Il 17 gennaio 2025, data di entrata in vigore del Regolamento DORA (il Regolamento (UE) 2022/2554 – Digital Operational Resilience Act), non è così lontano come sembra.
Gli operatori economici soggetti al Regolamento, infatti, si stanno sempre di più adoperando per implementare quei principi e quegli obblighi che DORA impone per la corretta gestione del rischio operativo digitale. Ciò, sia con riferimento alle procedure e ai meccanismi interni, sia con riferimento ai rapporti contrattuali che rientrano nell’ambito di applicazione del Regolamento.
Un punto cruciale del processo di adeguamento è l’implementazione degli obblighi che le Autorità Europee di Vigilanza (ESA, EBA e EIOPA – le AEV) hanno delineato negli standard tecnici.
Si tratta dei c.d. implementing technical standard e regulatory technical standard (rispettivamente, ITS e RTS), la cui stesura è demandata direttamente dal Regolamento alle AEV e che hanno lo scopo di specificare e dettagliare alcuni obblighi e principi di DORA.
DORA ha previsto due set di standard. Il primo, pubblicato lo scorso 17 gennaio, è ora sotto esame della Commissione Europea. Il secondo terminerà il processo di consultazione pubblica il prossimo 4 marzo, e sarà poi inviato alla Commissione Europea il 17 luglio. Per maggiori informazioni sulla procedura di approvazione degli standard tecnici è possibile consultare il seguente articolo: Regolamento DORA: prime prove di normativa secondaria | DLA Piper.
Nell’attesa che il primo set venga definitivamente approvato dalla Commissione ed entri in vigore, è comunque possibile iniziare ad adeguarsi agli obblighi che gli standard prevedono. Per quanto una rigida applicazione non sia necessaria (considerando che gli stessi potrebbero subire modifiche), è comunque fondamentale iniziare a conoscere il contenuto e gli obbiettivi degli RTS e ITS. Ciò permetterà di evitare di dover implementare tutti gli obblighi di entrambi i set di standard eccessivamente a ridosso dell’entrata in vigore del Regolamento e, in definitiva, di trovarsi impreparati alla rivoluzione che DORA prevede.
Possiamo quindi brevemente esaminare il contenuto dei primi 4 standard inclusi nel primo set.
ITS sul Registro di informazioni in relazione ai contratti con fornitori di servizi TIC
L’articolo 28 del Regolamento, richiede che le entità finanziarie mantengano un registro contenente tutte le informazioni relative ai contratti in essere con i fornitori di servizi TIC. Lo scopo di questo registro è duplice. Da un lato, garantire alle entità finanziarie di avere una mappa dei rapporti con i fornitori terzi sempre aggiornata. Dall’altro lato, permettere alle AEV di verificare, tramite la consultazione del registro, se e in che misura l’entità finanziaria stia adempiendo ai propri obblighi.
Con questo ITS, dunque, le AEV mirano a costruire un modello di registro uguale per tutte le entità finanziarie. Ciò permetterà una più chiara identificazione delle informazioni che devono essere effettivamente contenute nel registro. Inoltre, garantirà alle AEV una più veloce revisione dello stesso (non dovendo così “studiare” la struttura del registro di ciascuna entità finanziaria).
L’ITS, oltre a fornire una vera e propria mappa di come deve essere strutturato il registro e a quali informazioni esso deve contenere, include altresì alcune informazioni utili in merito alla tenuta del registro stesso.
A titolo esemplificativo, è richiesto che le informazioni siano adeguatamente verificate, costantemente aggiornate e facilmente accessibili e intellegibili. Inoltre, le informazioni relative a ciascun contratto con il fornitore TIC dovranno essere mantenute nel registro per un periodo di almeno 5 anni a seguito della relativa cessazione.
