Il 17 gennaio 2025, il Regolamento UE 2022/2554, denominato Digital Operational Resilience Act (DORA), è entrato in vigore in tutti gli Stati membri dell’Unione Europea. Adottato il 14 dicembre 2022, questo regolamento si inserisce in un insieme più ampio di iniziative volte a rendere la transizione digitale dell’Europa una delle principali priorità per l’UE.

Nel settembre 2020, la Commissione Europea ha adottato il Digital Finance Package (DFP), un pacchetto legislativo destinato ad armonizzare la regolamentazione finanziaria europea, partendo dalla constatazione che i servizi finanziari digitali possono contribuire a modernizzare l’economia europea in tutti i settori e a fare dell’Europa un attore digitale globale.

Il DFP definisce quindi la strategia globale di finanza digitale della Commissione Europea, che cerca di stimolare l’innovazione e l’adozione di nuove tecnologie, garantendo al contempo la stabilità finanziaria e la protezione dei consumatori. Esso si basa su tre pilastri:

Il primo pilastro riguarda la regolamentazione delle cripto-attività e della blockchain. Include il Regolamento sui mercati delle cripto-attività (P-MiCAR, o MiCA) e un progetto di regime pilota per le infrastrutture di mercato basate sulla tecnologia dei registri distribuiti (DLT).

Il secondo pilastro comprende un regolamento volto a migliorare la resilienza operativa digitale del settore finanziario e due direttive il cui scopo è rispettivamente rafforzare la cybersicurezza nei paesi dell’UE e consolidare la resilienza delle entità critiche. Si tratta in particolare di:

  • La Direttiva UE 2022/2555, nota come Network and Information Security (o NIS 2) del 16 gennaio 2023, che stabilisce un quadro giuridico unificato per rafforzare il livello di cybersicurezza in 18 settori critici in tutta l’Unione Europea. L’obiettivo è proteggere meglio le reti e i sistemi informativi utilizzati per fornire servizi essenziali in questi settori chiave. Per garantire una proporzionalità di trattamento, la Direttiva NIS 2 classifica le entità che rientrano nel suo ambito di applicazione in «entità essenziali» ed «entità importanti» e introduce requisiti più stringenti rispetto alla NIS 1 in materia di gestione dei rischi, notifica degli incidenti e misure di sicurezza.
  • La Direttiva UE 2022/2557 sulla resilienza delle entità critiche, denominata Direttiva REC, adottata il 14 dicembre 2022. Questa direttiva mira a ridurre le vulnerabilità e a rafforzare la resilienza fisica delle entità critiche, definite dalla direttiva stessa, che, in generale, forniscono servizi indispensabili per mantenere le funzioni sociali vitali, le attività economiche, la salute e la sicurezza pubbliche, nonché l’ambiente.
  • Il Regolamento UE 2022/2554 sulla resilienza operativa digitale del settore finanziario (DORA), del 14 dicembre 2020, volto a rafforzare la gestione dei rischi informatici (TIC) da parte delle entità finanziarie.

Il terzo pilastro riguarda la strategia della Commissione Europea in materia di pagamenti al dettaglio moderni e sicuri. Mira a sviluppare ulteriormente il mercato europeo dei pagamenti affinché l’Europa possa trarre pieno vantaggio dall’innovazione e dalle opportunità offerte dalla digitalizzazione.

La strategia si concentra su: la creazione delle condizioni per consentire lo sviluppo dei pagamenti istantanei e delle soluzioni di pagamento a livello dell’UE, la protezione dei consumatori e la sicurezza delle soluzioni di pagamento, e la riduzione della dipendenza dell’Europa dai grandi attori globali in questo ambito.

Questo articolo analizza le finalità del Regolamento DORA e i suoi sei principali pilastri attorno ai quali si articola il dispositivo della resilienza informatica.

Finalità del Regolamento DORA e norme di applicazione RTS e ITS

L’obiettivo principale del Regolamento DORA è promuovere la resilienza operativa digitale – come definita nell’articolo 3 del medesimo regolamento – che si traduce nella capacità di un’entità finanziaria «di sviluppare, garantire e riesaminare la propria integrità e affidabilità operative assicurando, direttamente o indirettamente tramite il ricorso ai servizi forniti da prestatori terzi di servizi TIC, l’integrità delle capacità legate Audiovisivo legate alle TIC necessarie per garantire la sicurezza delle reti e dei sistemi informativi utilizzati, e che supportano la fornitura continua di servizi finanziari e la loro qualità, anche in caso di perturbazioni».

