Close
Cerca

Regolamento DORA: quando scatta, obblighi e sanzioni

Nuove norme dell'UE per il settore finanziario, nella gestione dei rischi informatici e per aumentare la resilienza operativa digitale
Tre persone alla scrivania con dei laptop
Tempo di lettura: 6 minuti

Indice dei contenuti

Cos’è il Regolamento europeo DORA 

Il Regolamento DORA (Digital Operational Resilience Act) è un atto legislativo dell’Unione Europea entrato in vigore il 16 gennaio 2023 e che produrrà pienamente i suoi effetti sui soggetti interessati a partire dal 17 gennaio 2025. Con esso l’UE punta ad armonizzare a livello europeo le norme e le procedure per la gestione dei rischi informatici nel settore finanziario e, di conseguenza, l’innalzamento della resilienza operativa digitale dei soggetti che vi fanno parte.  

Il regolamento stabilisce una serie di obblighi uniformi per la sicurezza dei sistemi informatici e di rete delle entità finanziarie: 

  • obblighi applicabili alle entità finanziarie in materia di gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC); segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative; segnalazione alle autorità competenti, da parte delle entità finanziarie essenziali o importanti, di gravi incidenti operativi o relativi alla sicurezza dei pagamenti; test di resilienza operativa digitale; condivisione di dati e informazioni in relazione alle vulnerabilità e alle minacce informatiche; misure relative alla solida gestione dei rischi informatici derivanti da terzi; 
  • obblighi relativi ad accordi contrattuali tra entità finanziarie e fornitori terzi di servizi TIC
  • norme per un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;
  • norme sulla cooperazione tra autorità e in materia di vigilanza

Perché è stato introdotto il Regolamento DORA 

Il Regolamento DORA nasce dalla consapevolezza, da parte del legislatore europeo, del ruolo sempre più essenziale che le Tecnologie dell’Informazione e della Comunicazione (TIC) hanno conquistato nella fornitura di servizi finanziari, tanto da avere oggi un’importanza critica nello svolgimento delle funzioni quotidiane di tutte le entità finanziarie. Allo stesso tempo, però, il crescente grado di digitalizzazione delle entità finanziarie e della loro interconnessione amplifica i rischi informatici a livello sistemico.  

Tuttavia, a livello europeo e dei singoli Stati Membri, le iniziative politiche e legislative adottate in precedenza non erano risultate sufficienti a contrastare un rischio informatico crescente, che continua a minacciare la resilienza operativa, le prestazioni e la stabilità del sistema finanziario UE. 

Al punto che nel 2020 il Comitato europeo per il rischio sistemico aveva lanciato un allarme sulla vulnerabilità dell’intero sistema finanziario europeo, dovuta alla elevata interconnessione tra entità, mercati e infrastrutture finanziarie, e in particolare all’interdipendenza dei rispettivi sistemi di TIC. 

Chi deve rispettare il Regolamento DORA 

Il regolamento DORA si applica a 21 tipologie di entità finanziarie e interessa praticamente tutte le istituzioni finanziarie UE, come banche, imprese di investimento, assicurazioni, enti pensionistici, fornitori di criptovalute e di servizi di crowdfunding.  

Il DORA si applica anche ad alcune entità solitamente escluse dalla regolamentazione finanziaria, quali i fornitori terzi di servizi ICT come servizi cloud e data center. Al Regolamento DORA sono interessate anche le aziende che forniscono servizi informativi critici di terze parti, come le agenzie di rating del credito e fornitori di servizi di comunicazione dati

Le 21 categorie di entità finanziare obbligate a rispettare il DORA sono: 