- RTS sulla Policy interna per i fornitori di servizi TIC che supportano funzioni critiche o importanti
Quando i servizi TIC che il fornitore somministra all’entità finanziaria supportano una funzione critica o importante, DORA richiede che l’entità finanziaria abbia un approccio più cauto, che le permetta di mantenere un controllo costante sul fornitore. In quest’ottica, l’articolo 28(2) del Regolamento richiede alle entità finanziarie di dotarsi di una policy che delinei chiaramente le strategie da adottare in relazione a tali fornitori e le procedure che l’entità finanziaria ha elaborato per consentire quel necessario controllo costante.
Lo scopo, dunque, di questo RTS è quello di fornire alle entità finanziaria il contenuto minimo di tale policy. In tal senso, l’RTS copre diverse aree.
Innanzitutto, viene specificato che la policy dovrà indicare una metodologia che l’entità finanziaria adotta per individuare le funzioni critiche o importanti. A ciò si collega la necessaria indicazione di tutte le funzioni interne coinvolte in questo assessment, nonché la suddivisione dei diversi ruoli e compiti.
In secondo luogo, lo standard prevede alcuni contenuti specifici in relazione ai contratti con i fornitori terzi. La policy, l’RTS, dovrà specificare alcuni contenuti minimi che le entità finanziarie dovranno necessariamente inserire all’interno dei contratti con i fornitori che supportano funzioni critiche o importanti.
Da ultimo, l’RTS prevede che la policy debba, attraverso procedure e misure definite, garantire all’entità finanziaria di mantenere il controllo sul fornitore e dotarsi di tutti gli strumenti adeguati a tale scopo.
RTS sui criteri di classificazione degli incidenti relativi alle TIC
L’articolo 18 del Regolamento DORA prevede un elenco di criteri per la classificazione degli incidenti legati alle tecnologie di informazione e comunicazione. Si tratta di un aspetto particolarmente rilevante del Regolamento in quanto, qualora l’incidente debba classificarsi come grave, l’entità finanziaria sarà destinataria di specifici obblighi di notifica.
Tuttavia, la lista di criteri prevista da DORA non fornisce particolari indicazioni in merito alla rilevanza di un criterio sopra un altro o a quando un criterio debba ritenersi soddisfatto.
L’obbiettivo di questo RTS è, dunque, quello di precisare come debbano essere letti i criteri nel loro insieme, di istruire su come procedere alla valutazione di un incidente e di chiarire quali siano le soglie di materialità rilevanti.
Di particolare rilevanza è che l’RTS individua il criterio soglia per la classificazione degli incidenti come gravi. In particolare, se l’incidente non ha impattato servizi critici, non potrà in ogni caso ritenersi grave. Qualora, invece, il criterio sia verificato, all’entità finanziaria è richiesta una ulteriore valutazione circa il raggiungimento degli altri criteri previsti.
RTS per l’armonizzazione degli strumenti metodi e procedure per la gestione del rischio TIC
L’ultimo RTS previsto nel primo set risponde all’esigenza di costruire un quadro di gestione del rischio TIC che sia il più possibile armonizzato.
Lo standard in questione, che risulta essere anche il più corposo, include l’indicazione di numerose policy e procedure che devono essere adottate dalle entità finanziarie ed andranno a costituire gli elementi del relativo quadro di gestione del rischio.
Oltre a indicare puntualmente gli strumenti da adottare e il relativo contenuto, l’RTS prevede altresì alcuni criteri generali per l’implementazione di tali strumenti. A titolo esemplificativo, è possibile citare l’obbligo di revisione di tali strumenti, la necessità di indicare i ruoli e i relativi compiti per ciascuna funzione individuata come responsabile degli strumenti addottati, l’indicazione circa le conseguenze del mancato rispetto delle policy e procedure adottate, etc.
Nell’attesa che l’RTS venga definitivamente approvato dalla Commissione, è comunque opportuno che le entità finanziarie valutino se tutti gli elementi oggetto di tali policy e procedure siano adeguatamente coperti.
Per una disamina di quella che è la struttura del Regolamento DORA e degli obblighi in esso contenuti è possibile consultare il seguente articolo: “Regolamento DORA approvato e in vigore: obblighi di cybersecurity”
Autore: Edoardo Bardelli
