Il Regolamento DORA è il Regolamento Europeo sulla resilienza operativa digitale per il settore finanziario : il testo introduce norme e requisiti sulla sicurezza degli strumenti informatici impiegati dalle entità finanziarie. L'obiettivo del Regolamento è quello di rendere il sistema finanziario più solido in occasione di incidenti informatici che coinvolgono i servizi digitali a supporto dei servizi finanziari. È noto infatti come incidenti informatici possano avere un profondo impatto sul funzionamento dei servizi finanziari e sulla stabilità del sistema finanziario.
Negli ultimi anni il legislatore europeo è intervenuto in materia di resilienza finanziaria, ma è finora mancato un intervento normativo organico specificamente dedicato alla resilienza operativa digitale del settore finanziario. Il Regolamento DORA intende colmare questo vuoto normativo ed armonizzare i principali obblighi in materia di resilienza operativa digitale per tutte le entità finanziarie
; a tal fine, introduce requisiti per le entitità finanziarie in materia di:
- gestione dei rischi informatici;
- gestione e segnalazione degli incidenti informatici;
- test di resilienza operativa digitale;
- rischi informatici derivanti da terzi.
Indice
Introduzione
Prima di cominciare, introduciamo alcuni aspetti cui faremo spesso riferimento nel nostro articolo.
1 - Le Autorità Europee di Vigilanza, (AEV) sono le seguenti:
- Autorità Bancaria Europea (ABE).
- Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA).
- Autorità europea degli strumenti finanziari e dei mercati (ESMA).
Si tratta delle autorità che nel 2019 hanno sollecitato, in maniera congiunta, l'adozione di una normativa europea sui rischi informatici nel settore finanziario.
2 - Le funzioni essenziali o importanti delle entità finanziarie: sono oggetto di attenzione particolare da parte del Regolamento in ragione della loro importanza per l'entità finanziaria: se fossero interessate da incidenti, l'operatività dei servizi ne risulterebbe compromessa. Questa la definizione di funzione essenziale o importante fornita dal Regolamento all'articolo 3:
"funzione essenziale o importante": una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività.
3 - Risorse TIC: software o hardware presenti nei sistemi informatici e di rete utilizzati dall’entità finanziaria
.
Entrata in vigore del Regolamento DORA
Il Regolamento DORA è entrato in vigore il 16 Gennaio 2023 e sarà applicabile a partire dal 17 Gennaio 2025.
Il testo del Regolamento DORA
Da questo link è possibile scaricare il testo in pdf del Regolamento DORA: Regolamento UE 2022/2554 sulla resilienza operativa digitale per il settore finanziario.
La gestione dei rischi informatici
Il Regolamento DORA introduce obblighi ed adempimenti per le entità finanziarie in materia di gestione dei rischi informatici. A tal proposito, viene richiesta l'istituzione di:
- una apposita funzione di controllo; adempimento dal quale sono però esentate le microimprese;
- un quadro di gestione dei rischi informatici.
Il quadro di gestione dei rischi informatici
Lo scopo del quadro di gestione dei rischi informatici è quello di garantire una gestione efficace e prudente di tutti i rischi informatici
, che assicuri un elevato livello di resilienza operativa digitale
. Il quadro include una strategia di resilienza operativa digitale sulle modalità di attuazione del quadro.
Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e le risorse TIC, compresi software, hardware e server
Articolo 6 comma 2
Il quadro di gestione dei rischi informatici va riesaminato:
- una volta l'anno (viene richiesto un riesame genericamente periodico per le microimprese);
- in occasione di gravi incidenti informatici;
- a seguito di test di resilienza operativa digitale e relative osservazioni formulate dalle autorità di vigilanza.
Altri obblighi di gestione dei rischi informatici
Oltre alla formulazione un quadro di gestione dei rischi informatici e la nomina di una funzione di controllo, tra gli ulteriori obblighi previsti dal Regolamento Dora a carico delle entità finanziarie vi sono i seguenti:
- identificazione delle funzioni commerciali che dipendono da risorse informatiche e relativi rischi: valutazione dei rischi informatici per le funzioni in questione.
