standard tecnici di regolamentazione e attuazione (RTS e ITS), adottati dalle autorità di vigilanza europee (EBA, EIOPA ed ESMA, insieme le ESAs).
Il 20 giugno 2023 le autorità di vigilanza hanno avviato una consultazione pubblica sul primo gruppo di standard tecnici da approvare, che rimarrà aperta fino all’11 settembre 2023
Questo primo set di standard:
- Fornisce indicazioni di maggiore dettagli sula quadro di gestione del rischio ICT e sul quadro semplificato di gestione del rischio
- Specifica requisiti armonizzati per la classificazione degli incidenti ICT da parte delle entità finanziarie
- Individua alcuni modelli armonizzati che le entità finanziarie dovrebbero adottare per redigere il registro delle informazioni sugli accordi contrattuali conclusi con i fornitori di servizi ICT
- Definiscono il contenuto delle policy sull’utilizzo dei servizi ICT che supportano funzioni critiche o importanti.
Per approfondire i contenuti degli RTS e ITS si rinvia a Regolamento DORA: consultazione sui primi standard tecnici. Le autorità saranno in ogni caso tenute a presentare i progetti di norme tecniche alla Commissione europea entro il 17 gennaio 2024, in modo da permetterne l’adozione in tempo per l’applicazione del Regolamento DORA a partire dal 17 gennaio 2025.
In parallelo, il 29 settembre 2023, le ESAs hanno pubblicato la loro risposta congiunta alla richiesta di parere della Commissione EU sull’individuazione dei criteri per i fornitori critici di servizi ICT e la quantificazione delle tariffe di supervisione che dovranno sostenute da tali fornitori.
Sulla cybersicurezza vedi anche: CyberItalia: L’evoluzione normativa della cybersecurity in Italia (dirittoaldigitale.com); CyberItalia: Dalla Direttiva NIS 1 alla NIS 2 in pillole; CyberItalia: Prima normativa italiana cybersicurezza – il Decreto NIS in pillole (dirittoaldigitale.com); CyberItalia: Come il Cybersecurity Act cambia la cybersicurezza (dirittoaldigitale.com); CyberItalia: Perimetro di Sicurezza Nazionale Cibernetica (dirittoaldigitale.com); Come conformarsi al Regolamento DORA sulla cybersecurity (dirittoaldigitale.com)