4.02 Atto di resilienza operativa digitale (DORA)

Al giorno d'oggi, gli attacchi alla sicurezza informatica rappresentano una seria minaccia per il settore finanziario: hanno la capacità di compromettere l'intero sistema. Il Digital Operational Resilience Act (DORA), nell'ambito del Regolamento della Finanza Digitale, mira a fornire indicazioni alle istituzioni del settore, stabilendo regole per la gestione degli incidenti legati all'ICT.

 

Contenuto

• Cos'è DORA?
• Quali sono i principali obiettivi del regolamento DORA?
• A quali entità si applica la DORA?
• Che tipo di definizioni vengono utilizzate in DORA?
• Aree chiave di DORA
• Quali sono le sfide previste per DORA?
• Quali azioni dovrebbero essere intraprese dal punto di vista degli enti finanziari?

 

Cos’è DORA?

DORA, il Regolamento del Parlamento Europeo e dell'Atto sulla resilienza operativa digitale del settore finanziario, fa parte del pacchetto Finanza Digitale.

 

Il pacchetto include anche:

• regolamento sui mercati in cripto asset (MiCA) ,
• regolamento su un regime pilota per le infrastrutture del mercato basato sulle tecnologie di registro distribuito (DLT).

DORA è entrata in vigore il 16 gennaio 2023 e il regolamento si applicherà dal 17 gennaio 2025.

Attualmente, il quadro generale per la cybersicurezza a livello UE è definito dalla Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio (NIS - Network and Information Systems Directive). Il suo emendamento, la cosiddetta direttiva NIS 2, dovrebbe entrare in vigore a breve.

DORA dovrebbe diventare il principale punto di riferimenti in termini di sicurezza informatica nel settore finanziario. 

 

Quali sono i principali obiettivi del regolamento DORA?

L'obiettivo generale è aumentare la resilienza digitale operativa per le entità del settore finanziario dell'UE semplificando e migliorando le normative esistenti, nonché introducendo nuovi requisiti nelle aree in cui sono evidenti le lacune.

Il regolamento mira a consolidare e aggiornare i requisiti di rischio ICT (Information and Communications Technology) contenuti separatamente nei singoli regolamenti e direttive.

 

A quali entità si applica la DORA?

DORA si rivolge alle seguenti entità:

• istituti di credito,
• istituti di pagamento,
• istituti di moneta elettronica,
• imprese di investimento,
• fornitori di servizi di cripto-asset, emittenti di cripto-asset, emittenti di token con riferimento ad asset ed emittenti di token con riferimento ad asset significativi,
• depositari centrali di titoli,
• controparti centrali,
• sedi di negoziazione,
• repository commerciali,
• gestori di fondi d'investimento alternativi,
• società di gestione,
• fornitori di servizi di comunicazione dati,
• imprese di assicurazione e di riassicurazione,
• intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio,
• enti pensionistici aziendali o professionali,
• agenzie di rating del credito,
• revisori legali e società di revisione,
• amministratori di benchmark critici,
• fornitori di servizi di crowdfunding,
• repository di cartolarizzazione,
• fornitori terzi di servizi ICT.

 

Che tipo di definizioni vengono utilizzate in DORA?

• Per resilienza operativa digitale si intende la capacità di un'entità finanziaria di costruire, assicurare e rivedere la propria integrità operativa da un punto di vista tecnologico garantendo, direttamente o indirettamente, attraverso l'uso di servizi di fornitori terzi di ICT, l'intera gamma di servizi ICT correlati capacità necessarie per affrontare la sicurezza della rete e dei sistemi informativi di cui si avvale un'entità finanziaria e che supportano la fornitura continua di servizi finanziari e la loro qualità.
• Incidente relativo alle ICT: un evento identificato imprevisto nella rete e nei sistemi informativi, derivante o meno da attività dolose, che compromette la sicurezza della rete e dei sistemi informativi, delle informazioni che tali sistemi elaborano, memorizzano o trasmettono, o ha effetti negativi sulla disponibilità, riservatezza, continuità o autenticità dei servizi finanziari forniti dall'entità finanziaria.
• Per rischio ICT si intende qualsiasi circostanza ragionevolmente identificabile in relazione all'uso della rete e dei sistemi informativi, inclusi un malfunzionamento, un superamento della capacità, un guasto, un'interruzione, un deterioramento, un uso improprio, una perdita o altro tipo di evento doloso o non doloso, che, se concretizzato, può compromettere la sicurezza della rete e dei sistemi informativi, di qualsiasi strumento o processo dipendente dalla tecnologia, del funzionamento e dell'esecuzione dei processi o della fornitura di servizi (…).
• Fornitore terzo di servizi ICT: un'impresa che fornisce servizi digitali e di dati, compresi i fornitori di servizi di cloud computing, software, servizi di analisi dei dati, centri dati, ma esclusi i fornitori di componenti hardware e le imprese autorizzate a norma del diritto dell'Unione che forniscono servizi di comunicazione elettronica.