- controllo costante della sicurezza e del funzionamento dei sistemi e degli strumenti informatici impiegati;
- adozione di
procedure, protocolli e strumenti per la sicurezza delle TIC miranti a garantire la resilienza, la continuità e la disponibilità dei sistemi di TIC, in particolare quelli a supporto di funzioni essenziali o importanti
- garantire la continuità operativa degli strumenti informatici di cui si serve l'entità finanziaria. Lo scopo è quello di evitare interruzioni delle funzioni essenziali o importanti in occasione di incidenti o malfuzionamenti, o comunque di ristabilire quanto prima la normale operatività a seguito di interruzioni. Come è noto, a tal fine risulta cruciale una strategia dedicata ai backup, richiesta dall'articolo 12.
- prevedere un piano di comunicazione relativo agli incidenti informatici: quali informazioni è opportuno divulgare, e a chi, in occasione di situazioni di crisi.
Il quadro semplificato per la gestione dei rischi informatici
Alcune entità finanziarie sono soggette a requisiti meno rigorosi o esenzioni per motivi legati alle loro dimensioni o ai servizi che forniscono.
Considerando 42
Per alcune entità finanziarie viene prevista una compliance semplificata per quanto riguarda la gestione dei rischi informatici.
Si tratta di:
imprese di investimento piccole e non interconnesse;
gli istituti di pagamento esentati a norma della direttiva (UE) 2015/2366
;gli istituti esentati a norma della direttiva 2013/36/UE per i quali gli Stati membri hanno deciso di non applicare l’opzione di cui all’articolo 2, paragrafo 4, del presente regolamento;
gli istituti di moneta elettronica esentati a norma della direttiva 2009/110/CE
;piccoli enti pensionistici aziendali o professionali.
Per tali entità finanziarie, l'articolo 16 del Regolamento DORA richiede l'adozione di un quadro semplificato per la gestione dei rischi informatici che preveda almeno:
- misure che consentano una
una gestione rapida, efficiente e organica dei rischi informatici
; - il monitoraggio costante della
sicurezza e il funzionamento di tutti i sistemi di TIC
; - la continuità delle funzioni essenziali o importanti attraverso apposite misure di
risposta e recupero
, come soluzioni di backup e ripristino. - l'individuazione delle situazioni di dipendenza da fornitori esterni di servizi di TIC.
Anche il quadro semplificato per la gestione dei rischi informatici va riesaminato periodicamente e comunque al verificarsi di gravi incidenti informatici o in conseguenza delle istruzioni delle Autorità di vigilanza.
Aggiornamento
Pubblicato il Regolamento delegato (UE) 2024/1774 della Commissione sulle norme tecniche di regolamentazione che specificano gli strumenti, i metodi, i processi e le politiche per la gestione dei rischi informatici e il quadro semplificato per la gestione dei rischi informatici.
Gestione e segnalazione degli incidenti informatici
Il Regolamento DORA dispone l'adozione da parte delle entità finanziarie di un processo di gestione degli incidenti informatici che preveda:
- indicatori di allerta precoce;
- procedure per identificare e classificare gli incidenti sulla base della loro gravità o criticità dei servizi coinvolti;
- un piano di comunicazione che informi dell'incidenti i soggetti interessati (personale, clienti), in base al tipo di incidente;
- la segnalazione dell'incidente all'organo di gestione e ai dirigenti competenti per il settore interessato dall'incidente;
procedure di risposta
per attenuare l'impatto dell'incidente e ripristinare operatività e sicurezza dei servizi.
Classificazione degli incidenti informatici
Abbiamo appena visto che l'entità finanziaria deve adottare uno schema di classificazione degli incidenti informatici; a tal fine, il Regolamento indica i seguenti critieri:
- il numero dei clienti coinvolti, la loro rilevanza, il numero di transazioni interessate ed eventuali danni reputazionali per l'entità finanziaria che subisce l'incidente;
- durata dell'incidente e dell'eventuale periodo di sospensione dei servizi coinvolti;
- estensione geografica, in particolare nel caso in cui l'incidente produca danni in più di 2 Stati membri;
- eventuale perdita di dati
- criticità dei servizi coinvolti;
- conseguenza economiche.
Aggiornamento
Pubblicato il Regolamento delegato (UE) 2024/1772 della Commissione sulle norme tecniche di regolamentazione che specificano i criteri per la classificazione degli incidenti connessi alle TIC e delle minacce informatiche, stabiliscono le soglie di rilevanza e specificano i dettagli delle segnalazioni di gravi incidenti.
