Il Regolamento DORA : Governance e organizzazione interna

DORA Pilastro 1: Governance e Organizzazione Interna – Ruoli, Responsabilità e Processi Decisionali

 Il primo pilastro del Regolamento DORA riguarda la Governance e Organizzazione Interna e pone l'accento su un elemento fondamentale: nessun framework di resilienza digitale può funzionare efficacemente senza una governance chiara, ruoli ben definiti e processi decisionali strutturati.

 Se il DORA potesse avere una priorità assoluta, questa sarebbe proprio la governance. Perché? Perché tutte le altre componenti – gestione dei rischi, incident response, test di resilienza – dipendono direttamente dalla qualità della governance che le sottende.

Cosa richiede il DORA in materia di Governance?

Il Regolamento prescrive che ogni intermediario finanziario deve implementare una governance ICT che include:

• funzioni ICT e di sicurezza (CIO, CISO o equivalenti)
• responsabilità degli organi con funzione di supervisione strategica e gestione
• integrazione delle funzioni di risk management, compliance e internal audit
• chiara distinzione tra ruoli decisionali, esecutivi e di controllo

L’assenza di chiarezza organizzativa è uno dei principali fattori di non conformità rilevati dalle Autorità. 

• Identificare e classificare i rischi ICT
• Approvare strategie di mitigazione
• Allocare risorse per la resilienza digitale
• Definire e monitorare indicatori di performance (KPI) sulla resilienza digitale

Ogni decisione rilevante deve essere tracciabile, motivata e coerente con il framework di controllo interno. 

• un comitato di governance ICT (o equivalente)
• procedure documentate per l'escalation di criticità rilevanti
• meccanismi di reporting al board su rischi e vulnerabilità
• il coinvolgimento dell’internal audit nella verifica del sistema di governance ICT

La governance deve essere attiva, non semplicemente dichiarata. 

Sfide Operative nell'Implementazione:

Molte organizzazioni scopriranno che, sebbene dispongano di una struttura IT e di sicurezza, questa non è sempre integrata in una governance formale riconosciuta dalle autorità. Le sfide comuni includono:

1. Separazione fra IT e Risk Management: in molti intermediari, la funzione IT lavora in silos rispetto alla gestione del rischio. Il DORA richiede integrazione.
2. Mancanza di coinvolgimento del board: i rischi ICT devono essere presenti nelle agende del consiglio di amministrazione e del comitato per i rischi.
3. Documentazione insufficiente: procedure verbali o informali non soddisfano i requisiti normativi.
4. Competenze non sempre presenti: trovare figure con expertise ICT e competenze di governance è una sfida di mercato.

DORA richiede un salto di qualità: dalla gestione tecnica alla governance regolamentata del rischio ICT.​

Come strutturare una governance DORA-compliant:

Un percorso efficace di adeguamento al Pilastro 1 dovrebbe includere:

1. DORA Governance Assessment: mappare la governance esistente e identificare i gap
2. Ridefinire i ruoli e le responsabilità: chiarire le accountability di ogni funzione
3. Creare o rafforzare il comitato di governance ICT: assicurare frequenza e qualità delle riunioni
4. Documentare processi e procedure: creazione di policy e procedure formali approvate dagli organi competenti
5. Assicurare reporting al board: meccanismi di comunicazione regolari verso i vertici aziendali

Augeos affianca gli intermediari finanziari ex art. 106 TUB nella progettazione e implementazione di modelli di governance ICT pienamente conformi al Regolamento DORA e coerenti con le aspettative di vigilanza.

 Prossimi step?

 La governance è il fondamento, ma da sola non basta. Nel prossimo articolo esploreremo il secondo pilastro: la Gestione del Rischio ICT, che definisce come identificare, valutare e mitigare i rischi tecnologici all'interno di un framework strutturato