DORA

Il Digital Operational Resilience Act (DORA) è un regolamento dell'Unione Europea che mira ad aumentare la resilienza operativa digitale nel settore finanziario. È entrato pienamente in vigore il 17 gennaio 2025, introducendo requisiti specifici per garantire la sicurezza e la resilienza dei sistemi informatici delle entità finanziarie. Il regolamento si concentra sulla gestione dei rischi informatici, la segnalazione degli incidenti, i test di resilienza e il monitoraggio dei fornitori di servizi ICT, con l'obiettivo di proteggere la stabilità del sistema finanziario europeo dalle minacce informatiche.

Il regolamento DORA si applica a un'ampia gamma di entità finanziarie, includendo 20 diverse tipologie di organizzazioni del settore finanziario. Tra queste troviamo banche, compagnie assicurative, istituti di pagamento, fornitori di servizi di criptovalute, gestori di fondi d'investimento e altre entità che operano nel mercato finanziario europeo. La normativa si estende anche ai fornitori terzi di servizi ICT che supportano funzioni essenziali o importanti di queste entità, creando così un quadro normativo completo per la resilienza operativa digitale dell'intero ecosistema finanziario.

DORA definisce le funzioni essenziali o importanti come "una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un'entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell'entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari". Questa definizione include anche le "funzioni essenziali" come definite nella Direttiva 2014/59/UE, ovvero attività la cui interruzione potrebbe compromettere la stabilità finanziaria o interrompere servizi essenziali per l'economia reale.

Il regolamento DORA introduce diversi obblighi fondamentali per le entità finanziarie, tra cui: l'implementazione di un quadro di gestione dei rischi ICT; la creazione di processi strutturati per la gestione degli incidenti informatici; l'obbligo di segnalazione tempestiva degli incidenti gravi alle autorità competenti; l'esecuzione periodica di test di resilienza operativa digitale, inclusi test di penetrazione basati su minacce (TLPT); la gestione rigorosa dei rischi legati ai fornitori terzi di servizi ICT, compresa la compilazione e l'aggiornamento del Registro delle informazioni (ROI); e l'implementazione di politiche e procedure di backup e ripristino con obiettivi specifici per le funzioni essenziali o importanti.

DORA stabilisce un quadro armonizzato per la gestione degli incidenti informatici, superando la frammentazione normativa precedente. Le entità finanziarie devono istituire processi per il monitoraggio, la classificazione e il trattamento degli incidenti connessi alle TIC. La classificazione degli incidenti si basa su 6 criteri specifici: numero di utenti colpiti, durata dell'incidente, distribuzione geografica, perdita di dati, gravità dell'impatto sulla disponibilità dei servizi, e impatto economico complessivo. Per gli incidenti classificati come "gravi", è previsto un sistema di segnalazione strutturato con notifiche iniziali entro 24 ore, relazioni intermedie e relazioni finali dettagliate entro un mese. Il regolamento introduce anche il principio di "Responsible Disclosure" e requisiti specifici per la comunicazione interna ed esterna durante un incidente.

DORA richiede alle entità finanziarie di implementare un programma completo di test di resilienza operativa digitale per valutare la loro preparazione nella gestione degli incidenti informatici e identificare vulnerabilità e carenze. Questi test devono essere condotti periodicamente e includono diverse metodologie come valutazione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, test di compatibilità, test end-to-end e test di penetrazione. Le entità finanziarie devono inoltre eseguire test avanzati sotto forma di Test di Penetrazione Basati su Minacce (TLPT) almeno ogni tre anni. Questi test richiedono un'integrazione sinergica tra diverse funzioni aziendali e un approccio collaborativo con i fornitori di servizi ICT, comportando significativi cambiamenti nei modelli operativi delle organizzazioni.

DORA introduce requisiti rigorosi per la gestione dei fornitori di servizi ICT, con particolare attenzione a quelli che supportano funzioni essenziali o importanti. Le entità finanziarie devono compilare, mantenere e aggiornare un Registro delle informazioni (ROI) che censisce tutti gli accordi contrattuali con fornitori ICT. Per quanto riguarda il subappalto, le entità devono effettuare una due diligence approfondita e valutare i rischi associati, mappando l'intera catena di subfornitura e identificando i fornitori critici. I contratti con i fornitori ICT devono includere clausole specifiche relative alla sicurezza, alla continuità operativa, ai diritti di audit e alle condizioni di subappalto, garantendo che l'intera catena di fornitura rispetti gli standard di resilienza richiesti dal regolamento.

GDPR e DORA sono due pilastri regolatori dell'Europa digitale che, pur operando in ambiti diversi, presentano significative sovrapposizioni. Il GDPR si concentra sulla protezione dei dati personali, mentre DORA mira alla resilienza operativa digitale nel settore finanziario. Le principali sinergie riguardano la gestione degli incidenti di sicurezza, la valutazione dei rischi e la gestione dei fornitori terzi. Entrambi i regolamenti richiedono la segnalazione degli incidenti, ma con tempistiche e destinatari diversi: il GDPR prevede la notifica al Garante Privacy entro 72 ore, mentre DORA richiede la segnalazione all'autorità competente del settore finanziario entro 24 ore. Una differenza fondamentale è nell'oggetto di tutela: il GDPR protegge i diritti degli interessati, mentre DORA mira a garantire la sopravvivenza delle entità finanziarie in caso di eventi avversi.

L'identificazione delle funzioni essenziali o importanti secondo DORA richiede un'analisi approfondita che va oltre la semplice Business Impact Analysis (BIA) tradizionale. Mentre molte entità finanziarie tendono a considerare le funzioni essenziali come un sottoinsieme dei processi critici identificati dalla BIA, questo approccio presenta dei limiti. La definizione di DORA è più ampia e include funzioni che potrebbero non essere catturate da una BIA tradizionale, che si concentra principalmente sull'indisponibilità dei processi. Una corretta identificazione deve considerare tutti i parametri della triade RID (riservatezza, integrità e disponibilità) e valutare l'impatto potenziale sull'autorizzazione dell'entità e sui suoi obblighi normativi. È importante notare che la rilevanza di una funzione può variare significativamente tra diverse entità finanziarie, anche dello stesso tipo, in base al loro specifico modello di business.

Nell'implementazione del regolamento DORA, diversi errori comuni emergono dalla pratica. Un errore frequente è l'approccio puramente normativo, dove le entità finanziarie cercano di minimizzare gli adempimenti richiesti anziché vedere DORA come un'opportunità per migliorare la propria resilienza operativa. Un altro errore è l'adozione di un approccio "DORA centrico" che trascura altre normative vigenti, dimenticando che DORA non sostituisce ma si aggiunge al quadro normativo esistente. Molte organizzazioni commettono l'errore di basarsi esclusivamente sulla BIA tradizionale per identificare le funzioni essenziali, senza considerare tutti i parametri richiesti dalla normativa. Infine, un errore significativo è la mancata integrazione tra le diverse funzioni aziendali necessarie per implementare efficacemente i test di resilienza richiesti da DORA, sottovalutando i cambiamenti organizzativi necessari.