  1. enti creditizi;
  2. istituti di pagamento, compresi quelli esentati dalla direttiva (UE) 2015/2366; 
  3. prestatori di servizi di informazione sui conti; 
  4. istituti di moneta elettronica, compresi quelli esentati dalla direttiva 2009/110/CE; 
  5. imprese di investimento; 
  6. fornitori di servizi per le cripto-attività autorizzati dal Regolamento sui mercati delle cripto-attività ed emittenti di token collegati ad attività; 
  7. depositari centrali di titoli; 
  8. controparti centrali; 
  9. sedi di negoziazione; 
  10. repertori di dati sulle negoziazioni; 
  11. gestori di fondi di investimento alternativi; 
  12. società di gestione; 
  13. fornitori di servizi di comunicazione dati; 
  14. imprese di assicurazione e di riassicurazione; 
  15. intermediari assicurativi, riassicurativi e assicurativi a titolo accessorio; 
  16. enti pensionistici aziendali o professionali; 
  17. agenzie di rating del credito; 
  18. amministratori di indici di riferimento critici; 
  19. fornitori di servizi di crowdfunding; 
  20. repertori di dati sulle cartolarizzazioni; 
  21. fornitori terzi di servizi TIC. 

Quali obblighi prevede il Regolamento DORA 

Gli obblighi previsti dal Regolamento DORA riguardano sei ambiti: 

  • Governance e organizzazione: ogni entità finanziaria deve dotarsi di organi e funzioni con il compito di definire la strategia di gestione dei rischi e le azioni per realizzarla. 
  • Gestione dei rischi informatici: riguarda la predisposizione di un quadro per la gestione dei rischi informatici e delle azioni per proteggere i sistemi aziendali. 
  • Gestione, classificazione e segnalazione degli incidenti informatici: azioni da compiere per gestire gli incidenti informatici e segnalarli alle autorità competenti. 
  • Test di resilienza operativa digitale: per valutare periodicamente la preparazione alla gestione degli incidenti. 
  • Gestione dei rischi informatici derivanti da terzi: riguarda i rischi che derivano da rapporti con fornitori ICT esterni. 
  • Meccanismi di condivisione delle informazioni: per aumentare la resilienza a livello di sistema. 

Regolamento DORA e rapporti con la NIS 2 

Per le entità finanziarie identificate come soggetti essenziali o importanti ai sensi della NIS 2, il regolamento DORA è considerato un atto giuridico settoriale dell’UE. Pertanto, considerato che per tali entità Il DORA introduce requisiti in materia di gestione dei rischi informatici e segnalazione di incidenti connessi alle TIC più rigorosi rispetto alla NIS 2, tali entità non sono tenute ad applicare le misure previste dalla NIS 2, ma a esse si applica il regolamento DORA, che rispetto alla direttiva costituisce una lex specialis

Per quanto riguarda i rapporti tra le diverse autorità previste dal Regolamento DORA e dalla Direttiva NIS 2, il principio è che debba esserci una condivisione continua di informazioni. All’articolo 46, il regolamento DORA elenca, per ogni entità finanziaria, le Autorità Competenti (AC) con potere di far rispettare il regolamento e imporre sanzioni. Tali AC e le tre Autorità Europee di Vigilanza (AEV) in ambito finanziario – Autorità bancaria europea (ABE), Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) e Autorità europea degli strumenti finanziari e dei mercati (ESMA) – possono partecipare alle attività del Gruppo di Cooperazione istituito dalla Direttiva NIS 2, per questioni che riguardano la loro vigilanza sulle entità finanziarie. 

Le AC possono consultare e scambiare informazioni con i punti di contatto unici e i CSIRT previsti dalla NIS 2; chiedere consulenza e assistenza tecnica alle autorità competenti istituite dalla NIS 2 e stabilire con esse accordi di cooperazione. Tali accordi possono prevedere un coordinamento della vigilanza e sorveglianza su soggetti essenziali o importanti ai sensi della NIS 2 che siano anche fornitori terzi critici di servizi TIC in base al regolamento DORA, anche per quanto riguarda indagini, ispezioni e lo scambio di informazioni. Le AC devono cooperare tra di loro e con l’autorità di sorveglianza capofila, scambiandosi tempestivamente le informazioni sui fornitori terzi critici di servizi TLC necessarie allo svolgimento dei loro compiti. 

Quali sanzioni per chi non rispetta il Regolamento DORA 

Il regolamento DORA conferisce alle autorità competenti poteri di vigilanza, di indagine e sanzionatori. 

