RISK MANAGEMENT

Pacchetto Europeo sulla Finanza Digitale: il Regolamento DORA e la gestione dei rischi ICT

In questa fase di adeguamento alla normativa, il punto di partenza è rappresentato dallo sviluppo delle competenze e conoscenze tecniche di governo e mitigazione dei Cyber Risk, che devono rivestire un forte carattere di multidisciplinarietà

Aggiornato il 16 Gen 2024

Maria Cristina Daga

Avvocato e Partner di P4I - Partners4Innovation

Il 17 gennaio 2025 il Regolamento DORA diventerà pienamente applicabile. Dopo un anno dalla sua entrata in vigore e ad un anno dalla sua concreta applicazione molti sono i dubbi e gli interrogativi che gli enti e le autorità si stanno ponendo. Una cosa è certa: la resilienza non è più solo un obbligo del singolo ente, ma è un obbligo per l’intero sistema finanziario. L’innovazione, la leva normativa, la protezione sistemica e la tutela del consumatore sono i protagonisti di un grande racconto che il legislatore europeo ha descritto (e sta descrivendo) attraverso numerosi atti legislativi (per citarne alcuni Dora, Mica, Ai Act, Dg Act, Cra) che portano ad un’unica conclusione: è ormai necessario proteggere i sistemi, le reti, le infrastrutture, i prodotti, i dati, le informazioni ecc. ecc.

Sostenere il cambiamento significa poter cogliere le nuove opportunità derivanti dalla cultura dell’innovazione resa possibile attraverso le tecnologie dell’informazione e della comunicazione. Consapevole di questo momento di svolta, l’Unione Europea ha deciso di abbracciare la transizione digitale e di agevolarla attraverso una serie di misure volte ad armonizzare la disciplina nei vari settori di propria competenza: tra questi, quello finanziario.

Il rischio ICT e Cyber è ormai un rischio di business, pertanto, la resilienza diventa una caratteristica e una modalità di lavoro (oltre ad obbligo normativo) entrando nella cultura e nell’organizzazione di tutta l’azienda.

Il Pacchetto Europeo sulla Finanza Digitale

In questa fase adeguamento alla normativa, un punto di partenza è rappresentato principalmente dalle competenze e conoscenze tecniche della gestione dei rischi ICT e Cyber che devono rivestire un forte carattere di multidisciplinarietà. Mai come nessuna norma in precedenza, il Dora interessa molteplici funzioni aziendali a tutti i livelli dell’organizzazione aziendale.

WHITEPAPER
Risk management: l’importanza di quantificare correttamente il rischio (non solo quello informatico)
Legal Risk Management
Contract Management

C’è quindi una prima missione da compiere che è, come detto, un cambiamento sulla cultura e sull’organizzazione a partire dagli organi di vertice. Il rischio ICT e Cyber non è più un problema della specifica funzione ICT, ma è un problema dell’organizzazione da cui ne discende un rischio operativo, strategico, reputazionale e di compliance.

Il Regolamento DORA: obiettivi, principi e previsioni

Durante il percorso di adeguamento normativo, le scelte adottate in modo commisurato alla propria capacità di risorse, di costi e di business in materia dei rischi ICT e Cyber devono assolvere due importanti principi:

  • Il principio di accountability che determina la necessità di documentare e motivare la strategia dei rischi ICT e Cyber; e
  • Il principio di proporzionalità che determina la necessità di scegliere in modo sostanziale quell’insieme di regole e misure in grado di assicurare un’adeguata protezione degli asset logici e fisici alle esigenze commerciali, al dimensionamento e alle relative risorse.

Si precisa che alcune disposizioni sono applicabili esclusivamente alle entità finanziarie che non rientrano nella definizione di micro impresa, come ad esempio introdurre complesse disposizioni di governance e funzioni di gestione dedicate, di effettuare valutazioni approfondite dopo le modifiche di rilievo delle infrastrutture critiche di reti e di sistemi informativi, di compiere periodicamente analisi dei rischi sui sistemi ICT esistenti, di ampliare i test sulla continuità operativa e i piani di risposta e ripristino per descrivere gli scenari di passaggio tra le infrastrutture ICT.

Elementi innovativi introdotti dal Regolamento DORA

Passato un anno dall’entrata in vigore del Regolamento sulla resilienza operativa digitale, il quadro normativo appare complesso e minuzioso basandosi su prescrizioni e principi chiave, concernenti il quadro di gestione dei rischi relativi alle tecnologie dell’informazione e delle comunicazioni (ICT), e da un ricco catalogo di norme di secondo livello specifiche.

Un quadro normativo capillare e complicato per il settore finanziario, il quale dovrà divenire pienamente consapevole, capace di attuare i presidi per poter fronteggiare l’esponenziale aumento dei rischi e delle minacce connessi alla digitalizzazione dei servizi.