Il Regolamento DORA impone quindi alle entità finanziarie di mettere in atto quadri robusti per identificare, gestire e mitigare i rischi legati alle tecnologie dell’informazione e della comunicazione (TIC) e agli attacchi o minacce di cybersicurezza nel settore dei servizi finanziari, allineandosi così a iniziative come il RGPD per la regolamentazione della riservatezza dei dati.

Per aiutare le entità interessate a conformarsi alle nuove esigenze, il Regolamento DORA autorizza le tre autorità di vigilanza (ESMA, EBA ed EIOPA) a sviluppare norme tecniche di regolamentazione (RTS) che integrano e specificano le disposizioni del regolamento, nonché norme tecniche di applicazione (ITS) che fungono da guida pratica senza aggiungere né modificare il contenuto.

Ad oggi, sulla base delle indicazioni fornite da tali autorità, la Commissione Europea ha adottato i seguenti regolamenti delegati:

  • Regolamento di esecuzione (UE) 2024/2956 della Commissione del 29 novembre 2024 che definisce norme tecniche di esecuzione per l’applicazione del Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio in materia di modelli standard per il registro delle informazioni.
  • Regolamento delegato (UE) 2025/295 della Commissione del 24 ottobre 2024 che integra il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio con norme tecniche di regolamentazione relative all’armonizzazione delle condizioni che consentono l’esercizio delle attività di vigilanza.
  • Regolamento di esecuzione (UE) 2025/302 della Commissione del 23 ottobre 2024 che definisce norme tecniche di esecuzione per l’applicazione del Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio in materia di formulari, modelli e procedure standard che consentono alle entità finanziarie di notificare un incidente grave legato alle TIC e di notificare una cyberminaccia significativa.
  • Regolamento delegato (UE) 2025/301 della Commissione del 23 ottobre 2024 che integra il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio con norme tecniche di regolamentazione che specificano il contenuto e i termini per la notifica iniziale degli incidenti gravi legati alle TIC, per i rapporti intermedi e finali ad essi relativi, e il contenuto della notifica volontaria in materia di cyberminacce significative.
  • Regolamento delegato (UE) 2024/1772 della Commissione del 13 marzo 2024 che integra il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio con norme tecniche di regolamentazione che specificano i criteri di classificazione degli incidenti legati alle TIC e delle cyberminacce, stabilendo soglie di significatività e precisando i dettagli dei rapporti sugli incidenti gravi.
  • Regolamento delegato (UE) 2024/1773 della Commissione del 13 marzo 2024 che integra il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio con norme tecniche di regolamentazione che specificano il contenuto dettagliato della politica relativa agli accordi contrattuali sull’uso di servizi TIC che supportano funzioni critiche o importanti forniti da prestatori terzi di servizi TIC.
  • Regolamento delegato (UE) 2024/1774 della Commissione del 13 marzo 2024 che integra il Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio con norme tecniche di regolamentazione che specificano gli strumenti, i metodi, i processi e le politiche di gestione del rischio legato alle TIC e il quadro semplificato di gestione del rischio legato alle TIC.

Questi testi hanno l’obiettivo di regolamentare, tra l’altro, le esigenze relative ai test di resilienza, alla dichiarazione degli incidenti e alla gestione dei prestatori terzi di servizi TIC.

Ambito di applicazione del Regolamento DORA

Il Regolamento DORA si applica alla maggior parte delle entità finanziarie. Queste, suddivise in 4 categorie – banca, assicurazione, finanza e prestatori di servizi TIC – includono in particolare: piattaforme di negoziazione, imprese di assicurazione e riassicurazione, stabilimenti di pagamento, depositari centrali, gestori di monete elettroniche, stabilimenti di credito, agenzie di rating del credito, imprese di investimento, prestatori di servizi su criptovalute, gestori di fondi alternativi di investimento (FIA) e società di gestione (SGP), controparti centrali (cfr. art. 2 del Regolamento DORA).

