Guida di Sophos sulla legge sulla resilienza operativa digitale (DORA)

Il Digital Operational Resilience Act (Regolamento (UE) 2022/2554) (“DORA” o “Act”) è un regolamento dell’Unione Europea volto a garantire la resilienza digitale degli enti finanziari (1) nell’UE contro gli incidenti e le interruzioni operative legate alle tecnologie dell’informazione e della comunicazione (TIC). La Commissione europea ha completato il DORA il 16 gennaio 2023. I suoi requisiti entrano in vigore e si applicano il 17 gennaio 2025.

Ambito di applicazione del DORA

Il DORA si applica a tutte le “entità finanziarie” dell’UE, comprese le banche, le imprese di investimento, gli istituti di credito, le compagnie di assicurazione, le piattaforme di crowdfunding, nonché le terze parti chiave che offrono servizi ICT alle istituzioni finanziarie, come i fornitori di software, i provider di servizi cloud e i data center, i fornitori di analisi dei dati e altro ancora. L’articolo 2 dell’UE 2022/2554 identifica le seguenti entità coperte dalla legge (2):

• Istituti di credito
• Istituti di pagamento
• Fornitori di servizi di informazione sui conti
• Istituti di moneta elettronica
• Imprese di investimento
• Fornitori di servizi di cripto-asset ed emittenti di token con riferimento all’asset
• Depositi centrali di titoli
• Controparti centrali
• Trading venues
• Repository di negoziazione
• Società di gestione
• Gestori di fondi di investimento alternativi
• Fornitori di servizi di reporting dei dati
• Imprese di assicurazione e riassicurazione
• Intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi ausiliari
• Enti pensionistici aziendali o professionali
• Agenzie di rating del credito
• Amministratori di benchmark critici
• Fornitori di servizi di crowdfunding

Perché il DORA?

Il DORA “riconosce che gli incidenti ICT e la mancanza di resilienza operativa possono mettere a repentaglio la solidità dell’intero sistema finanziario, anche in presenza di un capitale “adeguato” alle categorie di rischio tradizionali ” (3). Il quadro normativo del DORA stabilisce requisiti che riguardano la sicurezza delle reti e dei sistemi informativi in questo ambito per migliorare la sicurezza informatica in tutto il settore dell’UE. Ciò aiuta queste entità a ridurre il potenziale impatto delle minacce digitali sulla loro continuità operativa, sulla responsabilità legale e sulle perdite economiche e di reputazione.

Requisiti del DORA

Al fine di raggiungere un elevato livello comune di resilienza operativa digitale, il presente regolamento stabilisce requisiti uniformi in materia di sicurezza delle reti e dei sistemi informativi a supporto dei processi aziendali delle entità finanziarie (4), come segue:

1. Gestione del rischio ICT: Le entità interessate devono disporre di un quadro di gestione del rischio ICT solido, completo e ben documentato come parte del loro sistema globale in materia di risk management, che consenta loro di affrontare tale rischio in modo rapido, efficiente e completo e di garantire un elevato livello di resilienza operativa digitale (5).
2. Processo di gestione degli incidenti legati all’ICT: Le entità finanziarie devono registrare tutti gli incidenti legati all’ICT e le minacce informatiche significative. Gli enti finanziari devono stabilire procedure e processi appropriati per garantire un monitoraggio, una gestione e un follow-up coerenti e integrati degli incidenti ICT, per assicurare che le cause profonde siano identificate, documentate e affrontate al fine di prevenire il verificarsi di tali incidenti (6).
3. Test di resilienza operativa digitale: Per garantire che questo settore sia preparato ad affrontare gli incidenti legati all’ICT, il DORA definisce standard comuni con un’attenzione particolare ai test di resilienza da parte di questi enti, “come valutazioni e scansioni delle vulnerabilità, analisi delle open source, valutazioni della sicurezza della rete, analisi delle lacune, revisioni della sicurezza fisica, questionari e scansioni delle soluzioni software, revisioni del codice sorgente, ove possibile, test basati su scenari, test di compatibilità, test delle prestazioni, test end-to-end e penetration test ” (7).
4. Gestione del rischio ICT di terze parti (TPRM): Riconoscendo la crescente importanza del ruolo dei fornitori terzi di servizi ICT, il DORA richiede alle istituzioni del settore di “gestire il rischio di terze parti ICT come componente integrante di tale rischio all’interno del loro quadro di risk management ICT “(8) attraverso accordi contrattuali che prevedano l’accessibilità, la disponibilità, l’integrità, la sicurezza e la protezione dei dati personali; chiari diritti di recesso; e altro ancora.
5. Condivisione di informazioni e intelligence: Con l’obiettivo di potenziare la capacità collettiva degli istituti finanziari di identificare e combattere i rischi ICT, il DORA li incoraggia a “scambiare tra loro informazioni e intelligence sulle minacce informatiche, compresi indicatori di compromissione, tattiche, tecniche e procedure, avvisi di sicurezza informatica e strumenti di configurazione, nella misura in cui tale condivisione di informazioni e intelligence”:

• mira a migliorare la resilienza operativa digitale delle entità finanziarie, in particolare aumentando la consapevolezza in relazione alle minacce informatiche, limitando o impedendo la capacità di diffusione delle minacce informatiche, sostenendo le capacità di difesa, le tecniche di rilevamento delle minacce, le strategie di mitigazione o le fasi di risposta e ripristino;
• si svolge all’interno di comunità fidate di organizzazioni finanziarie;
• è attuato attraverso accordi di condivisione delle informazioni che proteggono la natura potenzialmente sensibile delle informazioni condivise e che sono disciplinati da regole di condotta nel pieno rispetto della riservatezza aziendale, della protezione dei dati personali in conformità al Regolamento (UE) 2016/679 e delle linee guida sulla politica di concorrenza. ” (9)

6. Quadro di supervisione dei fornitori terzi di tecnologie critiche dell’informazione e della comunicazione: Il comitato congiunto, conformemente all’articolo 57, paragrafo 1, dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010, istituisce il forum di supervisione come sottocomitato al fine di sostenere il lavoro del comitato congiunto e del supervisore principale di cui all’articolo 31, paragrafo 1, lettera b), nel settore del rischio di terzi per il settore ICT negli ambiti finanziari. Il forum di supervisione prepara i progetti di posizioni comuni e i progetti di atti comuni del comitato misto in questo ambito.

Il forum di supervisione discute regolarmente gli sviluppi pertinenti in materia di rischio e vulnerabilità ICT e promuove un approccio coerente nel monitoraggio del rischio di ICT per terzi a livello dell’Unione. (10)

DORA e NIS 2

Il DORA e la NIS 2 sono due atti legislativi fondamentali dell’UE in materia di sicurezza informatica. La Direttiva NIS 2 (Direttiva (UE) 2022/2555) è un atto legislativo che mira a rafforzare la sicurezza informatica all’interno dell’Unione Europea (11).

La relazione tra DORA e NIS 2 è che NIS 2 mira a migliorare la sicurezza informatica e a proteggere le infrastrutture critiche nell’UE, mentre DORA affronta la crescente dipendenza del settore finanziario dell’UE dalle tecnologie digitali e mira a garantire che il sistema rimanga funzionale anche in caso di attacco informatico.

È importante notare che la NIS 2 è una direttiva europea. Entro il 17 ottobre 2024, gli Stati membri dovranno adottare e pubblicare le misure necessarie per conformarsi alla Direttiva NIS 211. Il DORA è un regolamento europeo (12) che sarà applicabile nella sua forma attuale in tutti i Paesi dell’UE a partire dal 17 gennaio 2025.