Considerato l’elevato numero di attacchi informatici rivolti al mondo finanziario, sempre più ampi e pervasivi, viene oggi richiesto alle entità di stabilire politiche e procedure per affrontare al meglio tali aspetti. Il Regolamento DORA fornisce, infatti, un quadro mirato insistendo principalmente sugli aspetti di governance, gestione delle terze parti e condivisione delle informazioni.

Regolamento DORA, le norme tecniche di secondo livello

Per poter infine valutare il livello di preparazione agli incidenti connessi alle TIC, il Regolamento DORA prevede che le entità finanziarie stabiliscano un solido ed esaustivo programma di test di resilienza operativa digitale, al fine di identificare punti deboli, carenze o lacune e di mettere in atto tempestivamente misure correttive. Per poter raggiungere un adeguato livello di resilienza operativa è fondamentale che le entità finanziarie siano in grado di affrontare al meglio tutti i rischi legati a malfunzionamenti di processi e applicativi, garantendo continuità operativa.

Per rendere operativa l’applicazione delle regole, dallo scorso giugno le Autorità europee di vigilanza (EBA, EIOPA ed ESMA – le ESA) hanno iniziato a preparare e pubblicare i regolamenti tecnici di secondo livello per meglio specificare i principi posti dal Regolamento DORA. Le norme tecniche costituite da RTS, ITS e linee guida si dividono in due gruppi principali seguendo iter di pubblicazione diversi.

Il 17 gennaio 2024 è prevista la pubblicazione dei regolamenti definitivi che riguardano il primo gruppo di norme volto a garantire strumenti per una gestione del rischio ICT coerente e armonizzata dal punto di vista giuridico.

Per quanto riguarda il secondo gruppo di norme, al momento sono state pubblicate le bozze delle regole tecniche che saranno sottoposte a consultazione pubblica fino a marzo 2024.

Le norme tecniche di secondo livello più impattanti (gestione delle terze parti)

Vista la pubblicazione della maggior parte delle norme tecniche di secondo livello da parte delle Autorità europee di vigilanza, le entità finanziarie possono adottare sin da ora un approccio proattivo per non trovarsi impreparati all’applicazione dei requisiti previsti dal Regolamento.

Sulla base degli RTS relativi al quadro di gestione dei rischi ICT, al registro delle informazioni dei servizi prestati da fornitori terzi, e alla politica sui servizi ICT prestati da fornitori terzi, le entità dovranno necessariamente adottare azioni preliminari per quanto attiene i rapporti con le terze parti, dove, nello specifico, dovranno valutare:

  • la propria politica di gestione delle terze parti, ove presente all’interno dell’organizzazione;
  • la mappatura dei fornitori di servizi ICT (se esistente) e dei fornitori di servizi esternalizzati;
  • se gli accordi contrattuali riguardino una funzione critica o importante e nel caso determinare il corretto ciclo di vita dell’accordo (anche nel caso di subappalto), comprendendo:
  1. la valutazione del rischio prima della stipula del contratto;
  2. i requisiti degli accordi contrattuali;
  3. il monitoraggio degli accordi;
  4. gli obblighi di informazione nel caso di modifiche rilevanti;
  5. le exit strategy e gli accordi di risoluzione;
  • i dispositivi di governance per la gestione dei rischi relativi agli accordi contrattuali già esistenti, compresa la possibilità che tali accordi possano aggravare il rischio di concentrazione dei servizi ICT.

Inoltre, per quanto riguarda gli adempimenti relativi al registro delle informazioni ai sensi dell’articolo 28 del Regolamento DORA, le Autorità hanno elaborato un template che le entità finanziarie potrebbero già iniziare a recepire e personalizzare.

Il Regolamento DORA converge verso l’armonizzazione delle regole relative alla resilienza operativa per il settore finanziario, che si applicano a 21 diversi tipi di entità finanziarie. Per rendere l’idea dell’impatto soggettivo, queste nuove misure dovranno essere adottate non solo dalle società finanziarie di tipo tradizionale, tra le quali quindi istituti di credito, compagnie di assicurazione, fondi gestione, ma anche dai nuovi soggetti finanziari, quali i fornitori di servizi di cripto-attività, i gestori delle piattaforme di crowdfunding, nonché i fornitori terzi di servizi informatici.

Per rendere tutto ciò operativo, le Autorità europee si impegneranno, fino a gennaio 2025, nella redazione e successiva pubblicazione di ulteriori norme tecniche di regolamentazione.

Ciò posto, al fine di adeguarsi alle norme del Regolamento DORA, le entità finanziarie dovranno procedere attraverso un approccio multidisciplinare, svolgendo un assessment iniziale per valutare il proprio livello di conformità in termini di organizzazione, processi, sistemi e patrimonio informativo; successivamente, dovranno definire il modello di gestione della resilienza operativa per l’intera organizzazione.

Articolo originariamente pubblicato il 20 Mag 2022

WHITEPAPER
Finanza sostenibile: gli investimenti e il ruolo delle banche
Contabilità
Controllo di gestione
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Maria Cristina Daga
Avvocato e Partner di P4I - Partners4Innovation

Articolo 1 di 4