Ci siamo: il prossimo 17 gennaio troverà applicazione in tutta l’Unione europea il Regolamento Dora (Digital Operational Resilience Act), che disciplina, tra gli altri, i temi della gestione del rischio Ict, dell’incident reporting e dell’infosharing, puntando alla resilienza operativa digitale del settore finanziario e armonizzando il framework normativo a livello comunitario. Pubblicato in Gazzetta Ufficiale Ue il 27 dicembre 2022, il Regolamento Dora è entrato in vigore il 16 gennaio 2023.
Chi è coinvolto dalle nuove norme: cosa cambia per i servizi Ict in outsourcing
Con la sua applicazione, non saranno più applicabili i divieti di esternalizzare servizi Ict relativi a funzioni aziendali operative essenziali previsti in Italia dalla normativa secondaria della Banca d’Italia. Lo scrive lo stesso istituto di via Nazionale in una comunicazione rivolta agli intermediari sottoposti alla vigilanza prudenziale della Banca d’Italia che rientrano nella definizione di “entità finanziaria” del Regolamento Dora.
Si tratta, nello specifico, non solo di banche, ma anche di imprese di investimento, gestori, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding. In pratica il regolamento Dora mira a favorire l’armonizzazione dei requisiti di resilienza digitale per tutto il settore finanziario europeo.
Rispetto agli accordi contrattuali previsti per l’utilizzo di servizi Ict a supporto di funzioni essenziali o importanti, Via Nazionale precisa che “con l’avvio dell’applicazione del Regolamento all’utilizzo da parte degli intermediari di servizi Ict prestati da fornitori terzi, non troveranno più applicazione le discipline settoriali in materia di esternalizzazione“.
Giro di vite sulla gestione dei servizi informatici
Ai sensi dell’articolo 6 del Regolamento Dora, inoltre, le entità finanziarie sono tenute a predisporre, monitorare e aggiornare nel tempo un quadro per la gestione dei rischi informatici solido, esaustivo e adeguatamente documentato, che consenta di affrontare tali rischi in maniera rapida, efficiente ed esaustiva, attraverso una strategia di resilienza operativa digitale.
La Banca d’Italia sottolinea come le entità finanziarie diverse dalle microimprese dovranno attribuire la responsabilità della gestione dei rischi informatici a una funzione di controllo, che deve avere un livello appropriato d’indipendenza, al fine di evitare conflitti d’interessi.
“Il Regolamento non definisce tuttavia specifiche regole sulla collocazione organizzativa di tale funzione, considerato che le diverse entità finanziarie hanno, in base alle discipline settoriali, meccanismi differenti di governo societario e di controlli interni. In assenza – allo stato – di diverse indicazioni nella complessiva disciplina europea, si ritiene, nel rispetto dei principi di proporzionalità e di neutralità organizzativa, che sia compatibile con il Regolamento Dora che gli intermediari facciano leva sul modello di governance e sul sistema dei controlli interni adottati ai sensi della propria disciplina settoriale, opportunamente integrati per tenere conto di tutte le nuove previsioni del Regolamento”.
Via ai penetration test triennali
In applicazione dell’articolo 26 del Regolamento Dora, gli intermediari identificati secondo i criteri definiti dall’apposito atto delegato in corso di adozione sono anche tenuti a effettuare test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test) con cadenza almeno triennale.
Alla luce delle previsioni del Regolamento, tali test rientrano tra gli strumenti utilizzati dalla Vigilanza, i cui esiti saranno incorporati nei processi di supervisione.
Per quanto riguarda gli intermediari vigilati direttamente dalla Banca d’Italia, il processo di identificazione è ancora in corso e una volta concluso si procederà a informare i soggetti interessati nonché a definire, successivamente, una pianificazione per l’esecuzione dei test.
Il nuovo meccanismo delle segnalazioni
A partire dal prossimo 17 gennaio, infine, le entità finanziarie stabilite dai criteri della normativa saranno tenute a segnalare alla Banca d’Italia tutti i gravi incidenti Ict e, su base volontaria, le minacce informatiche significative.
In aggiunta, per le banche, gli istituti di pagamento, i prestatori di servizi di informazione sui conti e gli istituti di moneta elettronica, gli obblighi segnaletici si estendono anche agli incidenti operativi o relativi alla sicurezza dei pagamenti che li riguardano.
La Banca d’Italia ricorda che le segnalazioni dovranno essere effettuate tramite la piattaforma Infostat dell’istituto. Queste informazioni, precisano ancora da via Nazionale, si applicano ai soggetti vigilati quali banche, imprese di investimento, gestori, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding.
Sempre a decorrere dal 17 gennaio 2025, l’attuale quadro di segnalazione dei gravi incidenti operativi o di sicurezza applicato a banche, Ip e Imel si intenderà abrogato e sostituito dal nuovo quadro segnaletico del regolamento Dora.
