Nel 2020 la Commissione Europea ha pubblicato la prima bozza del Digital Operational Resilience Act (DORA) nell’ambito del Digital Finance Package (DFP). Questo pacchetto prevede una strategia di finanza digitale, proposte legislative su criptovalute, tecnologia blockchain e resilienza operativa digitale, nonché una rinnovata strategia di pagamento al dettaglio. Si è trattato di una proposta legislativa di regolamento sulla resilienza operativa digitale nel settore dei servizi finanziari dell’UE, volta a consolidare e aggiornare i requisiti di rischio delle tecnologie dell’informazione e della comunicazione (TIC) in tutto il settore finanziario per garantire che tutti i partecipanti al sistema finanziario siano soggetti a una serie comune di standard per mitigare i rischi delle TIC per le loro operazioni.

Attualmente, il Regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014, è parte del cosiddetto pacchetto di finanza digitale dell’UE che comprende, oltre a DORA, altre normative nell’ambito delle cripto-attività. Nello specifico DORA mira a garantire che tutti i partecipanti al sistema finanziario dispongano delle necessarie salvaguardie per mitigare gli attacchi informatici e altri rischi. La legislazione proposta richiederà alle aziende di garantire che possano resistere a tutti i tipi di interruzioni e minacce legate alle TIC. La proposta introduce anche un quadro di controllo per i fornitori di terze parti critici, come i fornitori di servizi cloud.

Il Regolamento DORA approvato il 10 novembre 2022 dal Parlamento UE, garantirà la resilienza operativa digitale per il settore finanziari, coprendo un’ampia gamma di istituti finanziari, inclusi istituti di credito, istituti di pagamento, istituti di moneta elettronica, società di investimento, fornitori di servizi di criptovalute, depositari centrali di titoli, gestori di fondi di investimento alternativi, fornitori di servizi di crowdfunding e fornitori di servizi ICT di terze parti. È risaputo che il settore finanziario è diventato sempre più fortemente dipendente dalle TIC e dalle informazioni in forma digitale. Anche la crisi causata dal COVID-19 ha agito da catalizzatore: le istituzioni finanziarie ora fanno ancora più affidamento sulla disponibilità di sistemi digitali per condurre le operazioni quotidiane in modo remoto. Tuttavia, questa dipendenza ha aumentato esponenzialmente il rischio tecnologico e informatico e gli ultimi due anni hanno dimostrato quanto la resilienza digitale non vada sottovalutata.

L’obiettivo dell’UE con DORA è quello di rafforzare la resilienza del settore finanziario agli incidenti legati alle TIC e introduce requisiti molto specifici e prescrittivi che sono omogenei tra gli Stati membri dell’UE. Anche le terze parti critiche ICT che forniscono servizi relativi alle ICT alle istituzioni finanziarie, come piattaforme cloud, analisi dei dati e servizi di audit, sono soggette a questa nuova normativa. Le organizzazioni devono essere in grado di resistere, rispondere e riprendersi dall’impatto degli incidenti ICT, continuando così a svolgere funzioni critiche e importanti e riducendo al minimo le interruzioni per i clienti e per il sistema finanziario. Ciò è possibile solo stabilendo misure e controlli solidi su sistemi, strumenti e terze parti, disponendo dei giusti piani di continuità operativa e testandone l’efficacia su base continua.

Questo progetto fornisce una serie molto specifica di criteri, modelli e istruzioni che daranno forma al modo in cui le organizzazioni finanziarie gestiranno i rischi informatici e informatici. Dimostra che le autorità di regolamentazione dell’UE vogliono essere molto pratiche sull’argomento, con una notevole enfasi sulla segnalazione, la comunicazione e le valutazioni che devono aver luogo su base frequente, grazie a formati standardizzati. Pertanto, sarà adottato un unico approccio di vigilanza coerente in tutti i settori interessati.

L’obiettivo di DORA è suddiviso in alcuni pilastri fondamentali che affrontano vari aspetti all’interno delle TIC e della sicurezza informatica, fornendo un quadro completo di resilienza digitale al fine di mantenere sistemi e strumenti ICT resilienti che riducano al minimo l’impatto del rischio ICT, identificare tutte le fonti di rischio delle TIC, al fine di predisporre misure di protezione e prevenzione, effettuare un tempestivo rilevamento di attività anomale e produrre delle politiche di continuità aziendale e piani di ripristino di emergenza e di emergenza dedicati e completi, in modo da garantire un pronto ripristino dopo un incidente correlato alle TIC, ed infine, vi è lo scopo di stabilire meccanismi che servano a tutelarsi da fattori esterni e potenziali imprevisti.

Visualizzazioni: 34