DORA, uno scudo per la finanza digitale - Riskmanagement

Normative europee

Digital Resilience Operation Act (DORA), uno scudo alla finanza digitale

ll regolamento DORA fa parte del “pacchetto finanza digitale”, un corpus di misure volte ad abilitare e sostenere il potenziale della finanza digitale in termini di innovazione e concorrenza mitigando i rischi che ne derivano

30 Dic 2020

Beatrice Zanetti

DPO, Management systems consultant, Legal advisor

ll 24 Settembre 2020 la Commissione Europea ha pubblicato una proposta di regolamento del Parlamento europeo e del Consiglio in materia di “resilienza operativa digitale per il settore finanziario” (Digital Resilience Operational Act – di seguito anche DORA), proposta che andrebbe a modificare i precedenti regolamenti europei n. 1060/2009, n. 648/2012, 600/2014 e 909/2014. ll Regolamento DORA fa parte del c.d. “pacchetto finanza digitale”, un corpus di misure volte ad abilitare e sostenere il potenziale della finanza digitale in termini di innovazione e concorrenza mitigando i rischi che ne derivano. Stante il costante aumento dell’utilizzo di strumenti di information and communication technology (ICT) in ambito finanziario, e il conseguente aumento di rischi connessi ai cyber attacchi, l’Unione Europea ha colto l’esigenza di implementare delle regole per assicurare degli standard di sicurezza alle infrastrutture e monitorare i fornitori ICT operanti nel settore.

Il lavoro della Commissione Europea si è quindi incentrato su due focus: da un lato sulla modifica della normativa esistente in tema di Network and Information Security (Direttiva NIS), dall’altro sul creare una nuova regolamentazione volta ad assicurare la resilienza operativa digitale nel settore finanziario.

DORA

Resilienza finanziaria: il contesto normativo

La tematica della resilienza finanziaria non è una novità: la crisi finanziaria del 2008 ha infatti messo in atto un corpus unico di regole volto a disciplinare gran parte dei rischi finanziari associati ai servizi finanziari. Tuttavia, la resilienza della sicurezza operativa digitale era stata considerata sono marginalmente. Si è assistito, infatti, all’emanazione di direttive di armonizzazione minima o di regolamenti basati su principi che lasciavano un ampio spazio per l’adozione di approcci divergenti nel mercato unico. Nessun intervento, infine, forniva alle autorità di vigilanza finanziaria strumenti adeguati per prevenire l’instabilità finanziaria derivante dalla concretizzazione dei rischi legati all’ICT. Ne è conseguito un proliferare di iniziative normative nazionali e di approcci alla vigilanza diversificati, con scarsa efficacia a fronte della natura transfrontaliera dei rischi e tale da mettere a repentaglio la protezione dei consumatori e degli investitori.

Obiettivi del Regolamento DORA

Nel contesto normativo descritto, il regolamento DORA si propone, quindi, di:

  • migliorare, snellire e armonizzare le regole di condotta delle entità finanziarie nella gestione del rischio ICT;
  • aumentare la consapevolezza delle autorità di vigilanza sui rischi informatici e sulla gestione degli incidenti;
  • garantire alle autorità di vigilanza il potere di sorvegliare i fornitori di servizi ICT per quanto attiene ai rischi derivanti dalla dipendenza delle entità finanziarie.

Le novità introdotte da DORA

La proposta di Regolamento è stata strutturata tenendo in considerazione degli orientamenti e delle migliori prassi europee e internazionali volte a rafforzare la resilienza informatica e operativa del settore finanziario.

Campo di applicazione

All’art. 2 viene esplicitato il campo di applicazione del Regolamento.

La disciplina del DORA sarà applicabile agli enti creditizi, agli i istituti di pagamento, ai fornitori di servizi di criptovaluta, agli istituti di moneta elettronica, ai titoli centrali depositari, alle controparti centrali, alle imprese di investimento, ai gestori di fondi d’investimento alternativi e alle società di gestione, alle sedi di negoziazione, ai repertori di dati sulle negoziazioni, ai fornitori di servizi di comunicazione dei dati, alle imprese di assicurazione e di riassicurazione, agli intermediari assicurativi, agli intermediari di riassicurazione e intermediari assicurativi ausiliari, agli istituti di pensione professionale, alle agenzie di rating del credito, ai revisori legali e società di revisione, agli amministratori di benchmark critici e ai fornitori di servizi di crowdfunding.

