Lo scorso 17 gennaio è entrato in vigore il Digital Operational Resilience Act (c.d. “Regolamento DORA”).
Ora, gli operatori economici soggetto al Regolamento, dovranno poter dimostrare di aver tempestivamente attivato tutti quei processi volti ad adeguare le proprie strutture interne e i rapporti con le terze parti ai diversi requisiti previsti dal Regolamento.
Tuttavia, occorre considerare che il quadro normativo previsto da DORA non è del tutto completo. Diversi standard tecnici, sebbene già adottati dalla Commissione Europea, devono ancora entrare in vigore (e non si possono escludere del tutto eventuali modifiche o aggiustamenti). Inoltre, occorre considerare che l’applicazione del Regolamento dipenderà in parte anche dall’interpretazione che ne daranno le diverse autorità di settore in ciascuno stato membro.
In questo senso, può essere sicuramente d’aiuto la comunicazione al mercato di Banca d’Italia dello scorso 30 dicembre, con cui ha inteso porre l’attenzione su alcuni profili del Regolamento DORA, per i quali ritiene necessario fornire un’interpretazione che ne garantisca un’applicazione uniforme.
In particolare, i profili esaminati dalla Banca d’Italia sono:
- La collocazione della funzione di controllo dei rischi ICT
Ai sensi dell’articolo 16 del Regolamento, le entità finanziarie attribuiscono la responsabilità della gestione dei rischi informatici ad una funzione di controllo dedicata che, tra l’altro, deve possedere un livello appropriato di indipendenza.
La Banca d’Italia specifica che, in assenza di indicazioni diverse nel quadro regolatorio di DORA, la funzione di controllo ICT ben può coincidere con la funzione di risk management o con quella di compliance. Chiarisce, tuttavia, che la funzione in questione non può essere attribuita in ogni caso alla struttura che gestisce anche la funzione di internal audit.
- La comunicazione all’autorità competente di accordi con controparti esterne a supporto di funzioni essenziali o importanti
Nel ricordare che a partire dal 17 gennaio, le entità finanziarie devono informare l’autorità competente degli accordi contrattuali previsti per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti, l’Autorità chiarisce che le diverse discipline settoriali in materia di esternalizzazioni ICT non troveranno applicazione (fornendo altresì l’elenco di tali norme).
Resta comunque fermo il potere di intervento della Banca d’Italia qualora gli accordi segnalati dovessero presentare particolari profili di criticità e incongruenza con la normativa.
- Segnalazione dei gravi incidenti ICT e delle minacce informatiche significative
La Banca d’Italia ricorda che la vigente disciplina in materia di segnalazione degli incidenti di sicurezza sarà abrogata (senza pregiudizio naturalmente per tutte le disposizioni in materia di violazioni di dati personali) e che la stessa sarà sostituita dalle previsioni di DORA e dei relativi standard tecnici.
Inoltre, viene chiarito che le entità finanziarie dovranno utilizzare il modello incluso nell’apposito Regolamento Delegato e che la segnalazione dovrà essere fatta attraverso la piattaforma “Infostat”.
- Test di penetrazione guidati dalle minacce (TLPT)
Da ultimo, con riferimento ai TLTP, la Banca d’Italia informa che il processo di identificazione dei soggetti che saranno tenuti a svolgere tali test è ancora in corso. Sarà tuttavia la stessa Autorità ad informare i soggetti interessati una volta terminata l’analisi e a definire insieme a questi ultimi un piano di attuazione dei test.
Per maggiori informazioni sul Regolamento DORA e per una guida sulla relativa normativa secondaria è possibile consultare il seguente video-incontro: DORA: RTS su incidenti, gestione del rischio e servizi ICT.
