Il Digital Operational Resilience Act, o DORA, è un regolamento dell’Unione Europea (UE) che mira a creare un quadro normativo completo e vincolante per la gestione del rischio delle tecnologie di informazione e comunicazione (ICT) nel settore finanziario. Questo regolamento stabilisce standard tecnici che le entità finanziarie e i loro fornitori di servizi ICT di terze parti devono implementare entro il 17 gennaio 2025.
Con il regolamento DORA, l’UE mira a stabilire un framework universale per la gestione e la mitigazione del rischio ICT nel settore finanziario. L’obiettivo è eliminare lacune, sovrapposizioni e conflitti che potrebbero sorgere tra le normative eterogenee nei vari Stati membri, armonizzando le regole di gestione del rischio in tutta l’UE.
Prima della sua introduzione, le norme sulla gestione del rischio per le istituzioni finanziarie dell’UE si concentravano principalmente sulla necessità di assicurare che le imprese avessero capitale sufficiente per coprire i rischi operativi. Tuttavia, mancava un quadro normativo completo e armonizzato a livello europeo per la gestione dei rischi ICT.
I due obiettivi principali del regolamento DORA sono:
- Gestione del rischio ICT: Fornire un framework solido e uniforme per affrontare la gestione del rischio ICT nel settore dei servizi finanziari
- Armonizzazione normativa: Uniformare le normative esistenti nei vari Stati membri dell’UE per creare un sistema coeso e meno complesso da gestire per le entità finanziarie
Si applica a tutte le istituzioni finanziarie dell’UE, comprese banche, società di investimento, istituti di credito, fornitori di asset legati a criptovalute e piattaforme di crowdfunding. Anche i fornitori di servizi ICT di terze parti, come i fornitori di cloud service e data center, devono rispettare i requisiti del DORA.
Il regolamento DORA stabilisce requisiti tecnici per le entità finanziarie e i fornitori ICT critici in quattro aree principali:
- Gestione del rischio ICT e governance: Le organizzazioni devono sviluppare framework completi per la gestione del rischio ICT, includendo strategie di gestione del rischio, analisi dell’impatto di business e misure di cybersecurity
- Risposta agli incidenti e reportistica: Le entità devono stabilire sistemi per monitorare, gestire e segnalare incidenti ICT, con diverse fasi di reporting a seconda della gravità dell’incidente
- Test di resilienza operativa digitale: È richiesto che le entità testino regolarmente i loro sistemi ICT, con test annuali di base e test di penetrazione basati su minacce ogni tre anni per le entità critiche
- Gestione del rischio di terze parti: Le entità finanziarie devono svolgere un ruolo attivo nella gestione del rischio ICT dei loro fornitori critici di servizi, con la possibilità per le autorità di vietare contratti non conformi
Inoltre, incoraggia le entità finanziarie a partecipare ad accordi volontari di condivisione in materia di threat intelligence, garantendo al contempo la protezione delle informazioni condivise secondo le linee guida pertinenti, come il Regolamento generale sulla protezione dei dati (GDPR).
Proposto per la prima volta nel settembre 2020, il regolamento DORA è stato adottato formalmente nel novembre 2022 ed entrerà in vigore il 17 gennaio 2025. Tuttavia, i dettagli tecnici chiave sono ancora in fase di definizione da parte delle autorità europee di vigilanza (ESA). Le ESA sono incaricate di redigere gli standard tecnici di regolamentazione e di attuazione che le entità interessate dovranno implementare, con la pubblicazione prevista entro il 2024. Inoltre, la Commissione europea sta sviluppando un framework di supervisione per i fornitori ICT critici, che dovrebbe essere finalizzato anch’esso nel 2024.
Il regolamento DORA rappresenta un passo significativo verso la creazione di un settore finanziario europeo più resiliente e sicuro. Stabilendo un quadro normativo completo e armonizzato, il DORA mira a garantire che le istituzioni finanziarie e i loro fornitori critici siano in grado di affrontare e mitigare efficacemente i rischi ICT, contribuendo alla stabilità e alla sicurezza dell’intero sistema finanziario europeo.