Pubblicato nella Gazzetta ufficiale dell’Unione europea del 27 dicembre 2022 il nuovo Regolamento (UE) 2022/2554 del 14 dicembre 2022 sulla resilienza operativa digitale per il settore finanziario (Regolamento DORA – Digital Operational Resilience Act).
L’utilizzo delle tecnologie dell’informazione e della comunicazione (ICT) ha oramai assunto un ruolo essenziale nella fornitura di servizi finanziari, al punto da acquisire oggi un’importanza critica nell’esecuzione delle consuete funzioni quotidiane di tutte le entità finanziarie.
In tale contesto, il Regolamento DORA va ad armonizzare in un unico atto legislativo i principali obblighi in materia di resilienza operativa digitale per tutti gli enti finanziari, tra cui anzitutto banche, imprese di investimento ed assicurazioni.
Nel farlo, il DORA detta norme in materia di gestione dei rischi informatici (ICT), di gestione e segnalazione degli incidenti connessi alle ICT, test su processi, controlli e sistemi di ICT, gestione dei rischi informatici derivanti da terzi.
Tematiche oggetto di attenzione e discussione
- Il nuovo Regolamento DORA (Digital Operational Resilience Act)
- Il rapporto con le nuove Direttive NIS2 e CER
- La declinazione del principio di proporzionalità
- Il rafforzamento del ruolo e della responsabilità dell’organo di gestione
- La definizione del quadro per la gestione dei rischi ICT
- La definizione della strategia di resilienza operativa digitale
- La funzione di controllo dei rischi ICT
- L’identificazione delle funzioni essenziali o importanti
- La politica di continuità operativa e i piani di risposta e ripristino
- Classificazione e segnalazione degli incidenti informatici
- I test di resilienza operativa digitale (ordinari e avanzati tramite TLPT)
- La gestione dei rischi informatici delle terze parti
- I contratti per la fornitura di servizi ICT
- La supervisione dei fornitori critici di servizi ICT