DORA

L’ampio campo di applicazione facilità un’implementazione omogenea e coerente di tutte le componenti della gestione del rischio sulle aree legate all’ICT, salvaguardando al contempo la parità di condizioni tra le entità finanziarie.

WHITEPAPER
Quali sono stati i casi di cybercrime più aggressivi degli ultimi anni? Scoprilo nel white paper
Cybersecurity

Non viene negata l’esistenza di differenze significative tra le entità finanziarie cui il Regolamento si riferisce, differenze che trovano ragione nelle diverse dimensioni, profili aziendali o in relazione all’esposizione al rischio. Le entità finanziarie più grandi dovranno, ad esempio, stabilire accordi di governance complessi, costituire funzioni di gestione dedicate, eseguire valutazioni approfondite dopo importanti cambiamenti nelle infrastrutture di rete e del sistema informativo, condurre regolarmente analisi del rischio sui sistemi ICT legacy, espandere la verifica della continuità aziendale e dei piani di risposta e ripristino per acquisire scenari di passaggio tra la loro infrastruttura ICT primaria e le strutture ridondanti. Inoltre, solo le entità finanziarie identificate come significative ai fini dei test avanzati di resilienza digitale saranno tenute a condurre penetration test in relazione alle proprie minacce.

Restano esclusi dal campo di applicazione i gestori dei sistemi nei sistemi di pagamento e regolamento dei titoli – SFD – (come definiti all’art. 2 lett. p) della Dir. 98/26/CE) e i partecipanti a tali sistemi, purché non siano entità finanziarie. Resta inoltre escluso anche il Registro dell’Unione per le quote di emissioni.

Ruoli e responsabilità

Per quanto attiene alla governance delle entità finanziarie, l’art. 4 del Regolamento DORA propone di allineare le strategie aziendali e la condotta relativa alla gestione del rischio ICT. All’organo di gestione è affidato il ruolo attivo di guida nel quadro di gestione dei rischi e di vigilanza sul rispetto dei principi di cyber security. All’organo di amministrazione è invece affidata la piena responsabilità circa la gestione del rischio. Vengono assegnati a quest’ultimo compiti specifici, quali quello di assegnare chiaramente ruoli e responsabilità a tutte le funzioni legate all’ICT, controllare e monitorare l’andamento dei rischi connessi, mappare e gestire tutti i processi di approvazione e controllo nonché assicurare l’allocazione delle risorse per gli investimenti, anche in ambito di formazione, relativi all’ICT.

La gestione del rischio ICT

I requisiti per la gestione del rischio ICT sono enunciati dagli articoli 5 a 14 del Regolamento. La resilienza operativa digitale si costituisce di una serie di principi e requisiti chiave supportati dalla consulenza tecnica congiunta delle ESA (Autorità europee di vigilanza).

In prima battuta viene ribadita l’esigenza di garantire un’efficace assegnazione dei ruoli e delle responsabilità nella gestione del rischio ICT, con particolare riferimento alle figure preposte;

  • all’identificazione dei rischi
  • alla predisposizione di misure di protezione e prevenzione
  • al rilevamento, risposta e recupero in occorrenza di incidenti
  • alla formazione e comunicazione.

È poi richiesto alle entità finanziarie di configurare e mantenere sistemi e strumenti ICT resilienti, che riducano al minimo l’impatto delle minacce. A tal fine è necessario strutturare processi di:

  • identificazione e aggiornamento continuo delle minacce
  • implementazione e monitoraggio delle misure di sicurezza
  • rilevamento delle anomalie
  • business continuity
  • disaster recovery
  • assicurazione dell’integrità, della sicurezza e della resilienza delle strutture fisiche di elaborazione delle informazioni.

