Cybersecurity, approvato regolamento per istituti finanziari e assicurativi

Scarica PDF Stampa

Un nuovo importante tassello nella strategia europea di resilienza e sicurezza informatica è stato posto con l’approvazione, da parte del Parlamento, del Regolamento DORA, ovvero il Digital Operational Resilience Act, nato con l’obiettivo di rafforzare e armonizzare i requisiti operativi in ambito cybersecurity nel settore bancario, finanziario e assicurativo, ivi comprese le società di servizi di criptovalute.

     Indice

  1. Di che cosa si tratta
  2. Quando entra in vigore il Regolamento DORA
  3. A chi si applica
  4. Quali sono i punti cardine del Regolamento DORA
  5. Che cosa fare per essere in regola

1. Di che cosa si tratta

Si tratta di un Regolamento, ovvero di una norma europea immediatamente applicabile in tutti gli Stati membri dell’Unione, senza bisogno di alcuna legge di recepimento, nato per garantire che le imprese del settore finanziario e assicurativo siano in grado di affrontare attacchi informatici anche di grave portata, aventi impatto pesante sull’operatività aziendale, attraverso l’implementazione di misure di sicurezza, di gestione del rischio, di governance, cybersecurity e di incident reporting.

Un Regolamento, dunque, che si inserisce nel solco dell’attività legislativa europea volta a contrastare la crescita e la gravità dei cyberattacchi e delle loro conseguenze, per incrementare la resilienza, ovvero la continuità, operativa del settore finanziario di tutti gli Stati appartenenti all’Unione. Lo scopo principale del Regolamento DORA è quello di adottare requisiti di sicurezza standard per prevenire e, se del caso, reagire, a minacce informatiche che non solo si fanno sempre più sofisticate, ma che, qualora colpiscano il bersaglio, possono avere conseguenze di portata dirompente al di là di ogni immaginazione per tutti i cittadini dell’Unione e dell’intero pianeta.

2. Quando entra in vigore il Regolamento DORA

Così come già avvenuto per altri noti Regolamenti europei in ambito Data Protection, servizi digitali e in generale regolamentazione della tecnologia, anche il DORA sarà sottoposto ad un periodo di “vacatio” o grace period: gli operatori interessati avranno 24 mesi per conformarsi e uniformarsi agli standard richiesti, a decorrere dall’entrata in vigore del Regolamento, che dunque diventerà pienamente operativo a fine 2024.

3. A chi si applica

I destinatari del Regolamento sono quasi tutti gli operatori del settore finanziario, dunque non solo i grandi player tradizionali (banche, assicurazioni, società di gestione del risparmio, società di intermediazione mobiliare, imprese di investimento in generale), ma anche i nuovi attori del mercato finanziario, quali società di servizi in ambito criptovalute e loro fornitori di servizi critici essenziali, come ad esempio i fornitori del cloud.

4. Quali sono i punti cardine del Regolamento DORA

Quattro sono i punti cardine del regolamento DORA:

1) Necessità di Governance e organizzazione interna (Art. 5)

I soggetti interessati dal Regolamento dovranno costituire al proprio interno un dipartimento di governance del rischio in grado di garantire un monitoraggio costante dei rischi IT, la predisposizione delle misure di sicurezza e la gestione di eventuali incidenti in tempo rapido, al fine di garantire un elevato livello di resilienza operativa digitale.

2) Obbligo di gestire il Risk management (Artt. 6-16)

Sarà obbligatorio formulare un quadro di gestione del rischio solido, completo e ben documentato, con evidenza di quali sono state le scelte compiute in termini di strumenti IT, identificazione degli entry point di rischio, e adozione di procedure di prevenzione e protezione.

3) Esigenza di creare procedure per Incident management e reporting (Artt. 17-23)

Il Regolamento prevede l’obbligo di scrivere ed applicare procedure per garantire la business continuity e il disaster recovery, di dotarsi di personale idoneamente ed accuratamente formato, pronto a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le conseguenze, nonché prevedere piani di comunicazione nei confronti degli stakeholder.

4) Gestione dei fornitori di servizi critici ICT (Artt. 28-44)

Le Autorità di vigilanza in ambito finanziario avranno specifici poteri di sorveglianza non solo nei confronti dei diretti interessati all’applicabilità del regolamento, ma anche verso i fornitori di servizi critici, quali ad esempio il servizio di cloud.

5. Che cosa fare per essere in regola

Anche per questo Regolamento vale il principio dell’approccio basato sul rischio ed il concetto di accountability: saranno le aziende stesse destinatarie delle normative, con l’adozione di un approccio proattivo e consapevole, a stabilire quali saranno le azioni da porre in essere all’interno del framework stabilito da DORA.

L’impianto, comunque, sembra ricalcare quello già in essere per il Regolamento Europeo per la Protezione dei Dati Personali (GDPR 679/2016), ovvero iniziare con una gap analysis dell’ICT risk management framework, procedere con la revisione della struttura di governance interna e le misure di gestione dei rischi e incidenti ICT già adottate, per verificare il grado di preparazione e consapevolezza aziendale rispetto al nuovo impianto normativo e valutare se quanto finora adottato risponda adeguatamente al dettato normativo, in termini di risorse, strategie e procedure di risposta agli incidenti.

Se la risposta sarà no, occorrerà prevedere piani di aggiornamento e adeguamento, che sarà la stessa azienda a valutare come adeguati secondo il proprio profilo di rischio e di assessment iniziale.

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento