Il Regolamento UE 2022/2554, noto come “Regolamento DORA” (Digital Operational Resilience Act), rappresenta una svolta significativa per la sicurezza digitale nel settore finanziario europeo. Entrato in vigore il 16 gennaio 2023 e diventato pienamente applicabile dal 17 gennaio, questo regolamento è stato concepito per affrontare le crescenti minacce informatiche e garantire che le entità finanziarie possano operare in un ambiente sicuro e stabile.
In un mondo sempre più digitalizzato e interconnesso, le interruzioni operative digitali, come attacchi informatici o guasti tecnologici, possono avere conseguenze devastanti per le organizzazioni finanziarie e i loro clienti. Il Regolamento DORA mira, quindi, a rafforzare la resilienza operativa digitale delle entità finanziarie, assicurando che queste siano in grado di resistere, rispondere e riprendersi rapidamente da qualsiasi tipo di interruzione.
Il regolamento non si limita solo alle entità finanziarie, ma si estende anche le imprese di assicurazione e di riassicurazione egli intermediari assicurativi, riassicurativi nonché a titolo accessorio. Gli intermediari, tuttavia, sono esclusi ove siano microimprese o piccole o medie imprese.
Il Regolamento DORA si inserisce in un contesto normativo più ampio che, insieme alla direttiva NIS2 (Network and Information Security Directive), operativa dal 17 ottobre 2024, vuole rafforzare e migliorare il livello di sicurezza informatica nell’Unione Europea.
COSA PREVEDE IL REGOLAMENTO DORA?
Nella prospettiva di standardizzare i protocolli di sicurezza digitale nelle organizzazioni finanziarie il Regolamento ha stabilito un insieme completo di requisiti che coprono:
- Gestione del Rischio e degli Incidenti ICT e Cyber. Il regolamento richiede che le entità finanziarie abbiano piani dettagliati per la gestione degli incidenti, inclusi protocolli per la segnalazione e la risoluzione rapida degli incidenti informatici.
- Test di Resilienza Operativa. Le entità devono condurre regolarmente test di resilienza operativa per valutare la loro capacità di resistere a perturbazioni operative. Questi test devono essere eseguiti in conformità con le linee guida stabilite dalle autorità di vigilanza europee.
- Monitoraggio dei Fornitori di Servizi ICT. Le entità finanziarie devono monitorare attentamente i fornitori di servizi ICT critici per garantire che rispettino gli stessi standard di resilienza operativa. Questo include la stipula di contratti che prevedano clausole specifiche per la gestione del rischio ICT.
- Cooperazione e Condivisione delle Informazioni. Il regolamento promuove la cooperazione tra le entità finanziarie e le autorità di vigilanza per migliorare la condivisione delle informazioni sulle minacce e le vulnerabilità informatiche.
PERCHÉ È IMPORTANTE?
L’implementazione del Regolamento DORA richiede alle entità finanziarie di investire significativamente in tecnologie e processi per migliorare la loro resilienza operativa digitale andando a contribuire alla creazione di un ambiente finanziario più sicuro e stabile, essenziale per la crescita economica e la protezione degli interessi dei consumatori. Questi sforzi sono essenziali per proteggere il settore finanziario dalle crescenti minacce informatiche e garantire la continuità operativa in caso di interruzioni.
Il Regolamento DORA rappresenta, quindi, un passo avanti cruciale per la sicurezza e la stabilità del settore finanziario europeo in un contesto sempre più digitalizzato e interconnesso.
