GUIDA NORMATIVA

Regolamento DORA: così l’Europa garantirà la resilienza operativa digitale per il settore finanziario

Mancano solo gli ultimi ritocchi per il rilascio ufficiale del Regolamento DORA (Digital Operational Resilience Act) grazie al quale l’Europa potrà garantire la resilienza operativa digitale per il settore finanziario. Ecco il suo perimetro di applicazione e gli obiettivi

05 Ago 2022
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Sebbene non ancora ufficialmente rilasciato, il testo definitivo di DORA (o, per esteso, Regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014), ha trovato la sua strutturazione definitiva nel documento rilasciato il 23 giugno 2022, come concordato fra Parlamento, Consiglio e Commissione europea.

Il Regolamento fa parte del cosiddetto pacchetto di finanza digitale dell’UE che comprende, oltre a DORA, altre normative nell’ambito delle cripto-attività (MiCA, infrastrutture di mercato basate sulle DLT) e una serie di modifiche a direttive esistenti per renderle coerenti con le nuove normative, in particolare con DORA.

Regolamento DORA e resilienza operativa: riferimenti normativi

Ma cosa si intende per resilienza operativa?

Il termine resilienza, il cui significato varia in funzione dell’ambito a cui è applicato:

  1. In psicologia, la capacità di reagire di fronte a traumi, difficoltà ecc. (Treccani);
  2. capacità di resistere e di reagire di fronte a difficoltà, avversità, eventi negativi ecc.: resilienza sociale (Garzanti);

ha fatto di recente la sua comparsa anche in alcune normative, sia in ambito finanziario, come la Circolare 285 di Banca d’Italia[1]:

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un’architettura flessibile, resiliente e integrata a livello di gruppo consente di sfruttare le opportunità offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualità dei processi di lavoro, favorire la dematerializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari;

sia di carattere e portata generale, quale il GDPR (art. 32, par. 1 lett. B):

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

Ma è in particolare nella normativa del Comitato di Basilea (e quindi in ambito bancario) che questo termine viene più volte citato, come ad esempio nella Guidance on cyber resilience for financial market infrastructures del 2016 nel quale compare assumendo la seguente accezione:

2.2.1 Cyber resilience framework. An FMI should have a framework that clearly articulates how it determines its cyber resilience objectives and cyber risk tolerance, as well as how it effectively identifies, mitigates, and manages its cyber risks to support its objectives. The FMI’s board should endorse this framework, ensuring it is aligned with the FMI’s formulated cyber resilience strategy. The FMI’s cyber resilience framework should support financial stability objectives while ensuring the ongoing efficiency, effectiveness and economic viability of its services to its users. Therefore, framework objectives should aim to maintain and promote the FMI’s ability to anticipate, withstand, contain and recover from cyber attacks, so as to limit the likelihood or impact of a successful cyber attack on its operations or on the broader financial system. The FMI’s cyber resilience framework should be reviewed and updated periodically to ensure that it remains relevant.

e più recentemente nei Principles for Operational Resilience, del marzo 2021, che definisce come resilienza operativa:

…the ability of a bank to deliver critical operations through disruption. This ability enables a bank to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimise their impact on the delivery of critical operations through disruption. In considering its operational resilience, a bank should assume that disruptions will occur, and take into account its overall risk appetite and tolerance for disruption. In the context of operational resilience, the Committee defines tolerance for disruption as the level of disruption from any type of operational risk a bank is willing to accept given a range of severe but plausible scenarios.

DORA nasce, quindi, in un contesto come quello finanziario nel quale il concetto di resilienza è presente da tempo, pur con accezioni e sfumature diverse, ed infatti la definizione riportata da DORA è la seguente:

“digital operational resilience” means the ability of a financial entity to build, assure and review its operational integrity and reliability by ensuring, either directly or indirectly, through the use of services of ICT third-party service providers, the full range of ICT related capabilities needed to address the security of the network and information systems which a financial entity makes use of, and which support the continued provision of financial services and their quality throughout disruptions.

Il perimetro di applicazione del Regolamento DORA

Uno degli elementi che caratterizza DORA rispetto alle citate normative è il perimetro di applicazione.

A parte quello derivante dal soggetto emittente (che ne limita l’applicazione alla UE), ciò che caratterizza DORA è l’elevatissimo numero di soggetti destinatari della normativa, così come elencati all’art. 2[2], che va ben oltre gli enti finanziari propriamente detti (si stima che siano oltre 20 mila i soggetti che dovranno rispettare questa normativa):

  • (a) credit institutions,
  • (b) payment institutions, including payment institutions exempted in accordance with
  • Article 32 (1) of Directive (EU) 2015/2366,
  • (ba) account information service providers,
  • (c) electronic money institutions, including electronic money institutions exempted in accordance with Article 9 (1) of Directive 2009/110/EC,
  • (d) investment firms,
  • (e) crypto-asset service providers as authorized under MiCA and issuers of asset referenced tokens,
  • (f) central securities depositories,
  • (g) central counterparties,
  • (h) trading venues,
  • (i) trade repositories,
  • (j) managers of alternative investment funds,
  • (k) management companies,
  • (l) data reporting service providers,
  • (m) insurance and reinsurance undertakings,
  • (n) insurance intermediaries, reinsurance intermediaries and ancillary insurance intermediaries,
  • (o) institutions for occupational retirement provision,
  • (p) credit rating agencies,
  • (q)
  • (r) administrators of critical benchmarks,
  • (s) crowdfunding service providers,
  • (t) securitisation repositories,
  • (u) ICT third-party service providers.

