Regolamento DORA: cosa devono fare la aziende per adeguarsi

Security

Febbraio 2023

Regolamento DORA: tutto ciò che c’è da sapere

Il Regolamento DORA dal 17 gennaio 2025, vincolerà le aziende dei settori finanziari a una serie di requisiti di sicurezza informatica e di resilienza.

Negli ultimi tempi, e sempre più frequentemente, i mezzi di informazione riferiscono di attacchi hacker posti in essere nei confronti di importanti istituti finanziari e aventi ad oggetto il furto di dati sensibili.

Al fine di contrastare tali attacchi, l’Unione Europea decideva di presentare un pacchetto sulla finanza digitale, volto a colmare le lacune presenti nell’attuale legislazione e, contemporaneamente, a garantire che il quadro giuridico europeo non ostacolasse l’uso di nuovi strumenti finanziari digitali.

Tra le diverse norme si colloca proprio il Regolamento UE  n. 2022/2554, più comunemente conosciuto come “DORA” (Digital Operational Resilience Act) e riguardante la resilienza operativa digitale per il settore finanziario.

Il Regolamento DORA è entrato in vigore il 16 gennaio 2023 ma i destinatari della norma avranno la possibilità di adempiere ai numerosi obblighi entro il 17 gennaio 2025.

Chi sono i destinatari del Regolamento DORA?

Come anticipato, il Regolamento DORA è stato emanato nell’ambito della finanza digitale e, di conseguenza, si rivolge a un ampio novero di operatori finanziari, quali:

enti creditizi, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi per le cripto-attività, depositari centrali di titoli, gestori di fondi di investimento alternativi, società di gestione, imprese di assicurazione e di riassicurazione, intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio, enti pensionistici aziendali o professionali, oltre che ai fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT).

Quali sono gli obblighi a cui dovranno adempire gli istituti finanziari?

Per quanto attiene, invece, ai principali adempimenti previsti a carico dei soprammenzionati soggetti, dall’analisi complessiva del dettato normativo emergono numerosi obblighi.

In particolare, i medesimi saranno tenuti a:

Gestire il rischio ICT – adottare un quadro di governance e organizzazione interna, che garantisca un controllo efficace e prudente di tutti i rischi ICT. P

Adottare un piano per la gestione dei rischi informatici – identificandone le fonti, implementando i meccanismi volti al rilevamento di attività anormale e adottando misure di prevenzione, il tutto per il tramite di strumenti e sistemi di ICT resilienti, in maniera da limitare l’impatto degli eventuali rischi;

Gestione del rischio ICT di terze parti – Classificare gli incidenti connessi ai fornitori di ICT e le minacce informatiche in base ai criteri stabiliti dal Legislatore comunitario;

Segnalare gli incidenti informatici – gli operatori saranno tenuti a creare un sistema di segnalazione mediante un processo di monitoraggio, registrazione e gestione degli incidenti, al fine di notificarli alle autorità competenti;

Svolgere test di resilienza operativa digitale – proporzionati all’attività e alle dimensioni dell’operatore;

Condividere le informazioni – Prevedere protocolli di information sharing, al fine di incentivare lo scambio delle informazioni relative alle minacce informatiche. DORA prevede, nel dettaglio, l’istituzione di un programma su base volontaria che consenta ai soggetti interessati di prevedere accordi appositi per lo scambio di informazioni in materia di cyber threat intelligence.

In conclusione, sebbene – come anticipato – gli adempimenti sopra menzionati possano essere portati a termine sino al 17 gennaio 2025, appare chiaro come la mole di lavoro prevista sia decisamente importante e come gli operatori del settore debbano necessariamente iniziare a procedere quanto prima, sempre tenendo presente il contenuto della precedente normativa, con la predisposizione delle implementazioni richieste dal Regolamento.