Segnalazione dei gravi incidenti informatici
L'entità finanziaria che subisce un grave incidente informatico è tenuta a segnalare l'accaduto a:
- i clienti, nel caso l'incidente abbia avuto conseguenza per i loro interessi finanziari; in tal caso, insieme alle informazioni sull'incidente, vanno comunicate anche le misure di contrasto adottate;
- le autorità competenti, attraverso:
- una notifica iniziale;
- relazione intermedia che informi sulla evoluzione della crisi
- relazione finale che illustri le cause o i fattori che hanno contribuito all'incidente.
«grave incidente TIC»: un incidente connesso alle TIC che ha un impatto avverso sui sistemi informatici e di rete a supporto delle funzioni essenziali o importanti dell’entità finanziaria.
Articolo 3 (10)
Minacce informatiche
Le entità finanziarie hanno la facoltà, ma non l'obbligo, di segnalare all'autorità competente le minacce che ritengano significative per il sistema finanziario, gli utenti dei servizi o i clienti. In tal caso vengono informati anche i clienti, così che questi possano adottare eventuali misure di protezione a loro disposizione.
Anche le segnalazioni di incidenti e minacce saranno oggetto di una proposta di regolamentazione tecnica ad opera delle AEV, ENISA e BCE, da presentare entro il 17 Luglio 2024. Le norme riguarderanno in particolare il contenuto e le tempistiche delle segnalazioni.
Test di resilienza operativa digitale
Le entità finanziarie diverse dalle microimprese sono tenute ad effettuare periodicamente test volti a valutare il loro grado di preparazione alla gestione di incidenti informatici.
- I test sono effettuati da soggetti che possono essere interni all'entità finanziaria, o esterni.
- Per i sistemi e le applicazioni informatiche a supporto di funzioni essenziali o importanti i test vanno effettuati almeno una volta l'anno.
Il programma di test di resilienza operativa digitale di cui all’articolo 24 prevede...l’esecuzione di test adeguati, tra cui valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e test di penetrazione
Articolo 25
Threat led penetration test : TLPT
Il Regolamento DORA richiede che almeno ogni 3 anni le entità finanziarie eseguano dei test avanzati: test di penetrazione guidati da minaccia, o threat led penetration test (TLPT). Il test è coinvolge alcune o tutte le funzioni essenziali o importanti dell’entità finanziaria ed è effettuato sui sistemi attivi di produzione a supporto di tali funzioni.
Pertanto, le entità finanziarie devono in primo luogo individuare quali sono i sistemi informatici a supporto di funzioni essenziali e, tra questi, selezionare quelli da sottoporre a TLPT.
Quali entità finanziarie sono tenute a svolgere TLPT?
Le entità finanziarie per le quali è obbligatorio svolgere test di resilienza operativa digitale sono individuate dalle autorità competenti sulla base di una valutazione che consideri:
- la rilevanza per il settore finanziario dei servizi forniti dall'entità finanziaria;
- il potenziale impatto sulla stabilità finanziaria derivante da incidenti informatici;
lo specifico profilo dei rischi informatici, il livello di maturità delle TIC dell’entità finanziaria o le caratteristiche tecnologiche in questione.
TLPT congiunti
I TLPT possono anche essere condivisi tra più entità finanziarie: ciò può avvenire nel caso in cui un fornitore di servizi TIC sottoponga a test i sistemi forniti a supporto di funzioni essenziali di più entità finanziarie. Tale possibilità richiede un preventivo accordo contrattuale con le entità finanziarie interessate e la supervisione di una di queste alla esecuzione del test congiunto.
Concluso il test:
Le autorità forniscono alle entità finanziarie un attestato che conferma che i test sono stati svolti conformemente ai requisiti, come si evince dalla documentazione, in modo da consentire il riconoscimento reciproco dei TLPT tra le autorità competenti.
Articolo 26 comma 7
Anche i materia di TLPT è atteso, entro il 17 Luglio 2024, un progetto di regolamentazione tecnica formulato da BCE ed Autorità Europee di Vigilanza.
Gestione dei rischi informatici derivanti da terzi
Il capo V del Regolamento DORA è dedicato alla gestione dei rischi informatici derivanti da terzi: si tratta dei rischi derivanti dal ricorso a soggetti terzi per forniture di servizi di TIC. A tal proposito, il Regolamento presta particolare attenzione agli accordi contrattuali conclusi con i fornitori e prevede i seguenti obblighi per le entità finanziarie:
- adozione di una strategia sui rischi informatici derivanti dai fornitori, in particolare quelli inerenti ai servizi a supporto di funzioni essenziali o importanti.
