A partire dal 17 gennaio 2025, il Regolamento (UE) 2022/2554 (DORA) imporrà nuovi requisiti per la resilienza operativa digitale del settore finanziario europeo. L’obiettivo è garantire la sicurezza dei sistemi ICT e rafforzare la gestione del rischio informatico.

Che cos’è il DORA

Il 17 gennaio 2025 segna l’entrata in vigore del Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA), che introduce un quadro normativo uniforme per rafforzare la resilienza operativa digitale nel settore finanziario dell’Unione Europea. Questo regolamento mira a garantire che le entità finanziarie possiedano le capacità necessarie per prevenire, rilevare, contenere e riprendersi da incidenti legati alle tecnologie dell’informazione e della comunicazione (ICT), assicurando la continuità e la sicurezza dei servizi finanziari in un contesto sempre più digitalizzato.

Ambito di applicazione e requisiti principali

DORA si applica a una vasta gamma di entità finanziarie, tra cui banche, assicurazioni, società di investimento, fornitori di servizi di pagamento e piattaforme di cripto-asset. Uno degli aspetti chiave del regolamento è l’implementazione di requisiti uniformi in materia di sicurezza delle reti e dei sistemi informativi. Le entità sono tenute a sviluppare e mantenere solidi quadri di gestione del rischio ICT, che includano l’identificazione e la classificazione degli asset ICT critici, l’analisi dei rischi associati e l’adozione di misure di sicurezza proporzionate. Inoltre, è obbligatorio effettuare test periodici di resilienza operativa digitale per valutare l’efficacia delle misure di sicurezza implementate e la capacità di risposta a potenziali minacce.

Segnalazione e gestione degli incidenti ICT

Un’altra componente fondamentale di DORA riguarda la gestione e la segnalazione degli incidenti ICT. Le entità finanziarie devono disporre di processi e politiche per rilevare, gestire e notificare tempestivamente gli incidenti significativi alle autorità competenti. Questo approccio proattivo consente non solo di mitigare l’impatto degli incidenti, ma anche di contribuire a una maggiore consapevolezza e collaborazione a livello settoriale nella gestione delle minacce informatiche.

Sorveglianza sui fornitori terzi di servizi ICT

La regolamentazione estende la sua portata anche ai fornitori terzi di servizi ICT critici. DORA introduce un quadro di sorveglianza per monitorare e valutare i rischi associati all’esternalizzazione di funzioni e servizi essenziali a questi fornitori. In particolare, il regolamento delegato (UE) 2025/295 del 24 ottobre 2024 stabilisce norme tecniche di regolamentazione per armonizzare le condizioni di sorveglianza, dettagliando le informazioni che i fornitori terzi critici devono fornire, il contenuto e il formato delle comunicazioni e le modalità di valutazione dei rischi da parte delle autorità competenti. Questo sistema di controllo mira a garantire che l’intera catena di fornitura ICT mantenga elevati standard di sicurezza e resilienza, riducendo la vulnerabilità del settore finanziario a potenziali interruzioni o compromissioni dei servizi.

Sfide per l’implementazione del regolamento DORA

L’adozione di DORA rappresenta una risposta alle crescenti minacce informatiche e alla crescente dipendenza del settore finanziario dalle tecnologie digitali. Tuttavia, la sua implementazione presenta sfide significative per gli operatori del settore. Le entità finanziarie devono intraprendere una revisione approfondita delle proprie strutture organizzative, processi e sistemi ICT per garantire la conformità ai nuovi requisiti. Questo processo richiede investimenti in risorse umane specializzate, formazione continua e aggiornamento delle infrastrutture tecnologiche. Inoltre, la collaborazione con i fornitori terzi deve essere rafforzata attraverso contratti e accordi che riflettano le nuove obbligazioni normative, assicurando che anche i partner esterni aderiscano agli standard di resilienza operativa richiesti.

Verso un settore finanziario più sicuro e resiliente

In conclusione, il Regolamento DORA rappresenta un passo decisivo verso il consolidamento della resilienza operativa digitale nel settore finanziario europeo. Gli operatori sono chiamati a un impegno concreto per integrare la gestione del rischio ICT nelle proprie strategie aziendali, promuovendo una cultura della sicurezza informatica che coinvolga l’intera organizzazione e la rete dei fornitori. Solo attraverso un approccio integrato e consapevole sarà possibile affrontare efficacemente le sfide poste dalla digitalizzazione e garantire la stabilità e la fiducia nei servizi finanziari nell’era digitale.