In particolare, i prestatori terzi di servizi di tecnologie dell’informazione e della comunicazione (TIC), operanti nell’UE, essenziali per il buon funzionamento dei mercati finanziari, sono soggetti a una vigilanza rigorosa per garantire la stabilità, la sicurezza tecnologica e la continuità delle operazioni nel sistema finanziario europeo.

Alcune entità sono, invece, espressamente escluse dall’ambito di applicazione del Regolamento DORA. Si tratta delle entità identificate dall’art. 2, punto 3, del suddetto regolamento, come:

  • I gestori di fondi di investimento alternativi di cui all’art. 3, paragrafo 2, della Direttiva 2011/61/UE.
  • Le imprese di assicurazione e riassicurazione in funzione della loro dimensione, come indicate nell’art. 4 della Direttiva 2009/138/CE.
  • Le istituzioni di previdenza professionale che gestiscono regimi di pensione che, complessivamente, non contano più di quindici affiliati in totale.
  • Le persone fisiche o giuridiche esentate ai sensi degli artt. 2 e 3 della Direttiva 2014/65/UE.
  • Gli intermediari di assicurazione, intermediari di riassicurazione e intermediari di assicurazione a titolo accessorio che sono microimprese o PMI. La definizione è data nell’art. 3, paragrafo 60, del Regolamento DORA: che impiegano meno di dieci persone e il cui fatturato annuo e/o il totale del bilancio annuo non supera i 2 milioni di euro.
  • Gli uffici dei vaglia postali di cui all’art. 2, paragrafo 5.3, della Direttiva 2013/36/UE.

Gli Stati membri possono scegliere di escludere dall’ambito di applicazione del Regolamento DORA alcune entità nazionali di credito o di investimento molto specifiche, come indicato nell’art. 2, paragrafo 5, della Direttiva 2013/36/UE.

I sei principali pilastri del Regolamento DORA

La gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione (TIC) costituisce una priorità strategica per qualsiasi entità finanziaria, e il Regolamento DORA mira a regolamentare le sei principali tematiche attorno alle quali si articola il dispositivo della resilienza informatica.

Governance e organizzazione delle entità interessate

Nella gestione del rischio legato alle tecnologie dell’informazione e della comunicazione (TIC), l’organo di direzione svolge un ruolo centrale. Il suo impegno va ben oltre una semplice approvazione formale: si tratta di una responsabilità attiva che riguarda sia la governance, sia la strategia, sia la supervisione delle misure volte a garantire la resilienza operativa digitale.

L’art. 5 del Regolamento DORA specifica che l’organo di direzione deve assumere la responsabilità ultima della gestione dei rischi TIC. Ciò significa che deve non solo comprendere le questioni legate alle cyberminacce e alle perturbazioni tecnologiche, ma anche garantire che l’entità finanziaria sia attrezzata per affrontarle. Questa responsabilità si traduce in una visione chiara delle priorità e in una volontà di promuovere una cultura della cybersicurezza all’interno dell’organizzazione, attraverso l’adozione e l’implementazione di diverse azioni concrete, come:

  • Elaborazione di strategie robuste volte a mantenere elevati standard in materia di disponibilità, autenticità, integrità e riservatezza. Queste strategie non si limitano a definire misure tecniche, ma comprendono politiche organizzative che assicurano che i dati, siano essi sensibili o critici, siano protetti contro accessi non autorizzati, perdite o alterazioni.
  • Definizione dei ruoli e delle responsabilità delle funzioni legate alle TIC. L’organo di direzione deve garantire che ogni attore coinvolto nella gestione delle TIC – che si tratti di equipe di informatici, dei responsabili della conformità o degli auditor – sappia esattamente cosa ci si aspetta da lui. A tal fine, vengono istituiti meccanismi di governance per garantire una comunicazione fluida, una cooperazione efficace e un coordinamento rapido tra queste diverse funzioni. Questa struttura consente all’entità di reagire con agilità in caso di incidenti o di evoluzioni tecnologiche.
  • Definizione e approvazione della strategia globale di resilienza operativa digitale, ai sensi dell’articolo 6, paragrafo 8. Questa strategia include la determinazione di un livello di tolleranza al rischio TIC, ovvero la soglia oltre la quale un incidente potrebbe compromettere le operazioni o la reputazione dell’entità. Questo approccio richiede un’analisi approfondita dei rischi potenziali e una capacità di anticipare gli scenari più critici. La strategia di resilienza operativa digitale si basa su diversi pilastri:
  1. Sostegno alla strategia aziendale: il quadro per la gestione dei rischi legati alle TIC deve essere allineato agli obiettivi globali dell’entità.
  2. Livello di tolleranza al rischio: l’entità deve determinare una soglia accettabile di rischio TIC, tenendo conto del suo appetito globale per il rischio.
  3. Obiettivi di sicurezza: devono essere stabiliti indicatori di performance e di rischio chiari.
  4. Architettura TIC di riferimento: la strategia descrive l’architettura tecnologica e i cambiamenti necessari per raggiungere obiettivi specifici dell’entità finanziaria.
  5. Rilevazione e prevenzione: devono essere messi in atto meccanismi per rilevare, prevenire e proteggersi dagli incidenti TIC.
  6. Valutazione della resilienza: la strategia deve consentire di valutare la situazione attuale in base agli incidenti TIC segnalati.
  7. Test di resilienza: devono essere effettuati test regolari, conformi al capitolo IV del regolamento, per verificare la robustezza dei sistemi e delle misure di prevenzione.
  8. Comunicazione in caso di crisi: deve essere definita una strategia di comunicazione chiara per gestire la divulgazione degli incidenti TIC gravi.