I poteri di vigilanza e indagine includono almeno: 

  • l’accesso a qualsiasi documento o dato ritenuto pertinente, potendone avere una copia; 
  • ispezioni e indagini in loco, compresa la convocazione di rappresentanti delle entità finanziarie e l’audizione di persone fisiche o giuridiche per avere informazioni; 
  • la richiesta di misure correttive o di riparazione. 

Sanzioni amministrative 

Gli Stati Membri devono emanare norme con sanzioni amministrative e misure di riparazione e conferire alle AC il potere di: 

  • emanare un ordine per porre fine a una violazione; 
  • chiedere che cessino comportamenti ritenuti contrari al regolamento; 
  • adottare misure, anche pecuniarie, per assicurare che le entità rispettino i requisiti di legge; 
  • chiedere agli operatori telefonici i traffici dati ritenuti utili alle indagini; 
  • pubblicare comunicazioni con l’identità dei soggetti e la natura della violazione. 

Le AC possono imporre sanzioni amministrative e misure di riparazione direttamente, in collaborazione con altre autorità, delegando altre autorità o rivolgendosi alle competenti autorità giudiziarie. 

Sanzioni penali 

Gli Stati membri possono decidere di non prevedere sanzioni amministrative o misure di riparazione per violazioni che, ai sensi del rispettivo diritto nazionale, siano passibili di sanzioni penali. 

Se decidono di imporre sanzioni penali, devono fare in modo che le AC dispongano di tutti i poteri necessari per stabilire contatti con le autorità giudiziarie, per ricevere informazioni specifiche su indagini o procedimenti penali a carico delle entità finanziarie, e trasmetterle alle altre AC, nonché all’ABE, all’ESMA o all’EIOPA. 

Entro il 17 gennaio 2025 gli Stati Membri dovranno notificare alla Commissione, all’ESMA, all’ABE e all’EIOPA tutte le disposizioni legislative, regolamentari e amministrative adottate e, in seguito, dovranno notificare ogni successiva modifica. 

Come prepararsi all’entrata in vigore del DORA 

In vista del 17 gennaio 2025, data in cui il DORA entrerà in vigore, le entità finanziarie interessate devono farsi trovare pronte, allenandosi sin da ora a gestire il rischio informatico in base alle nuove modalità richieste dal regolamento. 

In particolare, le imprese dovranno focalizzarsi sui seguenti aspetti: 

  • Valutare il proprio livello di conformità attuale, individuando i punti di debolezza: per quanto attiene la propria governance e organizzazione, la capacità di gestire i rischi e gli incidenti informatici, la preparazione allo svolgimento di test di resilienza operativa digitale e la gestione dei rischi informatici derivanti da terzi. 
  • Allinearsi alle indicazioni del regolamento DORA, intervenendo sulla propria organizzazione e le funzioni interne; introducendo o adattando policy e procedure; dotandosi delle soluzioni tecnologiche necessarie per risultare conformi. 
  • Svolgere un assessment dei fornitori terzi di servizi TIC, valutandone le criticità e mettendo in atto azioni volte a contenere il rischio, compresa la possibilità di rinegoziare gli accordi o giungere alla loro sostituzione con fornitori più idonei. 

Maggiori informazioni su come essere conformi al Regolamento DORA 

Per avere maggiori informazioni su quali possono essere le soluzioni digitale utili a risultare conformi al Regolamento DORA, visita le pagine del sito Namirial dedicate al settore Banca e Finanza o al settore Assicurazioni. Se sei un System Integrator, visita la pagina Namirial dedicata al programma Business Partner. In alternativa, se lo preferisci, compila il form sottostante per chiedere di essere contattato da un consulente Namirial. 

TAG

Articoli più recenti

Condividi articolo

LEGGI ANCHE

SEGUICI

Linkedin Youtube

Focus è disponibile anche in > English – Español – Français – Deutsch Română

© Namirial S.p.A. – C.F. e iscriz. al Reg. Impr. Ancona N. 02046570426 – REA N. AN157295 – Codice destinatario T04ZHR3 – Capitale sociale € 8.256.361,60