Dora si pone l’obiettivo di imporre l’adozione di requisiti di cybersecurity standardizzati, necessari a garantire che le entità finanziarie che operano nell’Unione europea siano poste nelle condizioni di prevenire, resistere e reagire alle minacce informatiche
Si applicherà non solo a enti finanziari di stampo tradizionale (come banche, imprese d’investimento e assicurazioni) ma anche ad aziende di servizi di cripto-asset e fornitori critici di servizi Ict
Banche, assicurazioni e imprese d’investimento. Ma anche operatori cripto. Il Parlamento europeo, nella giornata del 10 novembre, ha approvato in via definitiva l’atto sulla resilienza operativa digitale (dall’inglese Digital operational resilience act o Dora) volto a garantire una maggiore resilienza del settore finanziario a fronte di gravi interruzioni operative e attacchi informatici. We Wealth ne ha analizzato contenuti, tempistiche e raggio di applicazione insieme ad Andrea Palumbo, associate di De Berti Jacchia, e agli avvocati Giulio Coraggio e Maria Chiara Meneghetti dello studio legale Dla Piper. Lanciando uno sguardo anche alla Nis 2, che introduce nuove regole per la sicurezza delle reti e dei sistemi informativi.
Digital operational resilience act: cos’è
“Si tratta di un’iniziativa legislativa volta a realizzare non soltanto obiettivi di cybersicurezza ma anche a creare sinergie con la realizzazione di altri obiettivi tipici della regolamentazione finanziaria”, spiega Palumbo. “Migliorando infatti la resilienza operativa digitale del settore, si riesce a garantire anche una maggiore stabilità finanziaria, che rappresenta un altro degli obiettivi perseguiti dall’Unione europea insieme alla tutela dei consumatori e alla sana gestione delle attività finanziarie”. Nel dettaglio, interviene Coraggio, il regolamento Dora si pone l’obiettivo di imporre l’adozione di requisiti di cybersecurity standardizzati, necessari a garantire che le entità finanziarie che operano nell’Unione europea siano poste nelle condizioni di prevenire, resistere e reagire alle minacce informatiche di cui potrebbe essere bersaglio. A tal fine, precisa Coraggio, introduce “un corpus armonizzato di misure di cybersicurezza tecnico-organizzative volte ad abilitare e sostenere il potenziale innovativo della finanza digitale, mitigando al contempo i rischi che derivano dall’innovazione tecnologica”.
A chi si applica e come
“La portata del regolamento Dora è molto ampia e impatterà quasi tutti gli operatori del settore finanziario”, continua Coraggio. Si applicherà infatti non solo a enti finanziari di stampo tradizionale (come banche, imprese d’investimento e assicurazioni) ma anche a “nuovi attori” del mercato quali aziende di servizi di cripto-asset e fornitori critici di servizi Ict (come i fornitori di servizi cloud). Senza dimenticare i fornitori critici di servizi alle aziende sopra indicate. “Le entità finanziarie dovranno dotarsi di una governance di cybersecurity interna e di un quadro di controllo tali da garantire una gestione efficace e prudente di tutti i rischi Ict”, interviene Meneghetti. “Inoltre, dovranno disporre di un quadro di gestione del cyber rischio solido, completo e ben documentato come parte del loro sistema complessivo di gestione del rischio. E ci sono numerose previsioni per la gestione degli incidenti legati ai servizi Ict, oltre al conferimento alle autorità di vigilanza finanziaria di specifici poteri di sorveglianza”. Obblighi, continua l’esperta, che richiederanno anche la rinegoziazione dei contratti con i propri fornitori di servizi essenziali.
Le prossime tappe
A partire dalla data di entrata in vigore del regolamento, che secondo Palumbo potrebbe cadere tra la fine del 2022 e l’inizio del 2023, ci sarà un grace period di 24 mesi per consentire a operatori e autorità nazionali di attuare tutti gli adempimenti necessari da un punto di vista tecnico-organizzativo. “In questi 24 mesi, presumibilmente, le autorità nazionali inizieranno a dialogare con il settore finanziario per definire l’applicazione in concreto delle norme. Uno spazio di tempo molto ampio per permettere un adeguamento da parte dell’industria e per consentire anche alle autorità nazionali di meglio declinare tali obblighi”, spiega Palumbo.
Nis 2: cosa prevede e chi dovrà adeguarsi
Gli operatori finanziari, aggiunge Coraggio, sono già sottoposti a un regime decisamente stringente in materia di sicurezza informatica. “Aldilà della normativa specifica di settore, i principi del Gdpr richiedono – in caso di trattamento di dati personali – l’adozione di misure tecniche e organizzative adeguate. Inoltre, gli operatori finanziari rientranti nel perimetro di cybersicurezza nazionale e i loro fornitori stanno già gestendo i complessi adempimenti di certificazione richiesti da questa normativa. A ciò si aggiunga che molti operatori finanziari saranno impattati dalla direttiva Nis 2”. Approvata dal Parlamento contestualmente all’approvazione del regolamento Dora, quest’ultima introduce nuove regole finalizzate a promuovere un elevato livello di sicurezza informatica comune nell’Unione europea, rafforzando i requisiti per le entità di medie e grandi dimensioni che operano e forniscono servizi in settori chiave.
Rispetto alla sua precedente versione, infatti, la Nis 2 copre più settori e attività critiche per l’economia e la società: oltre alle banche anche energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione e spazio; inoltre, riguarda la pubblica amministrazione sia a livello centrale che regionale, esclusi parlamenti e banche centrali. “Sostanzialmente, da un lato impone agli Stati membri di adottare una serie di strategie nazionali in materia di cybersicurezza e vigilare sulla cybersicurezza nei settori critici e dall’altro impone agli operatori nei settori critici di adottare misure di gestione del rischio cyber”, precisa Palumbo. “La differenza rispetto a Dora è che quest’ultima punta a porre in essere sistemi che possano permettere di minimizzare i rischi per le attività dell’operatore in caso di incidenti o malfunzionamenti mentre la Nis 2 punta a prevenire il verificarsi di tali incidenti”. Ricordiamo che il provvedimento attende il via libera definitivo del Consiglio; successivamente, gli Stati membri disporranno di un periodo di 21 mesi per implementarlo a livello nazionale.