Settore finanziario: in arrivo il Digital Operational Resilience Act (DORA)

Importanti cambiamenti in vista negli ambiti della sicurezza informatica e dell’IT-Governance. Il 24 settembre 2020 è stata pubblicata una proposta di regolamento del Parlamento europeo e del Consiglio “relativo alla resilienza operativa digitale per il settore finanziario” nel cosiddetto Digital Operational Resilience Act (DORA) della Commissione europea. Ma cosa comporta tutto questo per il settore finanziario e cosa c’è da attendersi nel medio periodo?

L’obiettivo – i contenuti di DORA

Negli ultimi decenni le tecnologie dell’informazione e della comunicazione (TIC) hanno assunto un’importanza cruciale nel mondo finanziario e su di esse si basa oggi lo svolgimento delle attività di ordinaria amministrazione di tutte le imprese che operano al suo interno.

Il settore finanziario dell'Unione Europea è regolamentato da un codice unico armonizzato ed è disciplinato da un sistema europeo di vigilanza finanziaria. Benché oggigiorno la resilienza operativa digitale sia un elemento fondamentale della stabilità finanziaria e dell'integrità del mercato, le norme sulla resilienza operativa digitale e sulla sicurezza delle TIC non sono state tuttavia ancora armonizzate in maniera completa o coerente. Sarebbe quindi opportuno perfezionarne la normativa e il sistema di vigilanza, ampliando i mandati delle autorità di vigilanza finanziaria incaricate di monitorare e tutelare la stabilità finanziaria e l'integrità del mercato.

Le disparità legislative e la disomogeneità fra gli approcci nazionali di regolamentazione o di vigilanza ai rischi relativi alle TIC ostacolano il mercato unico dei servizi finanziari e intralciano la libera prestazione di servizi per le entità finanziarie con una presenza transfrontaliera.

Ambito di applicazione – chi è coinvolto?

DORA si rivolge ad un pubblico molto vasto di utenti quali banche, compagnie assicurative, prestatori di servizi di pagamento e altri stakeholder del settore finanziario, ai quali intende offrire un quadro normativo unitario. Sono escluse fondamentalmente soltanto le microimprese con meno di 10 dipendenti e un fatturato annuo inferiore a 2 Mio. €.

Portata – quali requisiti saranno previsti in futuro

Nella bozza di DORA sono enunciate le disposizioni che gli operatori finanziari saranno chiamati a rispettare nei sei settori che coprono l’intero spettro della gestione dei rischi relativi alle TIC.

Requisiti di governance

L’intento è di favorire un migliore allineamento delle strategie commerciali delle entità finanziarie e della gestione dei rischi relativi alle TIC. A tale scopo, l'organo di gestione sarà tenuto a mantenere un ruolo attivo e cruciale nel dirigere il quadro di gestione dei rischi relativi alle TIC e dovrà garantire il rispetto di una scrupolosa igiene informatica.

I requisiti per la gestione dei rischi relativi alle TIC

Per tenere testa alla rapida evoluzione delle minacce informatiche, le entità finanziarie devono dotarsi di sistemi e strumenti TIC stabili ed essere in grado di mantenerne l'efficienza. Tali sistemi devono soddisfare le seguenti funzioni: ridurre al minimo l'impatto dei rischi relativi alle TIC; identificare costantemente tutte le fonti di rischi relativi alle TIC; introdurre misure di protezione e prevenzione; individuare tempestivamente le attività anomale; mettere in atto strategie di continuità operativa che includano piani di contingenza e ripristino.

Segnalazione di incidenti connessi alle TIC

Le entità finanziare saranno in generale tenute a istituire e implementare un processo di gestione volto al monitoraggio e alla documentazione degli incidenti connessi alle TIC. A ciò si aggiunge l’obbligo di classificare gli incidenti sulla base di criteri a cui sono legate le soglie di rilevanza. Dovranno essere segnalati alle autorità competenti soltanto gli incidenti connessi alle TIC ritenuti gravi.

Test di resilienza operativa digitale

Le capacità e le funzioni incluse nel quadro di gestione dei rischi relativi alle TIC dovranno essere periodicamente verificate per accertarne l’efficacia, identificarne punti deboli, carenze o lacune, e verificarne la capacità di attuare tempestivamente misure correttive. Il regolamento prevede un'applicazione proporzionata delle prescrizioni in materia di test di resilienza operativa digitale in funzione delle dimensioni e del profilo commerciale e di rischio delle entità finanziarie.

