Blog

Regolamento Dora e gestione dei rischi: ecco le novità

18 gennaio 2023

Con l'approvazione del Regolamento Dora (Digital Operational Resilience Act) si aggiunge un tassello fondamentale al framework di riferimento in tema di gestione dei rischi per tutte le organizzazioni attive nel settore del Finance. E per tutte, stavolta, si intende davvero tutte: il regolamento, come si vedrà più approfonditamente in seguito, interessa infatti qualsiasi tipologia di impresa più o meno direttamente coinvolta nella filiera. Quindi non soltanto banche e gestori di servizi di pagamento elettronici, ma anche - solo per citare le macrocategorie principali - provider di servizi di informazione sui conti, società di investimento, intermediari e persino fornitori di soluzioni ICT.

Affiancandosi al Cybersecurity Act e alla direttiva NIS2 (anch'essa approvata di recente), il Regolamento Dora, che ha avuto il via libera definitivo dal Parlamento europeo il 10 novembre 2022, si pone l'obiettivo specifico di normare la resilienza operativa digitale per banche, istituti di pagamento, assicuratori, intermediari e gestori di criptovalute, che dispongono di due anni di tempo per adeguarsi a un perimetro di applicazione piuttosto esteso.

 

L'obiettivo del Regolamento Dora

Nel documento Pacchetto finanza digitale redatto dall’Ufficio Rapporti con l’Unione europea della Camera dei deputati si legge infatti testualmente che il Regolamento Dora “mira a creare un quadro normativo sulla resilienza operativa digitale grazie a cui tutte le imprese garantiscono di poter far fronte a tutti i tipi di malfunzionamenti e minacce connessi alle tecnologie dell'informazione e della comunicazione, al fine di prevenire e mitigare le minacce informatiche”.

La definizione di una serie di regole e raccomandazioni per prendere di petto il tema della resilienza operativa digitale nasce dalla convinzione della Commissione europea che - nonostante la presenza di un codice unico e di un sistema di vigilanza ad hoc - le disposizioni nel loro complesso non fossero tuttavia ancora armonizzate in maniera completa e coerente. Bruxelles ha in effetti messo sotto la lente di ingrandimento una serie di lacune e contraddizioni che hanno provocato la proliferazione di iniziative nazionali e di vigilanza prive di coordinamento, le quali a loro volta hanno determinato sovrapposizioni e duplicazione di requisiti, oltre all'aumento dei costi amministrativi e di conformità per le organizzazioni finanziarie.

Il Regolamento Dora punta così a introdurre un corpus armonizzato di misure di cybersicurezza tecnico-organizzative che contribuiranno a sostenere il potenziale innovativo della finanza digitale nei prossimi anni, al tempo stesso mitigando le minacce insite nell’innovazione tecnologica e di processo.

L'azione delle istituzioni comunitarie si inserisce in un più ampio capitolo dedicato alla governance della finanza digitale dell’Unione europea, a cui fanno capo altre normative, per esempio nell’ambito delle cripto-attività, e una serie di modifiche alle direttive esistenti volte per l'appunto all'integrazione con le nuove iniziative, a partire proprio dal Regolamento Dora.


Una definizione più precisa di resilienza operativa digitale

Nel tentativo di catalizzare i significati che i vari dispositivi di legge focalizzati sul settore finanziario hanno attribuito negli ultimi anni al termine “resilienza” (basti pensare alla sua presenza all'interno della Circolare 285 di Banca d’Italia, o alle citazioni plurime fatte dal Comitato di Basilea nella Guidance on cyber resilience for financial market infrastructures, o ancora alla definizione contenuta nei Principles for Operational Resilience del 2021), il Regolamento Dora è andato oltre.

La resilienza operativa digitale, oggi, è dunque la “capacità di un'entità finanziaria di costruire, assicurare e rivedere la propria integrità e affidabilità operativa garantendo, direttamente o indirettamente, attraverso l'uso di servizi di fornitori di servizi ICT di terze parti, le capacità necessarie a certificare la sicurezza della rete e dei sistemi informativi di cui si avvale l'entità e a supportare la fornitura continua di servizi finanziari e la loro qualità durante le interruzioni”.

