Kapitoli 10 Effettiv: 17 ta' Jannar, 2025

DORA

Att dwar ir-Reżiljenza Operazzjonali Diġitali

Ħarsa Ġenerali

Id-Digital Operational Resilience Act (DORA) jistabbilixxi rekwiżiti uniformi għas-sigurtà u r-reżiljenza tas-sistemi tan-netwerk u tal-informazzjoni li jappoġġjaw il-proċessi tan-negozju ta' entitajiet finanzjarji. Jħoloq ukoll qafas għall-iskoperta ta' provduri ta' servizzi ICT ta' parti terza kritiċi.[1]

DORA huwa regolament, jiġifieri japplika direttament f’kull Stat Membru tal-UE mingħajr bżonn ta’ traspożizzjoni.

Entitajiet fil-Qafas

Entitajiet Finanzjarji[2]

  • Istituzzjonijiet ta’ kreditu (banek)
  • Istituzzjonijiet ta’ ħlas
  • Istituzzjonijiet ta’ flus elettroniku
  • Firms ta’ investiment
  • Impjegaturi ta’ assigurazzjoni u riassigurazzjoni
  • Depositarji ċentrali ta’ sigurtajiet
  • Repositorji kummerċjali
  • Aġenziji ta’ klassifikazzjoni ta’ kreditu
  • Providers ta’ servizzi ta’ kripto-assi
  • Providers ta’ servizzi ta’ crowdfunding
  • Providers ta’ servizzi ta’ rapportar tad-dejta

Providuri Kritiċi ta’ ICT ta’ Parti Terza

Awtoritajiet Superviżorji Ewropej jiddisinjaw il-provduri ta’ servizzi ICT kritiċi bbażati fuq:

  • Impatt sistemiku jekk il-provdur jonqos
  • Gradi ta’ sostitwibilità
  • Numru ta’ entitajiet finanzjarji li jiddependu fuq il-provdur

Il-provduri ddestinati huma suġġetti għal qafas ta’ superviżjoni tal-UE.

Ħames Pilastri ta’ DORA

1. Ġestjoni tar-Riskju ICT (Kapitlu II)

Entitajiet finanzjarji għandhom jistabbilixxu u jżommu:

  • Governanza: Responsabbiltà tal-bord għall-istrateġija tar-riskju ICT
  • Qafas tar-riskju: Identifikazzjoni, protezzjoni, skoperta, reazzjoni, rkupru
  • Dokumentazzjoni: Politiki, proċeduri, u protokolli għas-sigurtà ICT
  • Testjar: Evalwazzjoni regolari tas-sistemi u l-għodod ICT

2. Rapportar ta’ Inċidenti ICT (Kapitlu III)[3]

RekwiżitDettalji
KlassifikazzjoniKriterji armonizzati għas-severità tal-inċident
Notifika inizjaliLil awtorità kompetenti fi żmien 4 sigħat mill-klassifikazzjoni
Rapport intermedjuFi żmien 72 siegħa b’aġġornamenti
Rapport finaliFi żmien xahar mill-ħruġ tal-problema
Rapportar volontarjuJistgħu jiġu rrappurtati theddidiet sinifikanti ta’ cyber

Inċidenti kbar relatati ma’ ICT għandhom jiġu rrappurtati bl-użu ta’ mudelli standardizzati.

3. Testjar tar-Reżiljenza Operazzjonali Diġitali (Kapitlu IV)

Tip ta’ EntitàRekwiżit tat-Testjar
Kull entitàProgramm annwali ta’ testjar ICT
Entitajiet sinifikantiTestjar ta’ penetrazzjoni mmexxi mit-theddid (TLPT) kull 3 snin
Providuri kritiċi ta’ ICTJistgħu jipparteċipaw f’TLPT pooled

It-testjar għandu jkopri: valutazzjonijiet ta’ vulnerabbiltà, valutazzjonijiet tas-sigurtà tan-netwerk, reviżjonijiet tas-sigurtà tas-softwer, reviżjonijiet tal-kodiċi sors (fejn possibbli), testjar bbażat fuq xenarji, u testjar ta’ kompatibilità.

