DORA - Digital Operational Resilience Act - Focus Legale

Il Regolamento DORA per la resilienza operativa digitale

DORA,  Digital Operational Resilience Act

A cura dell'Avv. Tania Rea: https://www.piselliandpartners.com/le...

LEGGI L'ARTICOLO COMPLETO: https://bit.ly/dora-legal


Il 16 gennaio 2023 è entrato in vigore il Regolamento DORA,  Digital Operational Resilience Act, progettato dall’Unione Europea per accelerare le capacità di resilienza cibernetica delle istituzioni finanziarie, al fine di fissare un framework completo e vincolante relativo alla gestione del rischio inerente alle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell'UE.

Tuttavia, lo stesso sarà vincolante dal 17 gennaio 2025 al fine di garantire un livello elevato di sicurezza delle reti e dei sistemi informatici all’interno dell’Unione Europea. 

Tale Regolamento è parte di un più ampio pacchetto europeo di misure strategiche per l’ambito tradizionale e fintech che intende assicurare che le imprese del settore siano in grado di affrontare attacchi informatici, attraverso l’implementazione di misure in ambito governance, cybersecurity, ICT risk management e incident reporting.

Il Regolamento DORA per la resilienza operativa digitale

DORA rappresenta un passo significativo verso la sicurezza e la resilienza delle infrastrutture digitali in Europa, dal momento che prima dell’entrata in vigore di DORA, le regole per la gestione del rischio nelle istituzioni finanziarie dell’Unione Europea si concentravano principalmente sull’assicurarsi che avessero abbastanza capitale per affrontare i rischi operativi. 

Infatti, nonostante ci fossero alcune indicazioni da parte dell’UE riguardo alle tecnologie informatiche e alla gestione del rischio, queste non erano uniformi per tutte le aziende finanziarie e spesso si basavano su principi generali invece di adottare standard tecnici specifici. Al contrario, DORA è parte di un più ampio pacchetto europeo di misure strategiche per l’ambito tradizionale e fintech volto a garantire un livello elevato di sicurezza delle reti e dei sistemi informatici all’interno dell’Unione Europea, tale da prevenire e mitigare le minacce informatiche.

La portata del Regolamento DORA è estremamente ampia e coinvolge quasi tutti gli operatori del settore di credito, ma anche fornitori di servizi legati a criptovalute e piattaforme di crowdfunding. In particolare, DORA impone ai vertici aziendali la responsabilità di sovrintendere alla gestione delle tecnologie dell'informazione e della comunicazione (ICT), definendo adeguate strategie di gestione del rischio e garantendone l’effettiva implementazione, nonché l’aggiornamento.

Le organizzazioni interessate sono tenute a sviluppare un framework di gestione del rischio ICT che assicuri la mappatura dei sistemi informatici, l'identificazione e la classificazione degli asset critici, nonché la documentazione delle interdipendenze tra risorse, sistemi, processi e fornitori.

DORA, quindi, prescrive delle regole tecniche per le aziende finanziarie e i fornitori di servizi informatici in quattro aree:

Come gestire i rischi informatici e organizzare il lavoro
Cosa fare in caso di problemi e come comunicare
Come testare la resistenza
Come gestire i rischi da terze parti

È quindi obbligatorio per queste organizzazioni condurre delle valutazioni regolari dei rischi ICT, segnalare e categorizzare le minacce alla sicurezza informatica e delineare strategie per arginare i rischi identificati. Parallelamente, viene richiesto alle aziende di implementare robuste misure di sicurezza informatica, che comprendono protocolli per la gestione delle identità e degli accessi, l'aggiornamento costante dei software e l'integrazione di tecnologie all'avanguardia.

Altrettanto cruciali sono: lo sviluppo e l'attuazione di piani di business continuity e di ripristino post-disastro per affrontare una vasta gamma di rischi informatici, dai guasti tecnici e catastrofi naturali ai cyberattacchi.  Questi piani devono includere strategie efficaci di backup e recupero dati, procedure per il ripristino operativo dei sistemi e canali di comunicazione efficaci con clienti, partner commerciali e autorità di regolamentazione.

Tuttavia, sebbene l'UE abbia ufficialmente adottato il regolamento, i dettagli chiave sono ancora in fase di finalizzazione da parte delle Autorità Europee di Vigilanza. Queste Autorità hanno l’incarico di redigere gli standard tecnici di regolamentazione e di attuazione che le entità interessate dovranno implementare.