Regolamento DORA: intersezioni con GDPR e conseguenze sulle aziende

Il Regolamento europeo 2022/2554, detto Digital Operational Resilience Act (DORA), è entrato in vigore il 16 gennaio 2023, e sarà vincolante dal 17 gennaio 2025. Vediamo cos’è questo regolamento, come si rapporta con altre regolamentazioni in materia e soprattutto cosa comporta per le aziende UE.

Il Regolamento DORA: cos’è e di cosa si occupa

Nei “considerando” del Regolamento, viene spiegato che esso prende le mosse dall’enorme diffusione di “tecnologie dell’informazione e della comunicazione” (TIC) in tutti gli ambiti del mercato UE, ma in particolare ci si rivolge all’ambito finanziario. Quando si parla di cyber sicurezza, il problema che si presenta nell’Unione Europea, almeno negli ultimi anni, è quello dell’enorme interconnessione tra sistemi, che, se da un lato è il motivo per cui è nata la rete Internet, comporta anche grandi rischi: infatti, in una rete di sistemi interconnessi, basta che uno solo di questi non sia sufficientemente protetto per rendere vulnerabili anche gli altri. Il regolamento mira a completare i vari interventi UE in ambito finanziario, che, sebbene riguardassero le principali categorie di rischio finanziario, come si legge nei “considerando”, “non trattavano in maniera globale le componenti della resilienza operativa.”

Il regolamento DORA, quindi, introduce norme specifiche per migliorare la gestione dei rischi informatici, la segnalazione degli incidenti, i test di resilienza operativa e il monitoraggio dei rischi informatici derivanti da servizi di terze parti. Inoltre, enfatizza l’importanza per le entità finanziarie di adottare un approccio coeso e basato su principi nell’affrontare i rischi informatici, tenendo conto delle dimensioni, del profilo di rischio, nonché della natura, dell’ampiezza e della complessità dei loro servizi e operatività.

Il regolamento DORA, quindi, introduce norme specifiche per migliorare la gestione dei rischi informatici, la segnalazione degli incidenti, i test di resilienza operativa e il monitoraggio dei rischi informatici derivanti da servizi di terze parti. Inoltre, enfatizza l’importanza per le entità finanziarie di adottare un approccio coeso e basato su principi nell’affrontare i rischi informatici, tenendo conto delle dimensioni, del profilo di rischio, nonché della natura, dell’ampiezza e della complessità dei loro servizi e operatività.

Tale coerenza è vista come un mezzo per aumentare la fiducia nel sistema finanziario e per preservarne la stabilità, specialmente in un contesto di crescente dipendenza da infrastrutture, piattaforme e sistemi TIC, che comporta maggiori rischi digitali. Seguire le pratiche fondamentali per la sicurezza dei sistemi TIC (basic cyber hygiene) è anche un modo per prevenire costi eccessivi, riducendo al minimo l’impatto e i costi delle interruzioni legate alle TIC.

Il GDPR, la direttiva NIS2 e il Regolamento DORA

È interessante dedicare un po’di attenzione al rapporto tra il Regolamento DORA, le due direttive NIS (in particolare la NIS2) e il GDPR. Essendo questi ultimi tra gli interventi principali in materia di governance del mondo cyber da parte dell’UE, infatti, influiscono pesantemente su qualsiasi intervento successivo.
Per quanto riguarda la NIS 2, essa si occupa di cyber sicurezza ed impone determinati standard per la protezione di alcune infrastrutture di particolare interesse, gli operatori di servizi essenziali e i fornitori di servizi digitali. Il Regolamento DORA viene individuato da una comunicazione del settembre 2023 (C(2023)6068 final) come uno degli atti giuridici settoriali dell’Unione che rientrano nell’ambito di applicazione dell’articolo 4 della Direttiva. In entrambe si implementa un approccio alla gestione del rischio basato sulla valutazione del rischio stesso nella creazione delle reti e sull’elaborazione di protocolli di risposta flessibili ed adeguati ad eventuali attacchi.
I punti di contatto con il GDPR, invece, sono più specificamente operativi: il GDPR, infatti, si occupa di protezione dei dati degli utenti in rete, e anche il regolamento DORA ne è sottoposto. In particolare, le istituzioni finanziarie devono stabilire solide strutture di gestione dei dati e condivisione con le autorità competenti e devono prestare attenzione alle attività di outsourcing dei dati (e quindi dei procedimenti di controllo e accessibilità). Queste istituzioni devono anche implementare misure efficaci di cyber security per proteggere i loro dati dalle minacce informatiche, come il controllo degli accessi, la crittografia e i piani di risposta agli incidenti, e, nel caso in cui si verifichino incidenti significativi su dati o sistemi informatici, li devono segnalare alle autorità competenti entro breve termine. Nell’approccio, quindi, è importante anche qui la valutazione del rischio per la cyber sicurezza. Si tratta tuttavia di un contatto più “operativo” di quello con la NIS 2.

Le conseguenze del Regolamento sulle aziende

Dal momento che mancano ormai pochi mesi, le aziende interessate, e quindi le entità finanziarie, dovrebbero aver già iniziato, nell’anno trascorso dall’entrata in vigore, ad elaborare protocolli d’azione.
Seguendo i capi del Regolamento, in particolare, sarà necessario che, per la gestione dei rischi informatici, gli organi di gestione delle entità finanziarie predispongano un quadro di controllo interno che garantisca una gestione efficace e prudente, creando così un’infrastruttura adeguata anche per le altre previsioni. Il quadro dovrà essere ben documentato, e comprendere strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e le risorse, infrastrutture e componenti fisiche.
Nel caso in cui dovessero verificarsi incidenti, essi dovranno essere prontamente individuati, classificati ed affrontati, e poi registrati e trasmessi alle autorità competenti: dovranno essere dunque stilati dei protocolli di risposta agli incidenti includendo procedure di allarme e informazione, assegnazione dei ruoli e indicazioni sulla comunicazione. Per valutare la preparazione alla gestione degli incidenti e all’identificazione di punti deboli della resilienza operativa digitale, le entità finanziarie diverse dalle microimprese dovranno anche stabilire un programma di test di resilienza operativa digitale.
Sarà necessario per le entità finanziarie tenere sotto controllo anche i rischi derivanti da terze parti a cui esse dovessero essere legate da accordi contrattuali. Potranno scambiarsi reciprocamente informazioni e analisi delle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme per la cyber sicurezza e strumenti di configurazione.

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.