4. Ġestjoni tar-Riskju ta’ Parti Terza (Kapitlu V)[4]

Entitajiet finanzjarji għandhom:

  • Żomm reġistru ta’ kull arranġament ICT ta’ parti terza
  • Jwettqu due diligence qabel il-kuntrattazzjoni
  • Jevalwaw ir-riskji ta’ konċentrazzjoni
  • Jinkludu provvisti kuntrattwali obbligatorji
  • Jiddeterminaw strateġiji ta’ ħruġ
  • Jirrappurtaw l-arranġamenti lill-awtoritajiet kompetenti

Termini kuntrattwali obbligatorji jinkludu deskrizzjonijiet tal-livell tas-servizz, obbligi dwar il-protezzjoni tad-dejta, drittijiet ta’ aċċess u awditjar, rekwiżiti ta’ rapportar ta’ inċidenti, u drittijiet ta’ terminazzjoni b’appoġġ għat-trasizzjoni.

5. Qsim ta’ Informazzjoni (Kapitlu VI)

Entitajiet finanzjarji jistgħu jiskambjaw informazzjoni dwar theddidiet ta’ cyber fi komunitajiet affidabbli, suġġetti għal regoli ta’ kunfidenzjalità, biex itejbu d-difiża kollettiva.

Proporzjonalità

DORA tapplika l-proporzjonalità bbażata fuq id-daqs tal-entità u l-profil tar-riskju, in-natura, l-iskala, u l-kumplessità tas-servizzi, u l-importanza sistemika.

Rekwiżiti sempliċifikati japplikaw għal firms żgħar u mhux konnessi ta’ investiment, istituzzjonijiet ta’ ħlas u flus elettroniku taħt ċerti limiti, u ċerti intermedjarji ta’ assigurazzjoni.

Penali

Awtoritajiet kompetenti jistgħu japplikaw:[5]

  • Ħlasijiet amministrattivi
  • Ħlasijiet ta’ penali periodiċi
  • Dikjarazzjonijiet pubbliċi
  • Ritħieba ta’ awtorizzazzjoni
  • Projbizzjonijiet temporanji fuq funzjonijiet ta’ tmexxija

Ammonti speċifiċi jiġu determinati mill-liġi tal-Istat Membru.

Implikazzjonijiet għall-Iżviluppaturi u Providuri ICT

Jekk tipprovdi servizzi ICT lis-settur finanzjarju:

  1. Reviżjoni tal-kuntratti: Żgura li l-kuntratti jissodisfaw ir-rekwiżiti ta’ DORA
  2. Rapportar ta’ inċidenti: Ikkostitwixxi kanali ta’ rapportar mal-klijenti
  3. Appoġġ fit-testjar: Faċilita t-testjar ta’ penetrazzjoni tal-klijent
  4. Ħidma fuq pjan ta’ ħruġ: Ippermetti transizzjoni ordnata jekk il-kuntratti jintemmu
  5. Ġestjoni tal-konċentrazzjoni: Ikkontrolla d-dipendenzi fuq is-servizzi tiegħek
  6. Designazzjoni kritika: Ipprepara ruħek għal superviżjoni potenzjali tal-UE

Sorsi u Referenzi

[1]
Regolament (UE) 2022/2554 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju. EUR-Lex: Test Uffiċjali ta’ DORA
[2]
Artikolu 2 ta’ DORA: Qafas. Portal ta’ DORA: Artikolu 2
[3]
Artikli 17-23 ta’ DORA: Rapportar ta’ inċidenti relatati ma’ ICT. Portal ta’ DORA: Rapportar ta’ Inċidenti
[4]
Artikli 28-44 ta’ DORA: Ġestjoni tar-riskju ta’ parti terza. Portal ta’ DORA: Riskju ta’ Parti Terza
[5]
Artikolu 50 ta’ DORA: Penali amministrattivi u miżuri ta’ rimedju. Portal ta’ DORA: Penali