Insurance Trade | Dora – Digital Operational Resilience Act

L’entrata in vigore del Digital Operational Resilience Act (Dora) in seguito all’emanazione del Regolamento Ue 2022/2554 è avvenuta il 16 gennaio 2023, ed è effettiva dal 17 gennaio di quest’anno. La normativa è volta a creare un quadro armonizzato a livello europeo per affrontare le questioni legate alla cybersecurity nel settore finanziario. Il regolamento Dora, infatti, si riferisce esplicitamente ai servizi finanziari e stabilisce gli standard tecnici che le istituzioni del settore e i loro fornitori di servizi tecnologici dovranno implementare. 

La normativa ha due obiettivi principali: affrontare la gestione del cosiddetto rischio Ict, rappresentato dalla violazione della sicurezza dei sistemi (con la conseguente perdita dei dati) e unificare le normative già esistenti al riguardo nei singoli Stati membri dell’Ue. 

In pratica, se il Gdpr è servito a regolare il rispetto della privacy, il Dora servirà a consolidare e aggiornare la gestione dei rischi informatici nell’ambito dei servizi finanziari. 

Prima che questo regolamento fosse emanato, le norme sulla gestione del rischio Ict nelle istituzioni finanziarie si limitavano ad assicurare che le imprese del settore avessero capitale sufficiente per coprire i rischi operativi dallo stesso derivanti. Ma, in assenza di norme di gestione specifiche, ciascuno degli Stati membri aveva emanato le proprie regole, creando una specie di mosaico di normative assai complesso da gestire. Il rispetto dei requisiti previsti dal Dora farà ora in modo che le istituzioni finanziarie abbiano strumenti adeguati a rispondere alle minacce tecnologiche che si dovessero presentare e ciò verrà fatto in maniera armonica ed equilibrata in tutta l’Unione. Lo scopo è dunque stabilire una sorta di framework unitario per la gestione e la mitigazione del rischio Ict all’interno del settore finanziario.

A chi ė indirizzato il regolamento

Si tratta di una regolamentazione piuttosto articolata e complessa, ma è importante considerare che non riguarda esclusivamente le istituzioni finanziarie: è una misura legislativa che si applica alle organizzazioni finanziarie e agli altri settori direttamente interessati. Tra gli stessi figurano:

• istituti di credito;

• istituti di pagamento;

• istituti di moneta elettronica;

• società di gestione degli investimenti;

• provider di servizi di criptovalute;

• fondi di investimento alternativi;

• responsabili assicurativi aziendali;

• provider di servizi di terze parti Ict.

Il regolamento Dora, quindi, si applica anche a molte entità che non fanno parte dell’ambito finanziario, come i somministratori di sistemi e servizi Ict, di cloud service e data center e, in genere, le aziende che forniscono servizi informativi critici, come quelli di rating creditizio e data analytics. A tale proposito, sarà consentito alle società finanziarie di stipulare contratti solo con fornitori che soddisfino determinati requisiti di sicurezza. 

L’ambito di applicazione, insomma, è alquanto ampio e sarà necessario che ciascuna azienda interessata operi con una certa attenzione, perché un approccio affrettato potrebbe non solo causare la vulnerabilità dei sistemi da proteggere, ma anche determinare l’irrogazione di cospicue sanzioni finanziarie. Le multe potranno infatti arrivare a 10 milioni di euro, o al 5% del fatturato globale dell’azienda e visto che parliamo principalmente di istituzioni finanziarie, non è difficile immaginare quanto possa risultare salato il conto di chi non dovesse attenersi alle regole. Ma sono comunque previste anche interdizioni, misure correttive e supervisione intensificata. 

Le autorità garanti per il controllo sul regolamento sono quelle designate per la regolamentazione finanziaria da ogni Stato membro dell’Ue: in Italia è la Banca d’Italia. 

La gestione del rischio Ict

Gli obblighi previsti dalla normativa possono essere suddivisi in cinque gruppi principali: 

1. definire il quadro di gestione del rischio Ict;

2. gestire e segnalare gli incidenti e gli attacchi; 

3. garantire la resilienza operativa dell’ente;

4. gestire il rischio delle terze parti coinvolte;

5. gestire monitoraggio, reporting e scambio di informazioni con gli enti designati. 

Per quanto attiene all’ultimo punto, la condivisione delle informazioni non è obbligatoria, ma fortemente incoraggiata.

Il regolamento Dora attribuisce all’organo amministrativo e di controllo di ciascuna azienda la responsabilità della gestione Ict. I membri del consiglio di amministrazione, i dirigenti e altri senior manager dovranno definire adeguate strategie di gestione del rischio, contribuire attivamente alla loro attuazione e mantenersi aggiornati sull’eventuale evoluzione del rischio. Ciascuno potrà essere ritenuto personalmente responsabile per il mancato rispetto delle norme da parte della società di appartenenza e non sfuggirà ai più attenti l’effetto che tutto questo potrà avere sull’eventuale copertura D&O esistente.

Le organizzazioni interessate sono tenute a sviluppare framework completi per la gestione del rischio e a tal fine dovranno provvedere alla mappatura dei propri sistemi, identificare e classificare funzioni e asset critici e documentare le dipendenze tra risorse, sistemi, processi e provider. Così come previsto dal Gdpr, dovranno anche condurre una valutazione del rischio sui propri sistemi, in modo continuativo, e classificare le eventuali minacce informatiche, documentando le misure prese per mitigare i rischi identificati.

Nell’ambito del processo di valutazione del rischio, ciascuna azienda dovrà condurre un’analisi dell’impatto previsto, per valutare in che modo scenari specifici e interruzioni gravi possano influire sull’attività. L’idea è che i risultati di tali analisi siano utilizzati per stabilire i livelli di tolleranza al rischio e per aggiornare la progettazione delle proprie infrastrutture tecnologiche. 

Le società saranno infine tenute ad adottare adeguate misure di cybersecurity, tra cui le politiche per la gestione delle identità e degli accessi e la gestione dei comandi e programmi progettati per aggiornare o risolvere un problema del software adottato, o per risolverne una vulnerabilità.

Sarà inoltre necessario stabilire piani di continuità aziendale e disaster recovery per i vari scenari di rischio informatico previsti. Questi piani dovranno includere misure di data backup and recovery, processi di ripristino dei sistemi e piani per comunicare con clienti, partner e autorità interessati.

Concludendo, il Dora ha lo scopo di rafforzare la sicurezza informatica di banche, compagnie assicurative, imprese di investimento e altre imprese finanziarie, per garantire che il settore sia in grado di rimanere resiliente in caso di gravi interruzioni operative, qualunque sia la loro origine. 

Questa normativa, inoltre, mira ad armonizzare le diverse leggi relative alla resilienza operativa per l’intero settore finanziario e per i fornitori di servizi Ict terzi, in tutta l’Unione Europea.

© RIPRODUZIONE RISERVATA