Pubblicato nella Gazzetta ufficiale dell’Unione europea del 27 dicembre 2022 il Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act – DORA).
Il Regolamento DORA definisce obblighi sulla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie (per una prima analisi si veda l’articolo su “Regolamento DORA: analisi dei principali adempimenti“).
Vista la rilevanza del tema, la nostra Rivista ha organizzato per il prossimo 23 febbraio un webinar di analisi e commento delle novità del Regolamento DORA
Nel farlo, il Regolamento DORA disciplina:
- la gestione dei rischi informatici;
- la gestione, classificazione e segnalazione degli incidenti informatici;
- i test di resilienza operativa digitale;
- la gestione dei rischi informatici derivanti da terzi;
- i meccanismi di condivisione delle informazioni;
- l’attività di vigilanza ed alla cooperazione tra autorità competenti;
In particolare, Regolamento DORA definisce obblighi e misure connessi:
- alla gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
- alla segnalazione alle autorità competenti
- dei gravi incidenti relativi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
- dei gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
- alla condivisione di dati e informazioni sulla vulnerabilità e sulle minacce informatiche;
- alla gestione solida dei rischi informatici derivanti da terzi;
- agli accordi contrattuali tra fornitori terzi di servizi TIC ed entità finanziarie;
- all’avvio di un framework di sorveglianza per i fornitori terzi critici di servizi TIC;
Il Regolamento DORA entra in vigore il 21° giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea e troverà applicazione a partire dal 17 gennaio 2025.
Al fine di modificare le direttive europee che a vario titolo definiscono requisiti connessi alla gestione dei rischi informatici nel settore finanziario, rendendole coerenti con l’adozione del Regolamento DORA, è stata contestualmente pubblicata la Direttiva (UE) 2022/2556, di modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario.
In particolare la Direttiva (UE) 2022/2556 reca una serie di modifiche necessarie per rendere chiara e coerente l’applicazione, da parte delle entità finanziarie autorizzate e sottoposte a vigilanza conformemente a tali direttive, dei vari requisiti di resilienza operativa digitale necessari per lo svolgimento delle loro attività e per la prestazione di servizi, garantendo in tal modo il corretto funzionamento del mercato interno.