Il settore finanziario internazionale ha abbracciato il mondo della tecnologia IT, il digitale è praticamente ovunque e si moltiplicano le applicazioni per semplificare ogni passaggio tecnico. Però aumentano anche i rischi e le minacce, ecco perché oggi parliamo di Digital Operational Resilience Act. Ovvero il regolamento DORA proposto dall’Unione Europea.
Il DORA riguarda, come avrai sicuramente intuito, il settore finanziario e ha un obiettivo chiaro: definire i parametri necessari per anticipare e affrontare le minacce informatiche.
Il tutto applicando la logica chiave della resilienza, ovvero la capacità di affrontare le minacce attraverso una prospettiva di automiglioramento e riorganizzazione virtuosa. Questa ovviamente è la teoria: come possiamo definire nella pratica questo passaggio?
Il Digital Operational Resilience Act ha come obiettivo proprio questo passaggio, ecco cosa devi sapere per approfondire questo argomento ormai centrale per diverse realtà.
Indice dei contenuti
Cos’è il DORA e a cosa serve, definizione
DORA è l’acronimo del Digital Operational Resilience Act, ovvero l’atto sulla resilienza operativa digitale. Si tratta di un regolamento varato dall’UE (qui hai il documento ufficiale e la pagina di riferimento del Parlamento Europeo) il 16 gennaio 2023 e che dovrebbe entrare in vigore in modo ufficiale il 17 gennaio del 2025. Di cosa si tratta esattamente?
It aims at strengthening the IT security of financial entities such as banks, insurance companies and investment firms and making sure that the financial sector in Europe is able to stay resilient in the event of a severe operational disruption.
Stiamo parlando di un regolamento per rafforzare la sicurezza informatica di società come banche, assicurazioni, società di investimenti per fare in modo che il settore all’interno dell’UE possa rimanere efficace e funzionante in caso di grave interruzione.
Questo è l’obiettivo del DORA – che fa parte del pacchetto della Commissione Europea sulla finanza digitale che include la Digital Finance Strategy, la Regulation on Markets in Crypto Assets (MICA) – ma alla base c’è la capacità di uniformare gli interventi, le precauzioni e le tecnologie tra diversi paesi, entità finanziarie e fornitori tecnologici di servizi ICT.
Cosa devono fare gli attori in campo?
Possiamo proporre questa sintesi: il DORA è un intervento legislativo dell’UE volto ad armonizzare le linee guida sulla cybersicurezza nel settore finanziario per affrontare le notevoli minacce all’orizzonte. In questa fase, le varie attività nazionali hanno il dovere di recepire e osservare le indicazioni ma lo stesso vale per le diverse autorità:
- Vigilanza europea (ESA).
- Autorità bancaria europea (EBA).
- Strumenti finanziari e dei mercati (ESMA).
- Assicurazioni e delle pensioni (EIOPA).
Queste entità devono sviluppare standard tecnici che devono essere rispettati da tutti gli istituti che forniscono determinati servizi finanziari. Le autorità nazionali che si occupano di questi aspetti, inoltre, devono supervisionare l’adempimento delle regole da parte dei soggetti coinvolti in questo processo che – così come fa il GDPR rispetto alla privacy dei dati, il DORA – migliora e aggiorna la gestione dei rischi nel settore ICT dei servizi finanziari.
Quali sono i punti di implementazione?
Uno dei grandi interrogativi quando si affronta il tema del DORA per i settori finanziari: cosa andrema a migliorare e implementare? Sempre secondo le fonti ufficiali, il primo punto da migliorare è la gestione del rischio ICT migliorando i requisiti del framework di gestione del rischio con revisione annuale e definizione della tolleranza di rischio ammissibile.
Si passa poi al miglioramento del sistema di segnalazione degli incidenti significativi correlati alle dinamiche ICT in modo da allertare alle autorità competenti il fatto, con relativa evoluzione delle dinamiche in modo da contenere il più possibile eventuali danni.
Non a caso, la comunicazione e lo scambio delle informazioni è un parametro fondamentale, così come l’armonizzazione dei test di resilienza operativa digitale e la gestione del rischio ICT da parte di aziende di terze parti. Ecco cosa suggerisce l’UE:
Legislative disparities and uneven national regulatory or supervisory approaches with regard to ICT risk trigger obstacles to the functioning of the internal market in financial services, impeding the smooth exercise of the freedom of establishment and the provision of services for financial entities operating on a cross-border basis. This is the case, in particular, for areas where Union harmonisation has been very limited, such as digital operational resilience testing, or absent, such as the monitoring of ICT third-party risk.
Le disparità legislative, e gli approcci normativi o di vigilanza nazionali non uniformi, ostacolano il funzionamento del mercato interno dei servizi finanziari. Ciò vale in particolare per le aree in cui l’armonizzazione dell’Unione è stata molto limitata o assente, come i test di resilienza operativa digitale o il monitoraggio del rischio di terze parti ICT.
Applicazione del regolamento DORA
Possiamo riassumere, quindi, che gli ambiti di riferimento del DORA si sintetizzano in 4 punti essenziali: gestione virtuosa del rischio ICT, segnalazione tempestiva e risposta agli incidenti, test di resilienza digitale, gestione del rischio di terze parti.
Nello specifico, l’organo amministrativo di un’entità finanziaria ha la responsabilità di gestire il rischio in termini ITC. Per questo hanno il dovere di mappare i sistemi per individuare eventuali problemi e asset critici, sviluppare framework adeguati e sicuri. Applicando continue valutazioni del rischio in termini di information and communication technology.
La valutazione del rischio per un’azienda che si occupa di temi legati alla finanza e all’economia è fondamentale, consente di valutare scenari e individuare strategie di contenimento dei danni ma anche prevenzione dei rischi. Questo avviene proteggendo l’infrastruttura e investendo in cybersecurity grazie alle consulenze di aziende specializzate.
Aziende che permettono di realizzare tutto ciò che serve per anticipare e monitorare, individuare e comprendere, gestire e segnalare alle autorità eventuali incidenti.
I rapporti in questi settori possono interessare sia la notifica dell’evento che l’evoluzione della gestione e la reportistica finale per valutare le azioni effettuate e gli eventuali danni. Solo la trasparenza consente alle aziende di affrontare le criticità in modo virtuoso.
Altro aspetto fondamentale è la valutazione dei fornitori dei servizi ICT. Questi test e queste attività di monitoraggio devono interessare anche le aziende che forniscono i servizi necessari per soddisfare le esigenze espresse dal DORA. In sintesi, non basta acquistare un servizio ma bisogna evitare contratti con fornitori ICT che non rispettano i requisiti di resilienza operativa digitale.
Le aziende hanno ancora tempo?
Gennaio 2025. Questa è la data di scadenza per allinearsi alle direttive DORA per aumentare sicurezza digitale delle aziende che lavorano nel comparto finanziario.
I fornitori ICT critici saranno verificati direttamente da quelli che l’UE definisce organi primari di sorveglianza. Il tuo obiettivo? Fare in modo che si applichino tutte le misure di sicurezza e le correzioni necessarie per evitare sanzioni. Però i requisiti saranno applicati in modo proporzionale, e le realtà minori non hanno la stessa responsabilità dei grandi gruppi.
Ma è vero che quando si lavora su questo fronte è giusto evitare qualsiasi rischio. Ecco perché puoi affidarti ai professionisti dell’ICT per affrontare questi punti.
