La proposta relativa al Digital Operational Resilience Act (DORA), presentata dalla Commissione europea il 24 settembre del 2020, si basa sull’articolo 114 del Trattato sul funzionamento dell’Unione Europea (TFUE). Il regolamento ha l’obiettivo di garantire un approccio unificato sulla resilienza digitale degli Stati membri, tra le Autorità di Vigilanza Europee (AEV), nell’intero settore dei servizi finanziari, nonché di terze parti critiche che forniscono loro servizi relativi all’ambito delle Information and Communication Technologies (ICT), come piattaforme Cloud o servizi di analisi dei dati. Nello specifico, i fornitori critici di servizi ICT a entità finanziarie europee stabilite in Paesi terzi, saranno tenuti a creare una controllata all’interno dell’Unione, in modo che la vigilanza possa essere attuata correttamente.
Inoltre, il DORA si inserisce all’interno di un pacchetto più ampio, conosciuto come “Digital Finance” e che comprende anche una proposta sui mercati delle cripto-attività (MiCA) e una proposta sulla tecnologia di registro distribuito (Distributed Ledger Technology, DLT). Il 24 novembre del 2021 il Consiglio dell’Unione Europea ha adottato il suo mandato negoziale sul DORA, mentre i negoziati informali tra rappresentanti del Parlamento, del Consiglio e della Commissione sono iniziati il 25 gennaio del 2022 e si sono conclusi con l’accordo provvisorio raggiunto l’11 maggio del 2022.
DORA, gli elementi di novità
Il primo elemento innovativo della proposta europea riguarda la forma stessa della disposizione normativa di DORA: la Commissione ha deciso di privilegiare la formula del regolamento, rispetto a quella normativa, rendendo, in questo modo, le disposizioni direttamente applicabili a livello nazionale ed eliminando il rischio di frammentazione e disomogeneità tra Stati membri. Dal punto di vista contenutistico, ulteriori elementi innovativi vanno a configurare un importante cambio di paradigma in relazione al concetto di resilienza e agli attuali modelli di analisi e gestione del rischio, impiegati dalle entità finanziarie.
In un contesto in cui la digitalizzazione costituisce uno dei fattori competitivi più importanti per lo sviluppo delle aziende del settore finanziario, tale concetto non può essere correlato soltanto ai domini ICT e Cyber ma, al contrario, attiene all’intero business aziendale. In accordo con questa prospettiva, la direzione verso cui punta il nuovo Regolamento è quella di sviluppare una strategia di intelligence, includendo nell’analisi delle minacce e del rischio i seguenti domini: geopolitico, economico e regolatorio.
Il Digital Operational Resilience Act è esteso a un’ampia gamma di istituti finanziari, inclusi istituti di credito, Istituti di pagamento, Istituti di moneta elettronica, società di investimento, fornitori di servizi di criptovalute, depositari centrali di titoli, gestori di fondi di investimento alternativi, società di gestione di Organismi di Investimento Collettivo in Valori Mobiliari (OICVM), amministratori di benchmark critici, fornitori di servizi di crowdfunding e fornitori di servizi ICT di terze parti.
DORA, i requisiti richiesti alle aziende
Secondo il nuovo Regolamento le aziende devono possedere i seguenti requisiti:
- disporre di un piano di risposta agli incidenti, attraverso una descrizione dettagliata di ciò che costituisce un attacco informatico;
- mantenere un programma di cybersecurity che includa una valutazione dei rischi posti dagli attacchi cibernetici e un piano d’azione, per mitigarli;
- mantenere adeguati controlli di sicurezza sulla propria infrastruttura digitale (crittografia, autenticazione, controlli degli accessi, audit trail, sistemi di monitoraggio, sistemi di gestione degli eventi e piani di risposta agli incidenti);
- segnalare gli attacchi quando si verificano, in modo che le Autorità di regolamentazione possano valutare le vulnerabilità aziendali e formulare raccomandazioni per migliorarne la posizione di sicurezza;
- disporre di un piano per garantire la continuità del servizio durante le eventuali interruzioni.