Nell’ambito di questa strategia, le entità finanziarie possono adottare un approccio multi-fornitore per gestire le loro dipendenze dai prestatori terzi di servizi TIC. Tale approccio mette in evidenza le relazioni chiave con i prestatori di servizio e giustifica le scelte effettuate, al fine di ottimizzare la resilienza controllando i rischi legati all’esternalizzazione.

  • Approvazione e supervisione della politica di continuità delle attività TIC, nonché dei piani di risposta e di ripristino, come descritto nei paragrafi 1 e 3 dell’articolo 11. Questi documenti, che possono inserirsi nel quadro più ampio della continuità delle attività dell’entità, sono essenziali per garantire che l’organizzazione possa mantenere le sue operazioni in caso di crisi, che si tratti di un attacco informatico, di un guasto al sistema o di un’altra perturbazione. I piani devono essere regolarmente aggiornati per adattarsi alle nuove minacce o alle evoluzioni tecnologiche.
  • Validazione e revisione periodica dei piani interni di audit delle TIC, nonché degli audit delle TIC dell’entità finanziaria, garantendo che qualsiasi modifica significativa sia attentamente esaminata. Ciò consente di garantire che i sistemi TIC siano conformi alle norme regolamentari e alle migliori pratiche del settore.
  • Allocazione di un bilancio adeguato per rispondere alle esigenze di resilienza operativa digitale. Detto bilancio non copre solo l’acquisizione di tecnologie o strumenti di cybersicurezza, ma include anche programmi di sensibilizzazione alla sicurezza TIC, formazioni sulla resilienza digitale (art. 13, paragrafo 6, del Regolamento DORA) e lo sviluppo delle competenze TIC per l’intero personale. Tale approccio garantisce che tutti i dipendenti, indipendentemente dal loro ruolo, siano preparati a contribuire alla sicurezza dell’entità.
  • Approvazione e aggiornamento periodico della politica relativa all’utilizzo dei servizi TIC forniti da prestatori terzi. Questi servizi, spesso essenziali per le operazioni digitali, devono essere regolati da norme chiare per minimizzare i rischi legati all’esternalizzazione.
  • Istituzione di canali di notifica efficaci. La creazione di canali di notifica consente di ricevere informazioni sugli accordi conclusi con i prestatori terzi, su qualsiasi cambiamento significativo riguardante questi prestatori, nonché sugli impatti potenziali di tali cambiamenti sulle funzioni critiche o importanti. Inoltre, l’organo di direzione è tenuto informato degli incidenti gravi legati alle TIC, delle loro conseguenze, nonché delle misure adottate per rispondere, ripristinare e correggere le vulnerabilità. Un’analisi dei rischi accompagna queste notifiche per valutare gli impatti potenziali e guidare le decisioni.

In sintesi, l’organo di direzione non si limita a supervisionare la gestione dei rischi TIC, ma deve garantire che l’entità finanziaria sia protetta contro le minacce digitali e che sia in grado di adattarsi e prosperare in un ambiente tecnologico in continua evoluzione.