 

Aree chiave di DORA

DORA si compone di 5 aree chiave:

 

• Gestione del rischio ICT – quadro di gestione del rischio ICT completo e ben documentato (strategie, politiche, protocolli e strumenti necessari per la corretta ed efficace protezione dell’infrastruttura) che viene rivisto almeno una volta all’anno.
  • Identificazione, classificazione e documentazione delle funzioni aziendali relative all’ICT,
  • Sviluppo di una politica di sicurezza informatica,
  • Avere meccanismi per rilevare rapidamente attività anomale,
  • Attuazione di una politica globale di continuità operativa delle ICT,
  • Politica di backup,
  • Conclusioni da test e incidenti,
  • Formazione obbligatoria per il personale (dipendenti e dirigenti),
  • Piani di comunicazione che consentano una divulgazione responsabile di incidenti relativi alle ICT o delle principali vulnerabilità a clienti e controparti.
• Incidenti relativi alle ICT – gestione, classificazione e reporting – processi per garantire il monitoraggio degli incidenti relativi alle ICT e azioni correttive.
  • Classificazione degli incidenti e determinazione del loro impatto in base a determinati criteri (tra cui durata dell'incidente, numero di utenti interessati, criticità dei servizi interessati),
  • Segnalazione di incidenti gravi all'autorità competente pertinente (una notifica iniziale, una relazione intermedia e una relazione finale).
• Test di resilienza operativa digitale: test di tutti i principali sistemi e applicazioni ICT almeno una volta all'anno. Il programma di test include:
  • Analisi open source,
  • Valutazioni sulla sicurezza della rete,
  • Test di scenario,
  • Test delle prestazioni,
  • Test di penetrazione (le entità diverse dalle microimprese dovrebbero condurre test avanzati almeno una volta ogni tre anni utilizzando i test di penetrazione per le ricerche sulle minacce – la documentazione dei test deve essere approvata dalle autorità competenti).
• Gestione del rischio ICT di terze parti: tutti i processi relativi alla collaborazione con fornitori esterni.
  • Valutazione del fornitore,
  • Attuare una strategia di uscita (la capacità di recedere dagli accordi contrattuali con il fornitore di servizi ICT) e sviluppare un piano di transizione che non interrompa i sistemi e danneggi la continuità e la qualità dei servizi forniti,
  • Contratti con fornitori di servizi ICT (per iscritto) che includono gli accordi sul livello dei servizi,
  • Determinazione dei principali fornitori di servizi ICT esterni,
  • Multe periodiche per i principali fornitori di servizi ICT esterni.
• Modalità di condivisione delle informazioni: la capacità delle entità finanziarie di condividere informazioni sulle minacce informatiche e i risultati dell'analisi di tale minaccia informatica, tra cui:
  • Segni di una violazione dell'integrità del sistema,
  • Tattiche,
  • Tecniche e procedure,
  • Avvisi di sicurezza informatica,
  • Strumenti di configurazione.

 

All'interno di ciascuna delle aree chiave, DORA richiede alle entità finanziarie di rispettare una serie di requisiti in relazione a vari aspetti all'interno dell'ICT e della sicurezza digitale. Pertanto, fornisce un quadro completo* per la resilienza digitale delle entità finanziarie.

* Le Autorità di vigilanza europee sono tenute a predisporre e pubblicare norme tecniche di regolamentazione relative alle linee guida contenute nel regolamento per concretizzarne i requisiti.

 

Quali sono le sfide previste per DORA?

• Eliminare le sovrapposizioni normative e le incongruenze e lacune normative,
• Aumentare la condivisione delle informazioni e la cooperazione sull'analisi delle minacce informatiche per consentire alle singole entità finanziarie di valutare, monitorare, difendersi e rispondere adeguatamente alle minacce informatiche,
• Standardizzare i requisiti di segnalazione degli incidenti ICT in modo che i supervisori abbiano un quadro completo della natura, della frequenza, del significato e dell'impatto degli incidenti,
• Ridurre i costi di conformità per gli enti finanziari, in particolare per gli enti finanziari con operazioni transfrontaliere.

 

Quali azioni dovrebbero essere intraprese dal punto di vista degli enti finanziari?

• Allineare i processi e le pratiche con le linee guida del regolamento, comprese le politiche sulla sicurezza delle informazioni, la continuità aziendale, la risposta agli incidenti e il ripristino di emergenza,
• Prepararsi a condurre valutazioni e rapporti periodici,
• Identificare e rivedere tutti i fornitori di servizi ICT, i relativi contratti e la documentazione.