Digital Operational Resilience Act (DORA)

La presidenza del Consiglio europeo e il Parlamento europeo hanno recentemente raggiunto un accordo provvisorio sul Regolamento relativo alla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act - DORA).

Il regolamento fa parte del pacchetto sulla finanza digitale, insieme di misure volte a consentire e a sostenere ulteriormente il potenziale della finanza digitale in termini di innovazione e concorrenza, attenuando nel contempo i rischi che ne derivano. Lo scopo è garantire che l’Unione europea abbracci la rivoluzione digitale e ne assuma la guida.

Il pacchetto sulla finanza digitale colma una lacuna nella legislazione vigente dell'UE, garantendo che l'attuale quadro giuridico non ostacoli l'utilizzo di nuovi strumenti finanziari digitali e, al tempo stesso, che tali tecnologie e prodotti nuovi rientrino nell'ambito di applicazione della regolamentazione finanziaria e degli accordi in materia di gestione dei rischi operativi delle imprese attive nell'UE. Il fine è, quindi, sostenere l'innovazione e l'adozione di nuove tecnologie finanziarie, garantendo nel contempo un livello adeguato di protezione dei consumatori e degli investitori.

DORA, in particolare, mira a creare un quadro normativo sulla resilienza operativa digitale grazie a cui tutte le imprese garantiranno di poter far fronte a tutti i tipi di malfunzionamenti e minacce connessi alle TIC, al fine di prevenire e mitigare le minacce informatiche.

Il regolamento cancellerà le disparità legislative e la disomogeneità degli approcci normativi o di vigilanza ai rischi relativi alle TIC.

Il regolamento copre un ampio ventaglio di entità finanziarie, tra le quali, a titolo esemplificativo, rientrano:

• enti creditizi
• istituti di pagamento
• istituti di moneta elettronica
• imprese di investimento
• gestori di fondi di investimento alternativi e società di gestione
• imprese di assicurazione e di riassicurazione, intermediari assicurativi
• enti pensionistici aziendali o professionali

L’ampia copertura prevista dal regolamento favorirà l'applicazione omogenea e coerente di tutte le componenti della gestione del rischio nei settori connessi alle TIC. Allo stesso tempo, però, il regolamento riconosce l'esistenza di differenze significative tra le entità finanziarie in termini di dimensioni, profilo commerciale o esposizione al rischio digitale.

Le entità finanziarie che non rientrano nella definizione di microimprese (imprese che occupano meno di 10 persone e che realizzano un fatturato annuo o un totale di bilancio annuo non superiore a 2 milioni di Euro) e che, quindi, dispongono di maggiori risorse, avranno l'obbligo di introdurre complesse disposizioni di governance e funzioni di gestione dedicate, di effettuare valutazioni approfondite dopo modifiche di rilievo delle infrastrutture di reti e dei sistemi informativi, di compiere periodicamente analisi dei rischi sui sistemi di TIC esistenti, di ampliare i test sulla continuità operativa e i piani di risposta e ripristino.

Inoltre, le entità finanziarie identificate come significative ai fini dei test avanzati di resilienza digitale dovranno svolgere test di penetrazione basati sul rischio che riguardino quantomeno le funzioni e i servizi critici.

L’adozione formale del Digital Operational Resilience Act è stimata per il terzo trimestre del 2022. La scelta dello strumento giuridico del regolamento renderà – proprio come per il GDPR –  le sue prescrizioni direttamente applicabili in maniera uniforme in tutti gli stati dell’Unione europea.

Il consiglio per enti e imprese rientranti nell’ambito di applicazione del regolamento è quello di affidarsi ad esperti in grado di individuare gli obiettivi di compliance e le migliori modalità per raggiungerli.

Contatta il Team Advisory di Lutech! I nostri esperti in ambito technology e security ti aiuteranno a pianificare e implementare tutte le misure necessarie per rendere la tua realtà conforme al nuovo regolamento.