Gestione dei rischi legati alle TIC

La gestione dei rischi legati alle TIC è una componente essenziale della strategia delle entità finanziarie, e il Regolamento DORA fornisce un quadro normativo rigoroso per garantire la loro resilienza operativa digitale. Gli articoli da 6 a 16 del regolamento specificano che il quadro per la gestione dei rischi deve essere progettato per identificare, valutare e mitigare i rischi legati alle TIC in modo rapido, efficace ed esaustivo. L’obiettivo ultimo è garantire un elevato livello di resilienza operativa digitale, consentendo all’entità di proseguire le sue attività anche in caso di perturbazioni tecnologiche gravi, come un attacco informatico o un guasto al sistema.

Le entità finanziarie devono dotarsi di strategie, politiche, procedure, protocolli e strumenti TIC necessari per proteggere gli attivi informativi (dati sensibili, basi di dati, ecc.) e gli attivi TIC (software, hardware, server, centri di dati, ecc.). L’integrazione di politiche e sistemi di protezione mira a prevenire i danni, gli accessi non autorizzati o l’uso inappropriato degli attivi informatici. Pertanto, l’entità deve garantire la sicurezza non solo dei sistemi informatici, ma anche delle infrastrutture fisiche associate, come i locali o le zone sensibili, per assicurare una protezione completa contro le minacce digitali.

Per minimizzare l’impatto dei rischi TIC, le entità finanziarie devono implementare misure adeguate, includendo strategie e strumenti che consentano di ridurre le vulnerabilità. Sono inoltre tenute a fornire, su richiesta delle autorità competenti, informazioni aggiornate sul loro quadro di gestione dei rischi TIC e sulle minacce identificate. Questa trasparenza è essenziale per dimostrare la loro conformità e la loro capacità di gestire i rischi in modo proattivo.

Il Regolamento DORA precisa che – tenendo conto del principio di proporzionalità – la responsabilità della gestione e della supervisione dei rischi TIC deve essere affidata a una funzione di controllo dedicata, che deve essere sufficientemente indipendente per evitare qualsiasi conflitto di interessi. La separazione delle funzioni è cruciale, sia che l’entità adotti il modello delle tre linee di difesa (gestione dei rischi, controllo, audit interno) o un altro modello di gestione dei rischi. L’approccio basato sul rischio garantisce che le responsabilità siano chiaramente definite e che i rischi TIC siano monitorati in modo rigoroso.

Il Regolamento DORA sottolinea che il quadro di gestione dei rischi TIC deve essere completamente documentato e rivisto almeno una volta all’anno. La revisione – che tiene conto delle lezioni apprese dagli incidenti passati, dai test di resilienza o dagli audit – mira a migliorare continuamente l’attuazione effettiva e il monitoraggio del quadro di gestione dei rischi legati alle TIC. Un rapporto su questa revisione deve essere presentato alle autorità di controllo competenti su richiesta, garantendo così tracciabilità e responsabilità.

Sulla base delle conclusioni dell’audit interno, le entità finanziarie devono istituire un processo di monitoraggio formale, con regole chiare per correggere rapidamente le vulnerabilità critiche identificate, garantendo così un miglioramento continuo della sicurezza.

Infine, le entità finanziarie hanno la possibilità di esternalizzare alcune attività di verifica della conformità alle esigenze di gestione dei rischi TIC, sia a entità intra-gruppo che a prestatori esterni, in conformità al diritto dell’Unione e nazionale. Tuttavia, l’esternalizzazione non esonera l’entità dalla sua piena e intera responsabilità di garantire il rispetto delle esigenze in materia di gestione dei rischi legati alle TIC.

Gestione, classificazione e dichiarazione degli incidenti legati alle TIC

Gli articoli da 17 a 23 del Regolamento DORA impongono alle entità finanziarie di stabilire un processo strutturato di gestione degli incidenti legati alle TIC per rilevare, gestire, notificare e registrare tutti gli incidenti TIC e le cyberminacce significative.

A tal fine, le entità finanziarie devono dotarsi di procedure e meccanismi che consentano una sorveglianza efficace, nonché una gestione e un monitoraggio coerenti di questi incidenti. Ciò include l’identificazione e la documentazione delle cause profonde degli incidenti, nonché l’attuazione di misure correttive per prevenirne la ripetizione.

