Capitoli 10 In vigore dal: 17 gennaio 2025

DORA

Digital Operational Resilience Act

Panoramica

Il Digital Operational Resilience Act (DORA) stabilisce requisiti uniformi per la sicurezza e la resilienza dei sistemi di rete e informativi che supportano i processi aziendali delle entità finanziarie. Crea inoltre un quadro per la supervisione dei fornitori terzi critici di servizi ICT.[1]

DORA è un regolamento, il che significa che si applica direttamente in tutti gli Stati membri dell'UE senza necessità di recepimento.

Entità Interessate

Entità Finanziarie[2]

  • Istituti di credito (banche)
  • Istituti di pagamento
  • Istituti di moneta elettronica
  • Società di investimento
  • Imprese di assicurazione e riassicurazione
  • Depositarie centrali di titoli
  • Repository commerciali
  • Agenzie di rating del credito
  • Fornitori di servizi di cripto-asset
  • Fornitori di servizi di crowdfunding
  • Fornitori di servizi di segnalazione dati

Fornitori Terzi Critici ICT

Le Autorità di Vigilanza Europee designano i fornitori di servizi ICT critici basandosi su:

  • Impatto sistemico in caso di fallimento del fornitore
  • Grado di sostituibilità
  • Numero di entità finanziarie che dipendono dal fornitore

I fornitori designati sono soggetti al quadro di supervisione dell'UE.

I Cinque Pilastri di DORA

1. Gestione del Rischio ICT (Capitolo II)

Le entità finanziarie devono stabilire e mantenere:

  • Governance: Responsabilità del consiglio per la strategia di rischio ICT
  • Quadro di rischio: Identificazione, protezione, rilevamento, risposta, recupero
  • Documentazione: Politiche, procedure e protocolli per la sicurezza ICT
  • Test: Valutazione regolare dei sistemi e strumenti ICT

2. Segnalazione degli Incidenti ICT (Capitolo III)[3]

RequisitoDettagli
ClassificazioneCriteri armonizzati per la gravità dell'incidente
Notifica inizialeAll'autorità competente entro 4 ore dalla classificazione
Rapporto intermedioEntro 72 ore con aggiornamenti
Rapporto finaleEntro 1 mese dalla risoluzione
Segnalazione volontariaMinacce informatiche significative possono essere segnalate

Gli incidenti ICT rilevanti devono essere segnalati utilizzando modelli standardizzati.

3. Test di Resilienza Operativa Digitale (Capitolo IV)

Tipo di EntitàRequisito di Test
Tutte le entitàProgramma annuale di test ICT
Entità significativeTest di penetrazione guidati da minacce (TLPT) ogni 3 anni
Fornitori ICT criticiPossono partecipare a TLPT aggregati

I test devono coprire: valutazioni di vulnerabilità, valutazioni della sicurezza di rete, revisioni della sicurezza del software, revisioni del codice sorgente (ove possibile), test basati su scenari e test di compatibilità.

4. Gestione del Rischio Terzi (Capitolo V)[4]

Le entità finanziarie devono:

  • Mantenere un registro di tutti gli accordi ICT con terzi
  • Condurre due diligence prima della stipula del contratto
  • Valutare i rischi di concentrazione
  • Includere clausole contrattuali obbligatorie
  • Definire strategie di uscita
  • Segnalare gli accordi alle autorità competenti

Clausole contrattuali obbligatorie includono descrizioni dei livelli di servizio, obblighi di protezione dei dati, diritti di accesso e audit, requisiti di segnalazione degli incidenti e diritti di risoluzione con supporto alla transizione.

5. Condivisione delle Informazioni (Capitolo VI)

Le entità finanziarie possono scambiare informazioni sulle minacce informatiche all'interno di comunità fidate, nel rispetto delle regole di riservatezza, per migliorare la difesa collettiva.

Proporzionalità

DORA applica la proporzionalità basata sulla dimensione e sul profilo di rischio dell'entità, natura, scala e complessità dei servizi e importanza sistemica.

Requisiti semplificati si applicano a piccole società di investimento non interconnesse, istituti di pagamento e moneta elettronica sotto determinate soglie e a certi intermediari assicurativi.

Sanzioni

Le autorità competenti possono imporre:[5]

  • Multe amministrative
  • Pagamenti periodici di penalità
  • Dichiarazioni pubbliche
  • Revoca dell'autorizzazione
  • Divieti temporanei di funzioni di gestione

Gli importi specifici sono determinati dalla legge dello Stato membro.

Implicazioni per Sviluppatori e Fornitori ICT

Se fornite servizi ICT al settore finanziario:

  1. Revisione contrattuale: Assicuratevi che i contratti rispettino i requisiti di DORA
  2. Segnalazione degli incidenti: Stabilite canali di segnalazione per i clienti
  3. Supporto ai test: Facilitate i test di penetrazione dei clienti
  4. Pianificazione dell'uscita: Consentite una transizione ordinata in caso di cessazione dei contratti
  5. Consapevolezza della concentrazione: Monitorate le dipendenze dai vostri servizi
  6. Designazione critica: Preparatevi a una possibile supervisione UE

Fonti e Riferimenti

[1]
Regolamento (UE) 2022/2554 sulla resilienza operativa digitale per il settore finanziario. EUR-Lex: Testo Ufficiale DORA
[2]
DORA Articolo 2: Ambito di applicazione. Portale DORA: Articolo 2
[3]
DORA Articoli 17-23: Segnalazione degli incidenti ICT. Portale DORA: Segnalazione Incidenti
[4]
DORA Articoli 28-44: Gestione del rischio terzi. Portale DORA: Rischio Terzi
[5]
DORA Articolo 50: Sanzioni amministrative e misure correttive. Portale DORA: Sanzioni