L’articolo 1, paragrafo 2, del DORA stabilisce che, in relazione agli enti finanziari coperti dalla direttiva NIS 2 e dalle corrispondenti norme nazionali di recepimento, il DORA è considerato un atto giuridico dell’Unione specifico del settore ai fini dell’articolo 4 della direttiva NIS 2.12 Il DORA è “lex specialis” del NIS 213,14 per il mercato finanziario, un principio che afferma che una legge specifica prevale su una legge generale. Pertanto, per le entità finanziarie che rientrano nel DORA, questo testo prevale sulla NIS 2. Tuttavia, ciò non significa che gli obblighi della NIS 2 non siano più applicabili alle entità interessate da entrambi i testi.

Sanzioni per la non conformità al DORA

Le potenziali sanzioni associate al DORA possono essere significative e, a differenza del GDPR e/o della NIS 2, incoraggiano l’azienda a conformarsi imponendo multe su base giornaliera. Le organizzazioni ritenute non conformi dall’organo di vigilanza competente possono essere soggette al pagamento di una sanzione periodica pari all’1% del fatturato globale medio giornaliero dell’anno precedente, per un massimo di sei mesi, fino al raggiungimento della conformità. L’organismo di vigilanza può anche emettere ordini di sospensione, avvisi di cessazione, misure pecuniarie aggiuntive e avvisi pubblici (16).

Tempistiche del DORA

Il DORA è stato proposto per la prima volta dalla Commissione europea nel settembre 2020. È entrato in vigore il 16 gennaio 2023. Le entità finanziarie e i fornitori terzi di servizi ICT hanno tempo fino al 17 gennaio 2025 per prepararsi e conformarsi. Il 17 gennaio 2024 è stato pubblicato il lotto 1 degli Standard Tecnici di Regolamentazione (RTS) e degli Standard Tecnici di Implementazione (ITS). Il lotto 2 di questi standard è in fase di consultazione.

1 L’accento posto sulle “entità finanziarie” piuttosto che sugli “istituti finanziari” dimostra l’approccio dell’UE ad affrontare la resilienza operativa digitale di questo settore in modo olistico, riconoscendo la natura interconnessa e digitale degli attuali sistemi finanziari. Questo approccio garantisce che il quadro normativo possa adattarsi all’evoluzione del panorama dei servizi finanziari, in cui i confini tradizionali tra i diversi tipi di attività finanziarie sono diventati sempre più sfumati.

2 Per contro, la sezione 2, paragrafo 3, individua anche le entità alle quali la DORA non si applica, tra cui i gestori di fondi di investimento alternativi, le imprese di assicurazione e riassicurazione, gli enti pensionistici aziendali o professionali che gestiscono schemi pensionistici, le persone giuridiche esentate da altri atti dell’UE, gli intermediari di assicurazione e riassicurazione e gli intermediari assicurativi ausiliari e gli uffici postali.

³ https://www.digital-operational-resilience-act.com/#:~:text=DORA%20sets%20uniform%20requirements%20for,platforms%20or%20data%20analytics%20services.

⁴ https://www.digital-operational-resilience-act.com/Article_1.html

⁵ https://www.digital-operational-resilience-act.com/Article_6.html

⁶ https://www.digital-operational-resilience-act.com/Article_17.html

⁷ https://www.digital-operational-resilience-act.com/Article_25.html

⁸ https://www.digital-operational-resilience-act.com/Article_28.html

⁹ https://www.digital-operational-resilience-act.com/Article_45.html

¹⁰ https://www.digital-operational-resilience-act.com/Article_32.html

¹¹ https://www.nis-2-directive.com/

¹² https://www.digital-operational-resilience-act.com/

¹³ https://www.dora-info.eu/dora/recital-16/

¹⁴ https://www.ebf.eu/wp-content/uploads/2021/06/EBF-key-messages-on-NIS2-proposal.pdf

¹⁶ https://www.orrick.com/en/Insights/2023/01/5-Things-You-Need-to-Know-About-DORA

Il presente documento non costituisce una consulenza legale né riflette le opinioni di Sophos o dei suoi dipendenti. Le aziende sono tenute a consultare i propri consulenti legali per conoscere le leggi e le normative vigenti.