Per garantire una gestione efficace degli incidenti legati alle TIC, le entità finanziarie devono classificarli in base alla loro gravità e al loro impatto, basandosi su indicatori di allerta. L’uso dei criteri di allerta consente di valutare l’entità delle perturbazioni e di determinare se un incidente deve essere dichiarato alle autorità competenti. In particolare, le entità finanziarie devono esaminare:

  • L’impatto sui clienti e sulle transazioni, che include il numero di clienti o controparti finanziarie colpite, il volume o il numero di transazioni interessate, nonché gli eventuali danni alla reputazione.
  • La durata dell’incidente, valutando in particolare le interruzioni di servizio.
  • La distribuzione geografica, verificare se l’incidente coinvolge più di due Stati membri.
  • Le perdite di dati causate dall’incidente legato alle TIC, in termini di disponibilità, autenticità, integrità o riservatezza.
  • La criticità dei servizi colpiti, come le transazioni o operazioni finanziarie essenziali.
  • Le conseguenze economiche, che includono i costi diretti e indiretti, nonché le perdite finanziarie.

Inoltre, le entità finanziarie devono identificare le cyberminacce significative, ovvero quelle che potrebbero avere un impatto significativo sulle loro operazioni. In concreto, le entità devono valutare la criticità dei servizi minacciati, il numero o l’importanza dei clienti o delle controparti prese di mira e l’estensione geografica delle zone a rischio. Un tale approccio permette di anticipare le minacce potenziali e di rafforzare le misure di prevenzione.

Il Regolamento DORA impone, infatti, alle entità finanziarie obblighi in materia di dichiarazione degli incidenti gravi legati alle TIC e di notifica volontaria delle cyberminacce significative.

La finalità del Regolamento DORA è di assicurare una risposta tempestiva agli incidenti critici. Pertanto, le entità finanziarie devono segnalare gli incidenti gravi, informare i loro clienti e, se necessario, condividere informazioni sulle cyberminacce. A tal l’uopo, la coordinazione tra le autorità europee e nazionali garantisce una gestione efficace degli incidenti, rafforzando la resilienza del settore finanziario di fronte alle sfide digitali.

Test di resilienza operativa digitale

Gli articoli da 24 a 27 del Regolamento DORA trattano dei test di resilienza, considerati una pratica essenziale per rafforzare la valutazione dei rischi legati alle tecnologie dell’informazione e della comunicazione (TIC). Il regolamento stabilisce un insieme di regole generali per l’esecuzione dei test di resilienza operativa, nonché un quadro di norme specifico destinato a regolamentare le entità più critiche.

In generale, i test di resilienza operativa digitale rispondono al criterio di proporzionalità e devono essere adattati in funzione della dimensione, del profilo di rischio globale, nonché della natura, dell’ampiezza e della complessità delle attività delle entità. Le entità devono progettare, mantenere, implementare e riesaminare un programma di test di resilienza operativa digitale solido ed esaustivo quale parte integrante del quadro per la gestione dei rischi informatici. Detto programma comprende una serie di valutazioni, test, metodologie, pratiche e strumenti da implementare.

Integrato nel quadro di gestione dei rischi TIC, il programma di test di resilienza operativa mira a valutare la capacità delle entità di gestire gli incidenti TIC, identificare le debolezze, i guasti o le lacune in materia di resilienza operativa digitale e applicare rapidamente misure correttive.

I test di resilienza operativa devono essere effettuati almeno una volta all’anno. Ma prima di eseguirli, è opportuno realizzare un inventario dei sistemi e delle applicazioni TIC esistenti al fine di stabilire una cartografia e una classificazione per livelli di criticità e di rischio.

L’art. 25 del Regolamento DORA descrive in dettaglio le varie categorie di test, che possono essere eseguiti, tra le quali sono incluse: valutazione e analisi di vulnerabilità, analisi delle fonti aperte, valutazione della sicurezza delle reti, analisi delle lacune, esame della sicurezza fisica, questionari e soluzioni software di scansione, esame del codice sorgente, test basati su scenari, test di compatibilità, test di performance, test end-to-end, test di intrusione.

Inoltre, l’art. 26 del Regolamento DORA stabilisce le esigenze relative ai test avanzati di intrusione basati sulla minaccia (Threat-Led Penetration Testing, o TLPT). Sono test che devono essere effettuati almeno ogni tre anni, e mirano a valutare la resilienza dei sistemi critici o importanti di fronte a cyberminacce realistiche.