Rischi relativi alle TIC derivanti da terzi

Il regolamento mira a favorire un solido monitoraggio dei rischi relativi alle TIC derivanti da terzi da parte delle entità finanziarie. Questo obiettivo sarà raggiunto in primo luogo tramite l’attuazione di regole basate su principi di monitoraggio del rischio derivante da fornitori terzi di servizi TIC. In particolare, i contratti che disciplinano il rapporto con tali fornitori dovranno contenere una descrizione completa dei loro servizi.

Il regolamento intende infine promuovere la convergenza per quanto riguarda gli approcci di vigilanza ai rischi relativi alle TIC derivanti da terzi nel settore finanziario, sottoponendo i fornitori terzi di servizi di TIC critici a un quadro di sorveglianza dell'Unione.

Condivisione delle informazioni 

Per accrescere la consapevolezza dei rischi relativi alle TIC, ridurne al minimo la propagazione, sostenere le capacità di difesa e le tecniche di individuazione delle minacce delle entità finanziarie, il regolamento consente a queste ultime di stipulare accordi per lo scambio di informazioni e dati sulle minacce informatiche.

DORA vs. ISO 27xxx/ISO 22301

Nell’ambito della nostra accurata analisi abbiamo ritrovato quasi tutti i requisiti previsti da DORA per la sicurezza informatica e la resilienza dei sistemi IT in uno degli standard più diffusi a livello internazionale della famiglia ISO-27xxx o ISO 22301, definiti con un grado di accuratezza variabile. Se si osservano in particolare, oltre ai requisiti fondamentali della norma ISO 27001, le raccomandazioni di attuazione e le proposte concrete contenute nelle norme ISO 27002 e ISO 27003, è possibile riconoscere nella maggior parte dei casi persino una maggiore dovizia di particolari rispetto a DORA. La gestione dei rischi, su cui DORA pone in particolar modo l’accento, viene coperta in maniera adeguata sia dalla norma ISO 27005, nei suoi aspetti specifici, che dall’ISO 31000, a livello più generale. L’aspetto della resilienza messo in evidenza da DORA non si ritrova tanto nella famiglia ISO 27xxx quanto invece nella norma correlata ISO 22301 “Business Continuity Management System (BCMS)”. Nelle norme citate si osservano inoltre alcune tematiche affini che toccano gli aspetti della sicurezza informatica e della continuità aziendale.

DORA definisce tuttavia tematiche specifiche riguardanti la comunicazione con le autorità, introducendo disposizioni sui canali di notifica e sulle rispettive scadenze (art. 17), sulle relazioni, ad esempio per la comunicazione di tutti i costi e le perdite provocati dai guasti delle TIC (art. 10). La proposta definisce inoltre i soggetti che rispondono in caso di incidenti connessi alle TIC (art. 25) e impone la valutazione dei cosiddetti rischi di concentrazione (art. 26). Quest’ultimo aspetto è a nostro avviso particolarmente significativo, in quanto nessuna delle norme ISO in materia se n’è occupata esplicitamente in maniera altrettanto dettagliata.

Infine, il confronto tra le norme ISO rilevanti e DORA si può riassumere nel seguente enunciato: chi orienta già i propri sistemi di Information Security Management System (ISMS) e Business Continuity Management System (BCMS) alle norme internazionali della famiglia ISO 27xxx e ISO 22301 e possiede almeno un livello medio di maturità delle TIC ha buone probabilità di non dover intraprendere quasi nessuna attività e/o progetto particolarmente impegnativo al momento dell’entrata in vigore di DORA per assicurare il mantenimento della compliance.

DORA – e adesso? 

Il nostro consiglio, sulla base dello stato attuale di DORA, è di prendere familiarità sin d’ora con la normativa in arrivo per avvicinarsi gradualmente alle novità e non trovarsi impreparati.

  1. Il primo passaggio per le entità finanziare dovrebbe essere la valutazione del livello di maturità delle proprie procedure rispetto ai requisiti previsti da DORA. Il livello di maturità può essere stimato innanzitutto tramite audit esterni.
  2. In un passaggio successivo sarà opportuno procedere a colmare le lacune rispetto alle definizioni di DORA.
  3. A seguire dovrà essere chiaramente definito un piano di misure che preveda una chiara ripartizione di compiti e responsabilità per l’adeguamento dei sistemi di gestione e sicurezza informatica alla normativa.

Ribadiamo ancora una volta: se si dispone di un livello di maturità elevato per i requisiti che le autorità di vigilanza prevedono per i sistemi informativi o se si è in grado di documentare la conformità dei propri sistemi ISMS e BCMS rispetto alle norme della famiglia ISO 27xxx, le premesse sono ottime per mantenere la compliance anche in vista dell’entrata in vigore di DORA.

Luca Savoia – Mazars Italia Spa