Ihre
Suche

    08.11.2024

    Le novità e l'impatto del regolamento Dora


    Articolo a cura di Fabio Coco pubblicato su Funds People

    Con l'aumento delle minacce informatiche, il legislatore europeo ha riconosciuto l'importanza di dotare le istituzioni finanziarie, bancarie e assicurative dell'Unione di un quadro normativo che favorisca la loro resilienza operativa digitale.

    Il Regolamento UE 2022/2554, noto come "DORA" (Digital Operational Resilience Act), la cui applicazione dovrebbe decorrere a partire dal 17 gennaio 2025, rappresenta la più importante riforma sinora varata nel settore della sicurezza informatica nell'ambito bancario, finanziario e assicurativo. Come confermato dai suoi considerando, il crescente grado di digitalizzazione e interconnessione ha amplificato i rischi informatici in conseguenza del ruolo essenziale acquisito dai servizi ICT. Con l'aumento delle minacce informatiche e delle interruzioni operative conseguenti a incidenti di sicurezza, il legislatore europeo ha riconosciuto l'importanza di dotare le istituzioni finanziarie, bancarie e assicurative dell'Unione di un quadro normativo che favorisca la loro "resilienza operativa digitale", ossia la capacità di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo tramite i servizi ICT di fornitori terzi, la sicurezza dei sistemi informatici anche a fronte di eventuali perturbazioni. In tal senso, è cruciale che le entità finanziarie ed i loro provider di servizi ICT adottino misure adeguate e idonee per garantire la sicurezza e l'affidabilità delle loro operazioni.

    I pilastri principali su cui poggia la disciplina di DORA sono essenzialmente cinque:

    (i) Gestione dei rischi: obbligo di mappare tutte le funzioni e le attività supportate da servizi ICT e gestirne i rischi, le minacce alla cybersecurity e le vulnerabilità, dotandosi di strutture di governance interna e formalizzando le relative policy per monitorarle.

    (ii) Resilienza operativa: obbligo di prevedere un programma di test per valutare e rimediare eventuali lacune di sicurezza informatica.

    (iii) Rapporti con i fornitori terzi: valutazione e monitoraggio dei rischi dei rapporti con fornitori esterni (in particolare i fornitori con cui hanno rapporti diretti e anche i subcontractors) tramite la redazione di accordi contrattuali che includano i requisiti minimi indicati nel regolamento.

    (iv) Gestione degli incidenti: obbligo di informare le autorità competenti su eventuali incidenti significativi e le misure adottate per affrontarli.

    (v) Meccanismi di condivisione delle informazioni: possibilità di scambio reciproco di informazioni e analisi delle minacce informatiche.

     

    Gli impatti di DORA

    L'impatto di DORA sulle varie tipologie di entità finanziarie non sarà lo stesso per tutti i destinatari, sia in termini di presidi di governance interna (es. aggiornamento delle policy di sicurezza informatica) sia in termini di revisione dei contratti con i fornitori di servizi ICT a supporto di funzioni essenziali o importanti.

    In particolare, le banche (attesa la loro rilevanza a livello di rischio sistemico) erano già sottoposte a un framework regolamentare particolarmente avanzato in ragione del recepimento sia degli orientamenti EBA su esternalizzazione che degli orientamenti EBA sulla gestione dei rischi ICT e di sicurezza (entrambi poi richiamati e attuati nella Circolare 285) che già anticipavano alcune delle misure poi successivamente ribadite da DORA.

    Insieme alle banche, anche le imprese di assicurazione, nonché SGR e gestori di FIA, sono già attualmente chiamati ad adottare una serie di presidi in caso di esternalizzazione di funzioni essenziali o importanti. Per le imprese di assicurazione vi saranno impatti sulle attività da svolgere internamente per l'adeguamento e la compliance con le previsioni di DORA, anche alla luce della ormai risalente regolamentazione di settore (i.e. il Regolamento IVASS n. 38 del 2018). Le SGR, i gestori di FIA e le imprese di investimento a loro volta avranno un impatto rilevante (in termini di sforzi interni per l'adeguamento); le attuali fonti non approfondiscono e non considerano in modo esaustivo le regole di resilienza operativa digitale (si pensi al Regolamento UE 2013/231 e al Regolamento di Banca d'Italia e Consob del 5 dicembre 2019, ma anche al Regolamento UE 2017/565; anche se parzialmente, l'unica fonte che cerca di regolamentare il tema sono gli orientamenti ESMA sul cloud, applicabili peraltro solo ai servizi in cloud).