- compilazione di un registro di informazioni su tutti gli accordi contrattuali conclusi con fornitori di servizi TIC che:
- distingue i servizi a supporto di funzioni essenziali da tutti gli altri;
- viene messo a disposizione, su richiesta, della autorità competente;
- informare l'autorità competente circa la stipula di nuovi contratti aventi ad oggetto la fornitura di servizi TIC a supporto di funzioni essenziali o importanti.
- prevedere clausole contrattuali che consentano la risoluzione del contratto con il fornitore in caso di:
rilevante violazione, da parte del fornitore terzo di servizi TIC, di leggi, regolamenti o condizioni contrattuali applicabili;
- circostanze che alterano
l’esercizio delle funzioni previsto a norma dell’accordo contrattuale
; - difficoltà da parte del fornitore nella gestione dei rischi informatici, in particolare in materia di gestione dei dati, personali e non.
- elaborazione di strategie di uscita e migrazione per i servizi a supporto di funzioni essenziali o importanti in caso di problemi con il fornitore, ad esempio
possibili disfunzioni dei fornitori stessi, il deterioramento della qualità dei servizi TIC forniti, una perturbazione dell’attività commerciale conseguente a una fornitura di servizi TIC inadeguata o carente
. I piani di uscita sonosottoposti a test adeguati e riesaminati periodicamente
(articolo 28, comma 8).
Aggiornamento
Pubblicato il Regolamento delegato (UE) 2024/1773 della Commissione sulle norme tecniche di regolamentazione che precisano il contenuto dettagliato della politica relativa agli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti.
Rischio di concentrazione delle TIC
Tra i rischi che l'entità finanziaria deve considerare al momento di stipulare un contratto con un fornitore di servizi TIC c'è quello della concentrazione, ossia:
la conclusione di un contratto con un fornitore terzo di servizi TIC non facilmente sostituibile; o
la presenza di molteplici accordi contrattuali relativi alla prestazione di servizi TIC a supporto di funzioni essenziali o importanti con lo stesso fornitore terzo oppure con fornitori terzi strettamente connessi.
All'atto di stipulare un contratto con un fornitore, il Regolamento DORA chiede all'entità finanziaria di considerare anche le seguenti eventualità:
- il contratto prevede il subappalto di servizi a supporto di funzioni essenziali o importanti: da valutare rischi, benefici e l'effettiva possibilità di monitorare le funzioni supportate dai servizi in subappalto;
- fallimento del fornitore ed impatto sulla operatività di servizi e relative funzioni supportate;
- il fornitore è stabilito in un Paese terzo: da valutare la applicabilità della normativa UE, in particolare in materia di protezione dati.
Il quadro di sorveglianza dei fornitori critici di servizi TIC
Il Regolamento DORA prevede un quadro di sorveglianza dedicato ai fornitori di servizi TIC classificati come critici. Di seguito vediamo due aspetti centrali del quadro di sorveglianza, entrambi di competenza delle Autorità Europee di Vigilanza.
I fornitori critici di servizi TIC per entità finanziarie
La designazione
La designazione di un fornitore come critico spetta alle Autorità Europee di Vigilanza e viene effettuata in base ai seguenti criteri:
- impatto sulla stabilità ed operatività dei servizi finanziari di un eventuale disservizio ai servizi di TIC offerti dal fornitore.
carattere sistemico o l'importanza delle entità finanziarie che dipendono dal fornitore
- la fornitura di servizi a supporto di funzioni essenziali o importanti alle entità finanziarie;
il grado di sostituibilità del fornitore terzo di servizi TIC
: se vi sono alternative sul mercato o se la migrazione ad altro fornitore è limitata da difficoltà quali costi, carichi di lavoro ed altro.
I criteri per la designazione dei fornitori critici saranno precisati da un atto delegato che la Commissione adotterà entro il 17 Luglio 2024. Fino ad allora, non verranno designati fornitori critici.
Prima della designazione il fornitore può presentare dati ed informazioni utili a valutare il possesso dei requisiti per la designazione. Tale possibilità è giustificata dal fatto che il quadro di sorveglianza comporta la soggezione del fornitore ad una vigilanza particolarmente approfondita, ad adempimenti e sanzioni. Il Regolamento DORA consente dunque al fornitore di dimostrare che, nei fatti, non ricorrono le condizioni per essere qualificato come critico.