Per descrivere brevemente il contenuto della norma ci rifacciamo a della documentazione ufficiale:

“DORA mira a creare un quadro normativo sulla resilienza operativa digitale grazie a cui tutte le imprese garantiscono di poter far fronte a tutti i tipi di malfunzionamenti e minacce connessi alle TIC, al fine di prevenire e mitigare le minacce informatiche.”

e in particolare al documento Pacchetto finanza digitale redatto dall’Ufficio Rapporti con l’Unione europea della Camera dei deputati dal quale riportiamo buona parte del testo che segue, con le opportune integrazioni e correzioni derivanti dalla nuova versione di DORA.

Il citato documento evidenzia come:

… a giudizio della Commissione (si veda, al riguardo, la sintesi della valutazione d’impatto SWD(2020)199), sebbene il settore finanziario dell’Unione sia regolamentato da un codice unico armonizzato e disciplinato da un sistema europeo di vigilanza finanziaria, le disposizioni sulla resilienza operativa digitale e sulla sicurezza delle ICT non sono tuttavia ancora armonizzate in maniera completa o coerente.

Tali lacune e incoerenze – continua la Commissione – hanno provocato la proliferazione di iniziative nazionali (ad esempio in materia di test) e di approcci di vigilanza (ad esempio per quanto riguarda le dipendenze da terzi nel settore delle ICT) non coordinati, dando luogo a sovrapposizioni, duplicazione di requisiti ed elevati costi amministrativi e di conformità per le imprese finanziarie e transfrontaliere.

Gli obiettivi del Regolamento DORA

L’obiettivo del Regolamento è descritto nell’art. 1:

(a) requirements applicable to financial entities in relation to:

  • Information and Communication Technology (ICT) risk management;
  • reporting of major ICT-related incidents and notifying, on a voluntary basis, significant cyber threats to the competent authorities;
  • reporting of major operational or security payment-related incidents to the competent authorities by financial entities referred to in Article 2(1), points (a) to (c);
  • digital operational resilience testing;
  • information and intelligence sharing in relation to cyber threats and vulnerabilities;
  • measures for the sound management of ICT third-party risk by financial entities;

(b) requirements in relation to the contractual arrangements concluded between ICT third-party service providers and financial entities;

(c) the oversight framework for critical ICT third-party service providers when providing services to financial entities;

(d) rules on cooperation among competent authorities and rules on supervision and enforcement by competent authorities in relation to all matters covered by this Regulation

e viene raggiunto, secondo il legislatore, attraverso:

