Dal 17 gennaio 2025, il regolamento europeo noto come Digital Operational Resilience Act è attivo e si rivolge a tutte le entità finanziarie per migliorare la sicurezza informatica a livello europeo. Questa normativa ha come obiettivo principale quello di garantire un'adeguata preparazione del settore a far fronte a gravi interruzioni operative e minacce cyber, assicurando così la continuità dei servizi forniti e la protezione delle informazioni sensibili dei clienti. In questo articolo vengono approfonditi i dettagli del regolamento, le sue implicazioni e le scadenze da rispettare da parte degli attori finanziari.
Indice dei contenuti
Obiettivi e destinatari del regolamento
Il regolamento Ue 2022/2554, conosciuto come Dora, è progettato per affrontare la crescente dipendenza delle entità finanziarie dalla tecnologia e per porre rimedio ai rischi associati. Questo provvedimento interessa una vasta gamma di attori economici, che includono banca, società di investimento, compagnie di assicurazione e fornitori di servizi tecnologici. L’idea è quella di armonizzare le norme che regolano la gestione dei rischi derivanti dall'utilizzo delle tecnologie informatiche all'interno del sistema finanziario europeo.
La standardizzazione delle regole è fondamentale per prevenire conseguenze sistemiche negative, che possono derivare da attacchi informatici o interruzioni dei servizi. Con l'aumento della digitalizzazione nel settore finanziario, è essenziale avere un quadro normativo che tuteli tutti gli attori coinvolti e garantisca un elevato livello di sicurezza informatica. Tutto ciò è particolarmente rilevante in un contesto in cui le minacce informatiche continuano ad evolversi e a rappresentare un pericolo imminente.
Requisiti per l’adeguamento
Le entità finanziarie sottoposte al regolamento dovranno adottare specifiche misure operative e strutturali. Saranno responsabili della creazione di sistemi interni di gestione dei rischi che tengano conto della complessità e dell'importanza del proprio operato. Tali requisiti comprendono l'istituzione di protocolli di governance, la definizione di piani d'emergenza e la realizzazione di test regolari che permettano di valutare l'efficacia delle contromisure adottate.
Un aspetto cruciale è la gestione dei fornitori esterni di servizi Ict, che potrebbero influenzare negativamente la resilienza operativa delle entità finanziarie. Queste dovranno monitorare attentamente i rischi generati dalle collaborazioni con fornitori di servizi critici, garantendo che siano rispettati alti standard di sicurezza. Le autorità europee di vigilanza hanno stabilito l'obbligo di una due diligence minuziosa, per assicurarsi che qualsiasi partner commerciale rispetti i requisiti di affidabilità e sicurezza previsti dal regolamento.
Test di penetrazione e gestione degli incidenti
Il regolamento prevede anche la realizzazione di test di penetrazione guidati da minacce per valutare la sicurezza dei sistemi Ict. Questi test simulano attacchi reali da parte di cyber-criminali e servono per identificare eventuali vulnerabilità. L'obiettivo finale è quello di migliorare le contromisure e la prontezza di risposta delle entità finanziarie a possibili attacchi informatici.
Un'altra componente significativa riguarda la necessità di segnalare in tempo utile agli enti competenti gli incidenti informatici. È fondamentale comunicare tempestivamente la natura degli eventi significativi così da attivare le misure correttive necessarie. A tal fine, sono stati definiti degli standard tecnici per facilitare la classificazione dei vari incidenti e dei relativi rischi, promuovendo così un approccio uniforme su tutto il territorio dell'Unione Europea.
Standard tecnici e vigilanza
Tre autorità di vigilanza, tra cui l’Autorità Bancaria Europea e l’Autorità Europea delle Assicurazioni e delle Pensioni Aziendali e Professionali , sono responsabili dello sviluppo di standard tecnici e di linee guida per l'applicazione del regolamento Dora. Questi standard includono criteri specifici che mirano a semplificare la gestione dei rischi per le istituzioni più piccole, rendendo la normativa accessibile anche a tutte le realtà del settore.
Nei prossimi due anni, le autorità europee hanno avviato consultazioni pubbliche per ricevere feedback e suggerimenti agli stakeholder del mercato. Le informazioni raccolte hanno permesso di affinare e rendere più fruibili i requisiti della normativa, che approderanno infine alla Commissione Europea per la ratifica.
Conseguenze per la non conformità
La mancata attuazione delle norme previste dal regolamento Dora comporta sanzioni pecuniarie significative. Le entità che non si adeguano potrebbero ricevere multe che possono arrivare fino a 10 milioni di euro, o al 5% del fatturato annuo, a seconda di quale cifra risulti maggiore. Questo aspetto sottolinea l'importanza di una rapida e adeguata implementazione delle policy di sicurezza informatica da parte di tutte le entità coinvolte.