Il Regolamento UE noto come Digital Operational Resilience Act (“DORA”) [1] stabilisce un quadro armonizzato per la gestione del rischio derivante dall’uso delle tecnologie dell’informazione e della comunicazione nel settore finanziario.
La normativa, proposta nel settembre 2020 e formalmente adottata nel dicembre 2022, sarà efficace dal 17 gennaio 2025. Secondo un approccio di ampia tutela, le nuove norme sono vincolanti sia per gli enti vigilati (e.g.: banche, imprese di investimento, istituti di pagamento, imprese di assicurazione e intermediari assicurativi) sia per i loro fornitori di servizi tecnologici. Anche tali soggetti saranno controllati direttamente dalle autorità di vigilanza [2] e sottoposti a sanzioni per mancata conformità.
- Finalità e principi generali della nuova normativa
Il Regolamento DORA prevede una serie di misure volte a potenziare la capacità delle imprese del settore di prevenire e gestire i rischi informatici, tramite: politiche di governance interna, presidi di cybersecurity, gestione dei profili contrattuali per i servizi ICT e segnalazione degli incidenti. Nello specifico, le imprese interessate dovranno implementare cinque pilastri principali.
- Gestione dei rischi ICT/cyber. Adozione di una politica generale di governance e controllo ICT, da documentare e rivedere almeno annualmente.
- Gestione degli incidenti ICT/cyber. Implementazione di una politica di segnalazione degli incidenti ICT alle Autorità competenti, attraverso la registrazione e la classificazione degli incidenti e la segnalazione degli eventi più gravi secondo modelli e procedure comuni.
- Test di resilienza operativa digitale. Esecuzione di test di resilienza operativa digitale di base almeno ogni anno (ogni tre anni per le entità finanziarie significative).
- Condivisione delle informazioni. Partecipazione volontaria allo scambio di informazioni e dati sulle minacce informatiche (tra le entità finanziarie e con i fornitori terzi di servizi ICT critici);
- Gestione dei rischi ICT di terzi. Adeguamento alle nuove norme dei contratti con i fornitori ICT.
- L’adeguamento degli accordi di fornitura
Il regolamento intende garantire una gestione del rischio ICT più uniforme e resiliente nel settore finanziario. Le imprese devono quindi pianificare e implementare un percorso di adeguamento, che include l’analisi dei gap nelle politiche di gestione dei rischi ICT, la revisione dei processi di segnalazione degli incidenti e, soprattutto, la valutazione dei fornitori critici.
Sul fronte dei contratti ICT, il primo passaggio rilevante è quindi effettuare una valutazione preventiva dei fornitori, tenendo conto delle diverse tipologie di rischi.
Le entità finanziarie devono richiedere una serie di informazioni aggiuntive ai propri fornitori, in conformità a politiche interne per la valutazione di ciascuno rischio, da definire a monte.
Poiché attiene a una normativa di nuova emissione, tale valutazione deve essere eseguita anche sui fornitori già attivi (al fine di garantire la conformità degli accordi contrattuali in essere, che potranno essere integrati di conseguenza).
Come rilevato, “DORA” prevede obblighi sia per l’entità finanziaria che per i fornitori ICT.
Tale impostazione si riflette sul contenuto dei rapporti tra l’entità finanziaria e il fornitore ICT; nello specifico, il Regolamento prevede una serie di clausole che devono essere incluse nei contratti di outsourcing delle funzioni ICT, vincolando al riguardo entrambe le parti [3].
2.1 Gli adempimenti contrattuali per i fornitori che non supportano funzioni essenziali e importanti sono relativamente semplici, o comunque formulati in maniera generale, per permettere l’adattamento alle politiche interne già definite da tali soggetti.
Oltre a disposizioni intuitive (la completa descrizione dei servizi, l’indicazione della località in cui si devono svolgere le funzioni e prestare i servizi), ad esempio, il contratto deve recepire: (i) previsioni in materia di disponibilità, autenticità, integrità e riservatezza in relazione alla protezione dei dati, compresi i dati personali; (ii) la descrizione puntuale dei livelli di servizio; (iii) una chiara disciplina della risoluzione, con congruo termine minimo di preavviso; (iv) impegni di effettiva collaborazione del fornitore con le Autorità di vigilanza.
2.2 Gli accordi contrattuali per l’utilizzo di servizi ICT a supporto di funzioni essenziali o importanti comprendono, in aggiunta agli elementi generali di cui sopra, almeno le clausole seguenti:
i) la descrizione completa dei livelli di servizio, inclusi i relativi aggiornamenti e precisi obiettivi quantitativi e qualitativi;
ii) obblighi di segnalazione del fornitore all’entità finanziaria, tra cui la notifica di circostanze che potrebbero esercitare un impatto significativo sui livelli di servizio concordati;
iii) l’obbligo per il fornitore di attuare e testare i piani operativi d’emergenza e di predisporre misure, strumenti e politiche per la sicurezza;
iv) l’obbligo per il fornitore di partecipare attivamente ai penetration test previsti/effettuati dell’entità finanziaria in conformità alle norme “DORA”;
v) il diritto dell’entità finanziaria di monitorare costantemente le prestazioni del fornitore (e.g. diritti incondizionati di accesso, ispezione e audit da parte dell’entità finanziaria — o di un terzo designato a tal fine — e dell’Autorità competente);
vi) la definizione delle strategie di exit contrattuale, con un adeguato periodo di transizione obbligatorio al fine di limitare il rischio derivante dalla migrazione dei servizi.
2.3 Le Autorità preposte emettono disposizioni attuative [4] per permettere la completa implementazione del Regolamento.
Le norme di attuazione interessano anche i presidi contrattuali: in attesa di definizione di clausole-modello, la cui adozione preferenziale è richiamata dallo stesso art. 30 del Regolamento, sono già state definite delle linee guida per l’individuazione dei fornitori critici (https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ:L_202401502)
e per la definizione della policy sui servizi a supporto di funzioni essenziali o importanti (https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202401773);
è in corso di adozione la regolamentazione del subappalto di servizi ITC a supporto di funzioni essenziali o importanti.
__________________________________________________
[1] Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio del 14 dicembre 2022.
[2] Le Autorità di vigilanza europee (c.d “ESA”), ossia l’Autorità bancaria europea (EBA), l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA), hanno il compito di sviluppare standard tecnici dettagliati per tutti i soggetti vigilati soggetti alla normativa. Le autorità nazionali competenti (NCA) supervisionano la conformità al Regolamento da parte di tutti i soggetti coinvolti, inclusi i fornitori ICT.
[3] Articolo 30 del regolamento DORA.
[4] RTS – Regulatory Technical Standards, e ITS – Implementing Technical Standards.