A cura di Anna Raspa, Senior Cybersecurity Consultant e Andrea Natta, Cybersecurity Consultant
La crescente digitalizzazione e l'esternalizzazione dei servizi da parte delle aziende e organizzazioni mettono a dura prova l'intero settore finanziario. Nonostante i significativi investimenti in tecnologie ICT, il costo medio per le istituzioni finanziarie derivante da incidenti operativi è in costante aumento, considerato l'elevato livello di interconnessione esistente tra le istituzioni, i mercati, le infrastrutture dei mercati finanziari e in particolare le interdipendenze dei loro sistemi IT.
Lo scorso 11 maggio il Consiglio e il Parlamento europeo hanno raggiunto l’accordo provvisorio sul Digital Operational Resilience Act (DORA), che riunirà diverse iniziative europee in un unico regolamento al fine di creare un approccio unificato sulla resilienza digitale dei 27 Stati membri dell'Unione Europea, tra le Autorità di Vigilanza Europee (AEV) e nell’intero settore dei servizi finanziari, mitigando i rischi posti in essere dalla trasformazione digitale e definendo un insieme di requisiti uniformi per la sicurezza della rete e dei sistemi informativi di aziende e organizzazioni appartenenti al settore finanziario, nonché dei relativi fornitori critici di servizi ICT.
Il nuovo Regolamento quindi rafforzerà la resilienza operativa digitale delle entità del settore finanziario europee e avrà cinque pilastri cardine:
1. ICT Risk Management: ovvero l’insieme di requisiti volti all’armonizzazione tra i diversi settori delle regole di gestione dei rischi relativi alle tecnologie dell'informazione e della comunicazione (ICT) in ogni fase del loro ciclo di vita, con una visione end-to-end dei processi aziendali, la creazione di un ICT Risk Management Framework robusto ed efficace e la definizione di una strategia di resilienza digitale in materia di business continuity e disaster recovery, comunicazioni e gestione delle crisi. L’obiettivo principale di questo primo gruppo di requisiti è quello di condurre le aziende impattate ad affrontare i rischi ICT in maniera più esaustiva.
2. ICT-related incident management: includerà i requisiti per l’armonizzazione delle attività di classificazione e segnalazione degli incidenti ICT, con la possibile creazione di un Hub europeo unico per la segnalazione dei principali incidenti ICT da parte degli istituti finanziari.
L’obiettivo principale sarà quindi razionalizzare le segnalazioni di incidenti connessi alle tecnologie ICT e affrontare il problema delle sovrapposizioni fra prescrizioni in materia di segnalazioni.
3. Digital operational resilience testing: riunirà le prerogative per la standardizzazione delle regole per la conduzione dei test di resilienza operativa digitale, secondo un approccio risk-based e proporzionale rispetto alle dimensioni, alla tipologia di attività e al profilo di rischio dell’azienda.
4. ICT third-party risks management: sarà l’insieme di requisiti per l’inclusione dei fornitori critici di servizi ICT (CTTPs) all’interno del perimetro normativo e nelle strategie di ICT Third Party Risk Management. Le Autorità di Vigilanza Europee avranno il compito di condurre ispezioni off-site e on-site, richiedere informazioni, rilasciare raccomandazioni e richieste, e imporre sanzioni.
5. Information sharing: con l’obiettivo di incoraggiare lo scambio di dati sulle minacce all’interno del settore finanziario, DORA instituirà un programma su base volontaria per consentire alle entità finanziarie di stabilire accordi per la condivisione e lo scambio di informazioni di cyber threat intelligence.
DORA si inserirà in un più ampio pacchetto europeo di misure sulla finanza digitale, che comprende una proposta sui mercati delle cripto-attività (MiCA) e una proposta sulla tecnologia di registro distribuito (Distributed Ledger Technology, DLT).
Si innesterà trasversalmente nel contesto dei diversi quadri normativi applicabili ai vari segmenti dei servizi finanziari (e.g. Banking & Payments Markets, Investment Services, Insurance, Asset management etc.) sia a livello europeo (e.g. NIS Directive, TIBER EU Framework, EBA Guidelines, MIFID II, GDPR, Basel Committee’s 2021 Principles on Operational Resilience, EIOPA Guidelines etc.) che nazionale (e.g. per l’Italia la Circ. 285 Banca d’Italia, il Regolamento IVASS etc.).
Quali attori saranno coinvolti?
DORA si applicherà all'intero settore finanziario, coinvolgendo le aziende e le organizzazioni finanziarie più classiche, quali ad esempio banche, fornitori di pagamenti, imprese di investimento e assicurazioni, e includerà anche nuovi attori come le aziende di servizi di cripto-asset e in particolare i fornitori critici di servizi ICT (e.g. fornitori di servizi Cloud, Data Analytics etc.).
Nella versione attuale, i revisori contabili e le società di revisione non saranno invece soggetti all’applicazione di DORA e la loro inclusione sarà riesaminata nell'ambito di una futura revisione del regolamento.
Quali implicazioni ci saranno per le aziende del settore finanziario?
I fornitori di servizi ICT dovranno valutare la propria appartenenza alla categoria dei fornitori definiti "critici" e, in caso positivo, analizzare le azioni da intraprendere per soddisfare le nuove esigenze di supervisione da parte delle AEV, mentre le imprese più grandi dovranno monitorare le attività delle AEV in merito alla definizione dei criteri per l’esecuzione dei Threat Led Penetration Test.
Sebbene le grandi imprese applichino già molti dei requisiti di gestione del rischio ICT previsti da DORA, dovranno comunque valutare se le loro strategie in ambito rischi ICT e i loro piani di risposta e di ripristino rispondano adeguatamente ai nuovi requisiti normativi e in caso contrario definire chiari piani di aggiornamento.
Tutte le imprese saranno chiamate a sviluppare o revisionare/modificare le proprie procedure di segnalazione degli incidenti in linea con i nuovi requisiti normativi.
Prossimi passi
Per quanto riguarda il periodo di attuazione, sia il Parlamento che il Consiglio europeo stanno discutendo sulla possibilità di uniformare il periodo a 24 mesi, a partire dalla data di entrata in vigore del Regolamento (prevista per la fine del 2022).
Una volta che il Regolamento sarà finalizzato, le Autorità di Vigilanza Europee designate - come l’Autorità bancaria europea (EBA), l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) - dovranno sviluppare degli standard tecnici contenenti le regole che gli istituti finanziari dovranno rispettare, mentre le Autorità Nazionali competenti vigileranno sulla conformità e applicheranno il regolamento come richiesto.
Al fine di cogliere le opportunità di miglioramento e le sfide poste da DORA, le aziende e gli operatori del settore finanziario saranno fin da subito chiamati a valutare il proprio grado di maturità rispetto ai requisiti normativi e pianificare le azioni necessarie per un efficacie adeguamento.