Le tre autorità di vigilanza europee (EBA, EIOPA e ESMA – ESAs) hanno pubblicato le indicazioni in merito all’applicazione del nuovo Digital Operational Resilience Act (Regolamento (UE) 2022/2554 – Regolamento DORA).
Le indicazioni sono state presentate nel corso di un evento che ha coinvolto oltre 2.000 rappresentanti di istituti di credito e di pagamento, imprese di investimento, imprese di assicurazione, fornitori di servizi ICT di terze parti e altre entità finanziarie.
Vista la rilevanza del tema, la nostra Rivista ha organizzato per il prossimo 23 febbraio un webinar di analisi e commento delle novità del Regolamento DORA
L’evento ha permesso ai partecipanti del settore di confrontarsi con le autorità di regolamentazione sulla nuova legislazione, di condividere le loro opinioni iniziali e di sollevare eventuali aree di preoccupazione in merito ai mandati politici che le autorità di vigilanza europee dovranno sviluppare nel corso del 2023 e del 2024.
Petra Hielkema, presidente dell’EIOPA, e Gerry Cross, presidente del sottocomitato del Comitato congiunto sulla resilienza operativa digitale, hanno aperto la conferenza a nome delle ESAs.
Hielkema ha sottolineato che le ESA “sono impazienti di migliorare ulteriormente la resilienza operativa del settore finanziario sostenendo la comunità di vigilanza e il settore nell’attenuare i rischi e cogliere le opportunità della trasformazione digitale, anche attraverso l’attuazione del Regolamento DORA”.
Cross ha sottolineato che “l’implementazione della DORA è unica nel suo genere, trasversale e consequenziale” e che “la comunità di regolamentazione è fortemente impegnata per il successo della sua attuazione”.
A chi si applica il Regolamento DORA
Il presente regolamento si applica alle seguenti entità: enti creditizi; istituti di pagamento; istituti di moneta elettronica; imprese di investimento; fornitori di servizi per le cripto-attività, emittenti di cripto-attività, emittenti di token collegati ad attività ed emittenti di token collegati ad attività significativi; depositari centrali di titoli; controparti centrali; sedi di negoziazione; repertori di dati sulle negoziazioni; gestori di fondi di investimento alternativi; società di gestione; fornitori di servizi di comunicazione dati; imprese di assicurazione e di riassicurazione; intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio; enti pensionistici aziendali o professionali; agenzie di rating del credito; revisori legali e imprese di revisione: amministratori degli indici di riferimento critici; fornitori di servizi di crowdfunding; repertori di dati sulle cartolarizzazioni; fornitori terzi di servizi di TIC.
Ambito di applicazione
L’applicazione del Regolamento DORA riguarda le seguenti aree:
Governance e organizzazione – I soggetti interessati dall’applicazione dovranno prevedere delle policy interne per la gestione efficace e adeguatamente prudente dei rischi ICT legati alla cybersecurity.
Gestione del Rischio – Gli enti dovranno adottare un quadro di gestione del cyber risk adeguato, avendo cura di:
- utilizzare strumenti e sistemi di ICT tali da ridurre al minimo l’impatto dei relativi rischi;
- prevedere ed identificare in modo rapido le fonti di rischio e adottare meccanismi volti al rilevamento delle attività anomale;
- prevedere modalità di protezione e prevenzione adeguate.
Policy interne – Sul punto i soggetti interessati dall’applicazione del Regolamento DORA dovranno:
- adottare policy interne per assicurare la continuità operativa e sistemi e piani di ripristino;
- prevedere al proprio interno delle figure professionali e strumenti idonei a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutarne le possibili conseguenze;
- prevedere piani di comunicazione nei confronti dei clienti.
Regolamento DORA: entrata in vigore
Il Regolamento DORA si applica a partire dal 17 gennaio 2025.