DORA, i cinque pilastri fondamentali
Inoltre, DORA si fonda su cinque pilastri fondamentali:
- ICT Risk Management, per affrontare situazioni critiche in maniera più esaustiva;
- ICT-related Incident Management, per standardizzare le attività di classificazione e segnalazione degli incidenti ICT, anche attraverso la creazione di un Hub europeo;
- Digital Operational Resilience Testing, per uniformare le regole nella conduzione dei test di resilienza;
- ICT third-party Risks Management, per il quale le Autorità di Vigilanza Europee avranno il compito di: condurre ispezioni off-site e on-site, richiedere informazioni, rilasciare raccomandazioni e richieste, nonché imporre sanzioni;
- Information Sharing, con l’obiettivo di incoraggiare lo scambio delle informazioni sulle minacce in ambito finanziario.
In merito a quest’ultimo punto, DORA intende istituire un programma su base volontaria per consentire alle entità finanziarie di stabilire accordi per la condivisione e lo scambio di informazioni sulla cyber-threat intelligence.
Altro tema rilevante riguarda la recente proliferazione degli obblighi di segnalazione degli incidenti ICT a cui le aziende devono sottostare, le cui molteplicità di requisiti, tempistiche, soglie e sanzioni associate in caso di non conformità possono ostacolare la gestione efficace degli incidenti ICT. Il DORA prevede degli interventi anche in questo ambito, in quanto armonizzerà i modelli di segnalazione, nonché le condizioni che fanno scattare l’obbligo di segnalazione, che le imprese del settore FS dovranno seguire e fornire alle rispettive autorità nazionali competenti (NCA – probabilmente l’autorità di vigilanza del settore FS). Tuttavia, il regolamento non si allinea o sostituisce alcuni altri obblighi di segnalazione di incidenti, come quelli previsti dal GDPR.
Per quanto riguarda i test sui sistemi (articoli dal 21 al 24), il DORA si basa sull’attuale legislazione in materia di test di penetrazione per creare un quadro più standardizzato. Molte infrastrutture dei mercati finanziari (FMI) sono già tenute per legge a eseguire test in conformità ai Threat-Led Penetration Testing Frameworks (TLPT). Il DORA si basa su questo sistema, aumentando il numero di istituzioni che devono essere sottoposte a test da parte di penetration tester di terze parti. Di fatto, l’obbiettivo del regolamento è di armonizzare i test di penetrazione transfrontalieri. Alle autorità di vigilanza europee (ESA) viene chiesto di sviluppare criteri per il riconoscimento dei test di penetrazione negli Stati membri. L’obiettivo è quello di creare un riconoscimento dei test di penetrazione in tutta l’Unione Europea, al fine di ridurne la complessità e la duplicazione.
Oltre a stabilire obblighi di resilienza più severi per le imprese di servizi finanziari dell’UE, il DORA stabilisce anche un nuovo regime normativo per la supervisione diretta dei fornitori di servizi ICT così definiti “critici”, e indica nuovi requisiti contrattuali più severi tra le entità regolamentate e qualsiasi fornitore ICT a cui si rivolgono. Nel caso dei fornitori “critici”, il DORA crea un quadro di riferimento per la resilienza operativa digitale (articoli dal 25 al 39), in base al quale tutte le aziende devono dimostrare di essere in grado di resistere, rispondere e riprendersi da un’ampia gamma di interruzioni ICT e minacce informatiche. Attualmente, gli Istituti finanziari si possono considerare pronti a cogliere tutte le opportunità di miglioramento e le sfide poste da DORA, integrandole con la normativa esistente, a livello nazionale ed europeo.
Allo stato attuale, di fatto, mancano: una tassonomia aggiornata e condivisa rispetto al nuovo concetto di resilienza e al rinnovato perimetro dei rischi; un framework di riferimento in cui inquadrare i requisiti del nuovo modello di gestione del rischio promosso dal Regolamento.
Conclusioni
Il regolamento entrerà in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione Europea. Dopo la sua adozione, gli Stati membri avranno 24 mesi per apportare modifiche al Diritto nazionale al fine di conformarsi ad esso.
Quasi tutte le entità finanziarie saranno soggette alle nuove norme, ad eccezione dei revisori contabili che, in base all’accordo provvisorio, non saranno soggetti a DORA, ma rientreranno in un futuro riesame del Regolamento.
La conformità degli operatori alle regole emanate sarà assicurata da un costante monitoraggio svolto dalle Autorità europee competenti, che avranno facoltà di applicare sanzioni in caso di violazione.