L’obbligo di eseguire i test TLPT riguarda esclusivamente le entità identificate dalle autorità competenti, sulla base di criteri di valutazione che tengono conto dell’impatto sul settore finanziario dei servizi forniti e delle attività svolte dall’entità finanziaria, del profilo di rischio TIC, e del livello di maturità delle TIC dell’entità finanziaria o delle caratteristiche tecnologiche. Le autorità competenti possono regolare la frequenza dei test in funzione del profilo di rischio e delle circostanze operative dell’entità.

In linea di principio, l’esecuzione dei test può essere effettuata sia da soggetti qualificati, sia da soggetti interni, a condizione di ricorrere a un soggetto incaricato esterno ogni tre test, ossia ogni sei anni. L’unica eccezione riguarda gli stabilimenti di credito classificati come importanti. Questi ultimi ricorrono esclusivamente a soggetti incaricati interni che soddisfano le condizioni stabilite dall’art. 27 del Regolamento DORA, ossia soggetti incaricati che:

  1. Possano vantare il più alto grado di idoneità e reputazione
  2. Possiedano capacità tecniche e organizzative e dimostrino esperienza specifica nel campo delle analisi delle minacce, dei test di penetrazione e dei test red team
  3. Siano certificati da un organismo di accreditamento in uno Stato membro o aderiscano a codici di condotta o quadri etici formali.
  4. Forniscano un’assicurazione indipendente o un rapporto di audit relativo alla corretta gestione dei rischi associati all’esecuzione di test di penetrazione basati sulla minaccia, inclusa la protezione adeguata delle informazioni riservate dell’entità finanziaria e la copertura dei rischi operativi dell’entità finanziaria.
  5. Siano debitamente e completamente coperti da assicurazioni di responsabilità civile professionale pertinenti, comprese quelle contro i rischi di cattiva condotta e di negligenza.

Al termine dei test, una volta approvati i rapporti e i piani di misure, l’entità finanziaria e il soggetto incaricato esterno, se del caso, devono trasmettere all’autorità competente i seguenti elementi: una sintesi delle conclusioni pertinenti, i piani di misure correttive e la documentazione che dimostri che il test di penetrazione basato sulla minaccia è stato effettuato conformemente alle esigenze previste dal regolamento DORA (cfr. art. 26, paragrafo 6, del Regolamento DORA).

Gestione dei terzi legati ai prestatori terzi di servizi TIC

Gli articoli da 28 a 44 stabiliscono un quadro strutturato per regolamentare le relazioni tra le entità finanziarie e i loro prestatori terzi di servizi TIC, con un’enfasi sulla gestione dei rischi e la continuità dei servizi critici.

L’obiettivo è armonizzare le pratiche all’interno dell’Unione Europea, imponendo alle entità finanziarie una responsabilità piena e intera nella gestione dei loro prestatori. Le entità devono valutare e documentare rigorosamente i rischi legati ai loro prestatori, in particolare il rischio di concentrazione, che si verifica quando più entità dipendono da un unico prestatore per servizi critici.

Il Regolamento DORA richiede una valutazione approfondita dei prestatori, includendo le loro capacità tecniche, la loro conformità normativa e i rischi legati alla localizzazione dei dati. Questa valutazione deve essere documentata con registri dettagliati sui contratti e sulle misure di mitigazione.

Si raccomanda di implementare un monitoraggio continuo della relazione contrattuale per garantire il controllo delle prestazioni, delle vulnerabilità e delle evoluzioni normative o tecnologiche.

Le relazioni con i prestatori di servizi TIC devono essere regolate da contratti robusti, che includano clausole sulla gestione degli incidenti e sulla protezione dei dati, i diritti di audit o i piani di uscita. Le autorità competenti possono richiedere rapporti dettagliati e intervenire presso i prestatori critici in caso di rischi sistemici.

Il rischio di concentrazione è un punto centrale, e le entità sono incoraggiate a diversificare i loro prestatori, valutare gli impatti sistemici e collaborare con le autorità competenti.