    In ogni caso, ciascuna entità finanziaria dovrà innanzitutto individuare tutti i contratti riconducibili a servizi ICT prestati da fornitori terzi; tra questi si dovranno distinguere i servizi a supporto di funzioni essenziali o importanti, ossia quelle funzioni la cui interruzione o la cui esecuzione interrotta, carente o insufficiente, comprometterebbe sostanzialmente i risultati finanziari o la solidità o la continuità dei servizi e delle sue attività, o ancora il costante adempimento delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa di settore applicabile. Successivamente, sarà necessario svolgere una gap analysis per poter correttamente valutare i rischi e le azioni da intraprendere per poter adeguare tutte le policy e le procedure interne e i contratti ai nuovi requisiti previsti dal Regolamento DORA e dai regolamenti delegati.

    In tal senso, il framework DORA è ben lungi dall'essere completato e, in particolare, (i) mancano ancora la maggior parte delle norme tecniche di attuazione (c.d. RTS e ITS, si pensi ad esempio alla classificazione degli incidenti, alla gestione dei rapporti con i subfornitori, alle metodologie di notifica e reporting degli incidenti) e (ii) sarà necessaria l'emanazione di un decreto legislativo di "armonizzazione" dell'ordinamento italiano alle novità introdotte dal pacchetto DORA come previsto dall'art. 16 della legge delega n. 15/2024. Inevitabilmente, tutto ciò rende ancora più difficile questa fase di implementazione e progressivo adeguamento a questa nuova normativa "iper-tecnica".

    Tutela del diritto di ipoteca rispetto alla confisca edilizia
    Articolo a cura di Bruno Fondacaro e Francesca Maggioni tratto da Diritto Bancar…
    Weiterlesen
    Zulässigkeit von Hinauskündigungsklauseln in Form einer Vesting-Regelung bei Start-ups
    In der Start-up-Finanzierung können Hinauskündigungsklauseln wirksam sein, die v…
    Weiterlesen
    Warum man das LkSG weiterhin ernst nehmen muss (auch die Geschäftsleitung) und was das (auch) mit der ausstehenden Umsetzung der CSRD zu tun hat
    Das deutsche Lieferkettensorgfaltspflichtengesetz (kurz: LkSG) war schon von Beg…
    Weiterlesen
    Alle Jahre wieder – die betriebliche Weihnachtsfeier und die rechtlichen Grenzen
    Alle freuen sich auf Weihnachten, auch Arbeitnehmer. Umso schöner, wenn es zum J…
    Weiterlesen
    Il grande freddo delle Borse senza l'unione dei mercati
    La frammentazione delle procedure di scambio è uno degli ostacoli alla crescita …
    Weiterlesen
    Le sfide del diritto d'autore nell'era digitale: proprietà intellettuale online e intelligenza artificiale
    10 e 17 dicembre 202417.00-18.30Università degli Studi Roma Tre Luca Guidobaldi…
    Weiterlesen
    Newsletter Vergaberecht Dezember 2024
    Die Dezember-Ausgabe des Newsletters Vergaberecht beinhaltet Beiträge zu den fol…
    Weiterlesen
    Zwischen Nutzen und Risiko: Was bei Online-Recherchen im Bewerbungsprozess erlaubt ist
    Online-Recherchen zu Bewerbern können eine heikle Angelegenheit sein. Wann Arbei…
    Weiterlesen
    Sondernewsletter Jahressteuergesetz 2024
    Liebe Mandantinnen und Mandanten, liebe Freundinnen und Freunde, nach langen Di…
    Weiterlesen