La Commissione XIV Politiche dell’Unione Europea della Camera dei Deputati ha espresso il 6 febbraio 2025 parere favorevole in merito allo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2022/2554 (Regolamento DORA) ed a recepire la Direttiva (UE) 2022/2556 (Direttiva DORA).
Sull’attuazione del regime DORA si terrà domani 20 febbraio 2025 il webinar “DORA: le richieste Banca d’Italia sulla gestione del rischio ICT; Comunicazioni Banca d’Italia 23 e 30 dicembre 2024“.
Al fine di disporre delle necessarie misure di adeguamento dell’ordinamento italiano al regolamento DORA, il decreto legislativo è volto a dare attuazione alle disposizioni non direttamente applicabili contenute in DORA, prevedendo al contempo i necessari interventi di adeguamento della normativa nazionale vigente, in osservanza dei principi e criteri direttivi contenuti nella delega di cui alla legge di delegazione europea 2022-2023.
In particolare, lo schema di decreto legislativo DORA:
- individua Banca d’Italia, Consob, IVASS e COVIP quali autorità competenti per il rispetto degli obblighi posti da DORA a carico dei soggetti vigilati, secondo le rispettive attribuzioni di vigilanza, nonché per le segnalazioni di gravi incidenti informatici occorsi e per le segnalazioni (volontarie) di minacce informatiche significative
- Banca d’Italia, inoltre:
- è l’autorità competente per il rispetto degli obblighi posti da DORA a carico di Cassa depositi e prestiti S.p.A.
- è l’autorità competente per il rispetto degli obblighi a carico degli intermediari finanziari e di Bancoposta
- ai fini della partecipazione al forum di sorveglianza di cui all’art. 32 di DORA, Banca d’Italia è l’autorità competente interessata di cui al par. 4, lett. b), mentre Consob partecipa in qualità di osservatore con un proprio rappresentante e, a seconda della tematica trattata, potranno partecipare in qualità di osservatori anche IVASS e COVIP
- oltre alle comunicazioni alla propria autorità competente, gli operatori del settore bancario e delle infrastrutture dei mercati finanziari saranno anche tenuti a inviare una notifica al CSIRT Italia, ovvero l’organo dell’Agenzia per la Cybersicurezza Nazionale (ACN) che ha anche il compito di monitorare gli incidenti a livello nazionale
- definisce chiaramente le disposizioni del regolamento DORA applicabili agli intermediari finanziari ed a Bancoposta, sulla base del principio di proporzionalità
- delinea le sanzioni amministrative applicabili agli operatori, intervenendo sul TUB (D. Lgs. 385/1993):
- le condotte più gravi, in materia di governance, organizzazione e responsabilità del management, sono sanzionate da 30.000 Euro al 10% del fatturato
- le condotte meno gravi, come quelle relative alla classificazione degli incidenti sono sanzionate da 30.000 Euro, ma con un massimo edittale del 7% del fatturato dell’ente
- per gli istituti di pagamento, le SIM o le SGR, si applica il massimo edittale del 10% solo in cui tale percentuale sia superiore a 5 milioni
- nel caso dei depositari centrali di titoli e dei relativi fornitori di servizi TIC, in caso di sanzioni gravi, il minimo edittale rimane 30.000€, mentre il massimo è di 20 milioni o il 10% del fatturato, qualora sia superiore
- le sanzioni sono dirette anche ai fornitori di servizi TIC, per cui, a seconda della tipologia di soggetto al quale erogano i propri servizi, i fornitori saranno soggetti a regimi sanzionatori differenti
- i soggetti apicali (coloro che svolgono funzioni di amministrazione, direzione o controllo del personale), quando l’inosservanza è conseguenza della violazione dei doveri propri o dell’organo di appartenenza e la condotta ha inciso sull’organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la violazione da parte dell’ente, saranno punite con un importo da 5.000 Euro a 5 milioni, in caso di condotte più gravi o fino a 3,5 milioni in caso di condotte meno gravi
- potrà essere applicata altresì ai soggetti apicali la sanzione amministrativa accessoria dell’interdizione, per un periodo non inferiore a sei mesi e non superiore a tre anni, dallo svolgimento di funzioni di amministrazione, direzione e controllo presso intermediari e imprese autorizzati ai sensi del presente decreto legislativo, del D. Lgs. 58/1998, del D. Lgs. 209/2005, del D. Lgs. 129/2024 o presso fondi pensione.
