Regolamento DORA: sintesi normativa, adempimenti e sanzioni

Il Regolamento DORA (Digital Operational Resilience Act – Regolamento 2022/2554/UE) è una normativa europea che mira a rafforzare la resilienza operativa digitale del mercato interno UE in un contesto di minacce informatiche sempre più sofisticate.

È in vigore dal 17 gennaio 2023 ma l’Unione Europea ha concesso 2 anni di tempo per far fronte a tutti gli adempimenti previsti. La “due date” (la data per adeguarsi alle prescrizioni) è quindi fissata per il 17 gennaio 2025.

A pochi mesi dalla sua applicazione, ecco una sintesi del Digital Operational Resilience Act, quali sono i destinatari, gli obblighi e le sanzioni.

Destinatari del regolamento DORA

Il Regolamento DORA si rivolge a banche, assicurazioni, istituzioni finanziarie e fornitori di servizi ICT.

Nello specifico, relativamente alle entità finanziarie, si intendono: enti creditizi, istituti di pagamento, prestatori di servizi di informazione sui conti, istituti di moneta elettronica, imprese di investimento, fornitori di servizi per le cripto-attività, depositari centrali di titoli, controparti centrali, sedi di negoziazione, repertori di dati sulle negoziazioni, gestori di fondi di investimento alternativi, società di gestione, fornitori di servizi di comunicazione dati, imprese di assicurazione e di riassicurazione, intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio, enti pensionistici aziendali o professionali, agenzie di rating del credito, amministratori di indici di riferimento critici, fornitori di servizi di crowdfunding, repertori di dati sulle cartolarizzazioni.

È bene non dimenticare quindi che, sebbene ci si riferisca principalmente a istituti finanziari e assicurativi, il DORA si applica anche ai fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT), cioè aziende che forniscono servizi tecnologici essenziali per il funzionamento delle entità finanziarie.

Adempimenti del Digital Operational Resilience Act

Il percorso di adeguamento può essere riassunto nelle seguenti attività:

• prevedere un quadro di governance e di organizzazione interna della sicurezza informatica (responsabilità, processi e controlli interni);
• configurare un piano per la gestione dei rischi informatici (processi e procedure volte ad individuare e trattare questi rischi, definendo una strategia di resilienza digitale per assicurare business continuity e disaster recovery, implementando adeguati strumenti per l’identificazione delle minacce cyber, adottando adeguate contromisure);
• classificare gli incidenti connessi ai fornitori ICT e le minacce informatiche (in base alla criticità dei servizi a rischio);
• creare un sistema di segnalazione degli incidenti informatici (per notificarli alle autorità competenti, includendo inoltre piani di comunicazione a clienti, personale, portatori di interessi esterni, mezzi di comunicazione);
• effettuare test di resilienza operativa digitale (simulazioni, verifiche di vulnerabilità, attività di testing volte a verificare la capacità di resistere e recuperare da attacchi o incidenti cyber, simulazioni “red team vs blue team”);
• disporre di un sistema di gestione dei rischi informatici derivanti da terzi (relativo a fornitori terzi di servizi legati alle tecnologie ICT. Il Regolamento DORA, infatti, richiede l’imposizione di diversi obblighi contrattuali a carico dei fornitori di servizi tecnologici che svolgono un ruolo critico per l’attività dell’istituto finanziario);
• prevedere protocolli di information sharing (condividere le informazioni per aumentare l’awareness relative alle minacce informatiche, la direttiva Dora prevede un programma su base volontaria per la condivisione e lo scambio di informazioni di cyber threat intelligence).

Attenzione ai fornitori terzi

Come abbiamo visto nel paragrafo precedente, il regolamento Dora non deve essere classificato come normativa applicabile esclusivamente agli istituti finanziari: anche i fornitori ICT, che svolgono attività fondamentali per l’operatività digitale e la business continuity, dovranno adempiere agli obblighi imposti. L’inosservanza comporterà un’uscita dal mercato degli istituti finanziari.

Sanzioni

Come per altri regolamenti (quali ad esempio GDPR, NIS2, …) le sanzioni sono molto impattanti: le istituzioni finanziarie non conformi possono incorrere in multe fino a 10 milioni di euro o al 5% del loro fatturato annuo totale.

Cosa fare per essere adempimenti al Digital Operational Resilience Act

Le aziende e le organizzazioni finanziarie e del comparto ICT devono adottare una strategia a 360°: dalla governance, alle fasi di assessment, prevention e response. Tutte queste capabilities sono difficilmente individuabili in un’unica azienda specializzata, per cui risulta davvero difficile “tirare le fila”.

Axitea, invece, è in grado di offrire tutto questo: un unico interlocutore che sia consulente strategico e società in grado di proporre soluzioni di cyber security aziendale, fornendo inoltre esperti as a service quali ad esempio il Cyber Information Security Officer as a Service.