Dopo la designazione, il fornitore critico ha la facoltà di presentare osservazioni sull'impatto delle raccomandazioni ricevute dalla autorità capofila, in particolare sugli utenti o clienti che, non essendo entità finanziarie, non sono soggetti alla applicazione del Regolamento.
Fornitore extra UE
Il fornitore critico di servizi di TIC può essere basato anche in Paesi extra-UE. In tal caso, per consentire l'applicabilità al fornitore del Regolamento, questo richiede al fornitore di istituire un'impresa figlia nell'Unione entro 12 mesi dalla designazione come fornitore critico. Così dispone l'articolo 31, paragrafo 12 del Regolamento.
L'Autorità di sorveglianza capofila
Ogni fornitore critico viene assegnato alla vigilanza di una autorità capofila, scelta tra le 3 Autorità Europee di Vigilanza. La scelta della Autorità capofila, o meglio l'assegnazione del fornitore ad una delle 3 Autorità, dipende dal settore finanziario in cui operano la maggior parte delle entità finanziarie servite dal fornitore. In altre parole: viene selezionata la autorità competente per le entità finanziarie più numerose tra i clienti del fornitore.
Compiti della autorità di sorveglianza capofila
L'autorità di sorveglianza capofila vigila sulla adozione da parte del fornitore critico di norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci per gestire i rischi informatici cui esso può esporre le entità finanziarie
. La vigilanza si concentra sui servizi che il fornitore critico fornisce a supporto di funzioni essenziali o importanti delle entità finanziarie.
Per ogni fornitore critico, l'autorità si sorveglianza capofila adotta un piano di sorveglianza individuale chiaro, dettagliato e motivato che descrive gli obiettivi annuali in materia di sorveglianza e le principali azioni di sorveglianza previste per ciascun fornitore terzo critico di servizi TIC.
Per svolgere i compiti assegnati dal Regolamento, l'autorità dispone del potere di svolgere indagini, effettuare ispezioni, raccogliere informazioni e rivolgere raccomandazioni al fornitore.
L'autorità dispone anche del potere di irrogare una penalità di mora a fronte dell'inosservanza da parte del fornitore degli obblighi di trasparenza previsti dal Regolamento, oltre che delle raccomandazioni dell'autorità capofila. L'importo della penalità di mora può arrivare fino all’1 % del fatturato medio quotidiano realizzato a livello mondiale dal fornitore terzo critico di servizi TIC nel precedente esercizio.
Tali poteri dovrebbero consentire all’autorità di sorveglianza capofila di acquisire un’immagine realistica del tipo, delle dimensioni e dell’impatto dei rischi informatici derivanti da terzi cui sono esposte le entità finanziarie e, in ultima analisi, il sistema finanziario dell’Unione
Considerando n° 88
Conclusioni
Per concludere, un breve riassunto.
- Il Regolamento DORA è la fonte normativa europea in materia di resilienza digitale del sistema finanziario. Introduce requisiti per la gestione dei rischi informatici e obblighi di gestione e segnalazione degli incidenti informatici per le entità finanziarie.
- I requisiti e gli adempimenti sono graduati in base a:
- le dimensioni dell'entità finanziaria: per le microimprese è prevista una compliance semplificata;
- il rischio che un possibile incidente pone per il sistema finanziario: per i servizi di TIC a supporto di funzioni essenziali o importanti della entità finanziaria sono previsti requisiti più stringenti.
- Vengono previsti e disciplinati test di resilienza operativa digitale, obbligatori per talune entità finanziarie.
- Il Regolamento disciplina i rischi informatici derivanti da terzi, in particolare dai fornitori di servizi di TIC. A tal proposito, interviene sui rapporti contrattuali tra entità finanziarie e fornitori e prevede:
- un contenuto minimo per tali contratti (articolo 30)
- l'introduzione di clausole che consentano all'entità finanziaria di recedere dal contratto in determinati casi (articolo 28).
- Infine: viene introdotto una quadro di sorveglianza specifico per i fornitori di servizi TIC designati come critici dalle Autorità Europee di Vigilanza.
Vincenzo Lalli
Di formazione legale, appassionato da sempre di tecnologia ed informatica; esperienza professionale acquisita a cavallo tra i due mondi, finora piuttosto lontani tra loro. Mi dedico ad esplorare le crescenti interazioni tra il Diritto e la tecnologia, e a dare il mio contributo alla causa dell'innovazione nel settore legale; a tal fine, ho dato vita ad Avvocloud.net.