Scambio di informazioni

Infine, l’art. 45 del Regolamento DORA incoraggia le entità finanziarie a condividere informazioni e analisi sulle cyberminacce per rafforzare la loro resilienza operativa digitale. Questo quadro promuove una collaborazione proattiva, imponendo al contempo regole rigorose per garantire la riservatezza e la conformità.

Le entità finanziarie possono così scambiare tra loro informazioni e analisi di cyberminacce, tra cui indicatori di compromissione, tattiche, tecniche e procedure, avvisi di cybersicurezza e strumenti di configurazione, nella misura in cui tale condivisione di informazioni miri a:

  • Migliorare a potenziare la resilienza operativa digitale delle entità, in particolare sensibilizzandole alle cyberminacce, limitandone la propagazione e supportando le capacità di difesa, rilevazione e risposta. Ciò consente alle entità di prepararsi meglio ad attacchi come ransomware o denial of service, rafforzando così la cybersicurezza collettiva del settore finanziario.
  • Svolgersi all’interno di comunità di entità finanziarie fidate, in un quadro sicuro e conforme a dispositivi di condivisione delle informazioni. Questi dispositivi proteggono la natura sensibile dei dati condivisi e rispettano il Regolamento (UE) 2016/679 (RGPD) per la protezione dei dati, le linee guida sulla politica di concorrenza e i principi di riservatezza degli affari. Ciò garantisce che le informazioni scambiate non compromettano né la privacy, né la competitività del mercato.
  • Basarsi su dispositivi di condivisione delle informazioni che definiscono le condizioni da rispettare per partecipare e, se del caso, precisano le modalità di partecipazione delle autorità pubbliche, la qualità con cui possono essere associate a tali dispositivi, le modalità di partecipazione dei prestatori terzi di servizi TIC, nonché gli aspetti operativi di questo scambio, inclusi l’uso di piattaforme TIC specializzate.

Le entità finanziarie devono notificare alle autorità competenti la loro adesione a questi dispositivi, non appena validata, nonché la loro cessazione di partecipazione. Questo obbligo consente alle autorità di supervisionare queste iniziative e di garantirne la conformità.

Sanzioni amministrative e penali

Gli articoli da 50 a 52 del Regolamento DORA stabiliscono le sanzioni amministrative e penali da applicare alle entità finanziarie che non rispettano le disposizioni previste dal regolamento.

Innanzitutto, si ricorda che le autorità di vigilanza (ESMA, EBA ed EIOPA) dispongono di pieni poteri di controllo, indagine e sanzione necessari all’esercizio delle loro funzioni ai sensi del regolamento. Esse hanno in particolare il diritto di consultare i documenti pertinenti, effettuare ispezioni in loco, convocare rappresentanti del settore finanziario per spiegazioni, interrogare persone consenzienti e imporre misure correttive in caso di violazioni del regolamento.

Sanzioni amministrative

Oltre alla possibilità per gli Stati membri di applicare sanzioni penali ai sensi dell’articolo 52, questi ultimi possono emanare norme relative a sanzioni amministrative e misure correttive, come stabilito nell’articolo 51, in caso di non conformità al regolamento. Tali sanzioni devono essere efficaci, proporzionate e dissuasive per garantirne l’efficacia.

Gli Stati membri autorizzano le autorità competenti ad applicare le seguenti sanzioni amministrative o misure correttive in caso di violazione del regolamento:

  • Ordinare l’interruzione immediata del comportamento non conforme e vietarne la ripetizione.
  • Richiedere la cessazione temporanea o permanente di pratiche non conformi.
  • Adottare misure finanziarie per garantire la conformità delle entità finanziarie.
  • Richiedere i registri del traffico di dati, se necessario, per indagare su violazioni.
  • Pubblicare avvisi pubblici, includendo l’identità della persona o dell’impresa in violazione e la natura della violazione.

Sanzioni penali

L’art. 52 del Regolamento DORA dispone che gli Stati membri possono decidere di non prevedere un regime di sanzioni amministrative o di misure correttive per le violazioni che sono soggette a sanzioni penali nell’ambito del loro diritto nazionale.

Tuttavia, se gli Stati membri hanno scelto di istituire sanzioni penali in caso di violazione del Regolamento DORA, devono mettere in atto meccanismi che consentano alle autorità competenti di collaborare con le autorità giudiziarie incaricate delle azioni penali.

gp@giovannellapolidoro.com

 

Leave a comment