 

Il perimetro di applicazione del Regolamento Dora

Come accennato in apertura, le tipologie di soggetti destinatari del Regolamento Dora (nominate in maniera esaustiva nell'articolo 2 della normativa) ampliano in modo drastico la portata dei framework attualmente in vigore. Oltre ovviamente agli istituti di credito tradizionali, il nuovo regolamento si applica anche ai gestori di servizi di pagamento elettronica, ai provider di servizi di informazione sui conti, alle società di investimento, ai gestori di wallet di criptovalute e di portali di interscambio di monete digitali, agli attori del mondo del trading, alle agenzie di rating del credito e agli assicuratori, oltre che a tutti gli intermediari che si collocano lungo la catena del valore del Finance, inclusi i provider di soluzioni ICT. Si parla quindi di circa 20 mila potenziali soggetti interessati dal Regolamento Dora a livello europeo, che sulla base delle nuove disposizioni dovranno:

  • disporre di una governance interna che assicuri attraverso l'attribuzione ben definita dei compiti a un organo ad hoc una gestione efficace di tutti i rischi ICT;
  • implementare un solido framework per la gestione dei rischi ICT con l'utilizzo di strumenti e sistemi di ICT resilienti;
  • identificare in senso continuativo tutte le fonti di rischi relativi ai processi ICT;
  • introdurre misure di protezione e prevenzione al fine di individuare in modo tempestivo le attività anomale;
  • prevedere e mettere in atto politiche di business continuity e disaster recovery in caso di incidenti;
  • predisporre capacità e professionalità adatte a raccogliere informazioni in relazione alle vulnerabilità, minacce, incidenti e attacchi informatici, oltre che ai loro effetti sulla resilienza operativa digitale dell'organizzazione;
  • riesaminare gli incidenti e condividere le esperienze acquisite, monitorando costantemente l’efficacia dell’attuazione della strategia di resilienza e gli sviluppi tecnologici;
  • sensibilizzare e formare il personale, definendo piani di comunicazione nei confronti dei vari stakeholder;
  • definire norme tecniche e regolamentazione.

Da precisare che tutte le disposizioni inserite nel Regolamento Dora si basano sul principio di proporzionalità, il che significa, proprio come nel caso del GDPR, che “gli enti finanziari sono tenuti ad applicare le regole introdotte tenendo conto della loro dimensione, della natura, dell'ampiezza e della complessità dei loro servizi, delle loro attività e delle operazioni e del loro profilo di rischio complessivo”. Spetta quindi al singolo soggetto la valutazione del corretto livello dei requisiti da implementare sui tre pilastri del Regolamento:

  • Governance e organizzazione interna.
  • Risk management.
  • Incident management e reporting.

 

Come preparare l'organizzazione al Regolamento Dora

Come detto, i soggetti che dovranno recepire le disposizioni del nuovo framework hanno 24 mesi di tempo per adeguare l'organizzazione. Per non trovarsi impreparati al momento dell'applicazione del Regolamento Dora, tutti i soggetti coinvolti dovrebbero cominciare a lavorare sia per sviluppare la necessaria cultura interna sia per attivare le iniziative preparatorie volte alla valutazione dell’effettivo impatto delle nuove regole sui processi e sulle persone.

Rispecchiando i pillar del regolamento, sarà dunque opportuno, prima di ogni altra cosa, condurre una gap analysis dell'intera struttura di governance aziendale, verificando la compliance delle misure di gestione dei rischi e incidenti ICT già adottate anche nell'ottica, eventualmente, di riallineare risorse, strategie e contromisure ai nuovi requisiti normativi.

Servirà poi revisionare i processi di incident reporting, per comprendere qual è lo stato attuale dell'organizzazione (e del suo ecosistema) in termini di reattività. Sarà infine imprescindibile procedere con un'accurata valutazione dei provider di servizi ICT, a partire dai partner da cui si acquistano capacità computazionali e di storage in cloud e da quelli che gestiscono operazioni mission-critical esternalizzate.

Ogni rapporto di fornitura dovrà essere inquadrato nell'ottica del Regolamento Dora, e i contratti potranno essere rinegoziati in funzione dell'effettiva readiness della controparte rispetto ai parametri della resilienza operativa digitale.

CTA_BANCHE E CYBER RISK: come proteggersi efficacemente

Topic: Risk Management

Post Correlati

Risk Management Automation: come migliorare l'efficienza dei processi, abbattere i costi e prevenire i rischi
4 aprile 2024
Operational Risk Management
Operational Risk Management: un approccio modulare per la startup di Zurich Italy Bank
23 marzo 2023
resilienza informatica
Resilienza informatica: come mettere al sicuro banche e assicurazioni
2 marzo 2023

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all