Il Regolamento non impone una standardizzazione specifica, ma fa riferimento a standard settoriali e best practice riconosciute a livello internazionale.

La gestione degli incidenti

Per quanto concerne la gestione degli incidenti ICT, gli articoli da 15 a 20 DORA intendono armonizzare e razionalizzare le modalità di segnalazione e gestione degli stessi.

Le entità finanziarie sono chiamate a strutturare un processo di gestione, monitoraggio e registrazione degli incidenti basato su criteri di classificazione dettagliati specificamente dalle autorità di vigilanza (che specificano le soglie di rilevanza) e obblighi di segnalazione per gli eventi considerati gravi. Le entità finanziarie dovranno presentare relazioni iniziali, intermedie e finali, oltre a informare i propri utenti e clienti nei confronti dei quali l’incidente possa avere un impatto. I dettagli degli incidenti saranno inoltre comunicati alla BCE e ai punti di contatto unici definiti dalla Direttiva NIS.

Le autorità di vigilanza, in concerto con la BCE ed ENISA stanno valutando la possibilità di istituire un hub unico dell’UE per la centralizzazione delle principali segnalazioni relative a incidenti ICT.

Test sui sistemi

Altro punto saliente del nuovo Regolamento è l’obbligo di test periodico delle minacce, nonché di pronta attuazione di misure correttive, stabilito dagli art. 21 – 24. Come sopra accennato, il Legislatore europeo tiene conto delle diverse dimensioni delle entità finanziarie, ed impone l’obbligo di test solo per quelle di dimensioni rilevanti. Per queste ultime scatta l’obbligo di condurre test avanzati basati su TLPT (Threat led penetration testing), stabilendo anche i requisiti per i tester e il riconoscimento dei risultati in tutta l’Unione. Anche le entità più piccole sono chiamate ad eseguire verifiche sull’idoneità degli strumenti e dei sistemi ICT.

Fornitori critici

Per quanto attiene ai profili di rischio connessi al ricorso a fornitori ICT, il Regolamento (articoli da 25 a 39) mira a garantire un monitoraggio accurato del rischio derivante dalle terze parti, armonizzando i principi di sorveglianza e stabilendo gli elementi chiave del servizio e dei rapporti con i fornitori.

I contratti che regolano le forniture ICT dovranno contenere:

  • una descrizione completa dei servizi
  • l’indicazione dei centri di elaborazione dei dati
  • descrizioni complete degli SLA garantiti, accompagnati da obiettivi di prestazione quantitativi e qualitativi
  • disposizioni in materia di accessibilità, disponibilità, integrità e protezione dei dati personali
  • garanzie di accesso, recupero e restituzione dei dati
  • diritti di ispezione da parte dell’entità finanziaria o di terze parti
  • diritti di risoluzione chiari e strategie di uscita dedicate.

Poiché questi elementi contrattuali possono essere standardizzati, il Regolamento incentiva l’utilizzo delle clausole standard della Commissione Europea per il cloud computing.

I fornitori di servizi ICT, essendo fornitori critici con riferimento alla resilienza operativa digitale delle entità finanziarie, saranno sottoposti alla vigilanza dell’ESA.

Condivisione delle informazioni

Come ultimo tassello, al fine di aumentare la consapevolezza del rischio ICT, minimizzare la diffusione, supportare le capacità di risposta e le tecniche di prevenzione delle minacce, il Regolamento consente alle entità finanziarie di stabilire accordi per lo scambio di informazioni e intelligence sulle minacce informatiche.

Conclusioni

La legislazione DORA proposta dalla Commissione è il primo e fondamentale passo per la resilienza operativa dei servizi finanziari nel diritto dell’UE. Questa proposta dovrà ora essere negoziata dal Parlamento europeo e dal Consiglio europeo e dovrebbe entrare in vigore nei prossimi 12-18 mesi.

@RIPRODUZIONE RISERVATA
Z
Beatrice Zanetti
DPO, Management systems consultant, Legal advisor

Articolo 1 di 5