  • la gestione del rischio ICT (Capitolo II) dall’articolo 4 all’art. 14 bis, che prevede di:
  1. disporre di una governance interna e di un quadro di controllo (art. 4) che assicuri una gestione efficace e prudenti di tutti i rischi ICT;
  2. attribuire una serie ben definita di compiti all’organo di gestione, fra i quali la responsabilità della gestione dei rischi ICT (art. 4);
  3. disporre di un solido framework per la gestione dei rischi ICT (art. 5);
  4. utilizzare strumenti e sistemi di ICT resilienti, tali da ridurre al minimo l’impatto dei relativi rischi (art. 6);
  5. identificare costantemente tutte le fonti di rischi relativi alle ICT (art.7);
  6. introdurre misure di protezione e prevenzione (art.8);
  7. individuare tempestivamente le attività anomale (art.9);
  8. mettere in atto politiche di continuità operativa e sistemi e piani di ripristino in caso di disastro relativo alle ICT (artt.10-11);
  9. predisporre capacità e personale idonei a raccogliere informazioni in relazione alle vulnerabilità, minacce, incidenti e attacchi informatici ed ai loro effetti sulla loro resilienza operativa digitale (art. 12);
  10. riesaminare gli incidenti e condividere gli insegnamenti, monitorare nel continuo l’efficacia dell’attuazione della strategia di resilienza e gli sviluppi tecnologici, sensibilizzare e formare il personale (art. 12);
  11. definire piani di comunicazione nei confronti dei vari stakeholder (art. 13);
  12. definire norme tecniche e regolamentazione da parte degli AEV[3] in consultazione con ENISA (art. 14);
  • segnalazione degli incidenti connessi alle ICT (Capitolo III) dall’articolo 15 all’art. 20 bis, secondo il quale:
  1. le entità finanziarie devono stabilire e attuare un processo di gestione per monitorare e registrare gli incidenti connessi alle ICT (art.15), per classificarli e determinarne l’impatto (sulla base di alcuni criteri – art.16) e segnalarli, tramite una relazione, alle autorità competenti se ritenuti gravi (art.17). Per il trattamento della segnalazione deve essere utilizzato un modello comune (art.18) e le entità finanziarie devono inviare segnalazioni iniziali, intermedie e finali, informando utenti e clienti qualora l’incidente abbia o possa avere un impatto sui loro interessi finanziari;
  2. possibilità di istituire un polo unico dell’UE per la segnalazione degli incidenti gravi connessi alle ICT da parte delle entità finanziarie (art.19);
  3. l’Autorità competente fornisce riscontro in merito alle segnalazioni ricevute; le AEV producono un report annuale anonimo sugli incidenti ed emettono allarmi e statistiche (art. 20);
  4. inoltre, l’art. 20 bis estende l’applicazione di questo capitolo anche agli operational or security payment-related incidents e major operational or security payment-related incidents.
  • test di resilienza operativa digitale (Capitolo IV) dall’articolo 21 all’art. 24 anche al fine di accrescere la consapevolezza da parte delle autorità di vigilanza dei rischi informatici e degli incidenti cui sono esposte le entità finanziarie:
  1. l’entità finanziarie dovranno eseguire una serie di test periodici, anche al fine di identificare punti deboli, carenze o lacune, nonché verificare la capacità di attuare tempestivamente misure correttive, con un’applicazione proporzionata alle proprie dimensioni e del profilo commerciale e di rischio. Solo quelle significative e mature sotto il profilo informatico hanno l’obbligo di svolgere prove avanzate mediante test di penetrazione basati su minacce (art. 23);
  2. i soggetti che svolgono le attività di test devono rispondere ai requisiti previsti dall’art. 24;
  • rischi relativi alle ICT derivanti da terzi (Capitolo V) dall’articolo 25 all’art. 39, che prevede, fra gli altri, di conferire alle autorità di vigilanza finanziaria poteri di sorveglianza sui rischi dovuti alla dipendenza delle entità finanziarie da fornitori terzi di servizi. In tale contesto:
  1. gli aspetti contrattuali chiave (stipula, esecuzione, fase post-contrattuale) saranno armonizzati per garantire che le società finanziarie monitorino i rischi di terzi;
  2. i fornitori terzi di servizi ICT critici saranno sottoposti a un quadro di sorveglianza dell’Unione. In tale contesto per ciascun fornitore terzo di servizi ICT critico sarà definita una autorità di sorveglianza capofila alla quale sono conferiti poteri idonei a garantire l’adeguato monitoraggio dei fornitori di servizi tecnologici che assolvono una funzione critica per il funzionamento del settore finanziario.
  • condivisione delle informazioni (art.40), tramite l’istituzione di accordi fra le entità finanziarie per lo scambio di informazioni e dati sulle minacce informatiche.

Il capitolo VII, dall’articolo 41 all’art. 49bis è dedicato alle Autorità competenti e alla loro regolamentazione, compresi gli aspetti relativi alle sanzioni che possono infliggere.

Di particolare interesse è inoltre la Sezione II del Capitolo IX, nel quale vengono elencate una nutrita serie di modifiche a precedenti normative europee che vanno ad integrare le altre modifiche che sono specificatamente elencate in un’apposita normativa, come ricordato all’inizio dell’articolo.

Conclusione

Il percorso relativo all’emissione del Regolamento DORA si avvicina alla sua conclusione ed è già possibile ipotizzare un percorso di adeguamento.

Il principio di proporzionalità così come espresso nell’art. art 3bis:

  1. Financial entities shall implement the rules introduced by Chapter II in accordance with the principle of proportionality, taking into account their size, the nature, scale and complexity of their services, activities and operations, and their overall risk profile.
  2. In addition, the application by financial entities of Chapters III, IV and Section I of Chapter V shall be proportionate to their size, nature, scale and complexity of the services, activities and operations, and their overall risk profile, as specifically provided for in the relevant rules of those Chapters.
  3. The competent authorities shall consider the application of the proportionality principle by financial entities when reviewing the consistency of the ICT risk management framework on the basis of the reports submitted, if requested, on the basis of Article 5(6) and Article 14a(2).

regola l’applicazione dei requisiti di DORA, che rimandano, secondo una logica ormai consolidata e presente in numerose altre normative (ad esempio il GDPR), al singolo ente, la valutazione del corretto livello dei requisiti che devono essere implementati.

È quindi già possibile, per le varie realtà, iniziare a ipotizzare quali impatti avrà l’emanazione del Regolamento sulla propria organizzazione; dal momento della sua entrata in vigore ci saranno 24 mesi per potersi pienamente adeguare.

 

NOTE

  1. Si veda anche l’articolo: Resilienza, contro gli attacchi informatici: linee guida per le aziende.

  2. Ad eccezione degli istituti indicati nell’articolo 2(5) della Direttiva 2013/36/EU (in Italia “Cassa depositi e prestiti”), se il singolo Stato lo ritiene.

  3. Autorità europea di Vigilanza (ABE, EIOPA, ESMA)

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo
@RIPRODUZIONE RISERVATA

Articolo 1 di 5