Beppe Sammut: “La proporzionalità è fondamentale per un regolamento di questa natura”

Beppe Sammut, Ganado Advocates

Il Digital Operational Resilience Act (DORA) dell’UE, che diventerà applicabile il 17 gennaio 2025, rappresenta una pietra miliare significativa negli sforzi dell’UE per rafforzare la cybersecurity e la resilienza operativa degli enti finanziari. “Sebbene la DORA sia destinata a migliorare la sicurezza informatica degli enti finanziari, le principali preoccupazioni riguardano la mancanza di conoscenze, competenze e cultura ICT di alcuni enti finanziari, nonché il potenziale onere di conformità imposto alle imprese più piccole con risorse limitate”, spiega il dott. Beppe Sammut, Senior Associate di Ganado Advocates.

Con gli incidenti ICT in aumento e con i cyberattacchi che diventano sempre più sofisticati e frequenti, il quadro completo della DORA cercherà di mitigare i rischi associati per le entità finanziarie, tra cui banche, fornitori di servizi di pagamento, imprese di investimento, imprese di assicurazione e intermediari assicurativi, stanze di compensazione e fornitori di servizi ICT.

Al centro del DORA c’è il principio della resilienza operativa digitale, che comprende la capacità delle entità finanziarie di resistere e riprendersi dalle interruzioni causate da incidenti ICT, guasti informatici, minacce e attacchi informatici o altre sfide operative digitali.

In base al DORA, le entità finanziarie dovranno adottare un approccio proattivo per identificare, prevenire, rilevare, valutare e mitigare i rischi per la loro resilienza operativa, riducendo così al minimo la probabilità e l’impatto delle interruzioni attraverso procedure di risposta e recupero, nonché imparando ed evolvendo da precedenti incidenti ICT e comunicando adeguatamente con tutte le parti interessate quando si verificano tali incidenti ICT.

Una delle disposizioni chiave della DORA è la definizione di standard di sicurezza informatica chiari e armonizzati in tutto il settore finanziario dell’UE. Ciò comporta la definizione di requisiti minimi per la resilienza digitale e le misure di sicurezza informatica, la segnalazione degli incidenti e le pratiche di condivisione delle informazioni.

Inoltre, la DORA pone una forte enfasi sulla governance e sulla supervisione della resilienza operativa digitale all’interno delle entità finanziarie, con la nomina di persone designate responsabili della gestione del rischio ICT, della gestione delle crisi e delle funzioni di comunicazione per garantire la responsabilità.

Inoltre, le entità finanziarie saranno tenute a formulare numerose politiche e procedure (tra cui un quadro di gestione del rischio ICT, una strategia di resilienza operativa digitale e una politica e piani di continuità operativa ICT), a condurre valutazioni e test regolari delle loro capacità di resilienza operativa e a segnalare eventuali carenze all’autorità competente.

Advertisement

In linea con la più ampia strategia dell’UE per la resilienza digitale, la DORA mira anche a rafforzare la resilienza dei sistemi e dei servizi ICT critici che supportano le operazioni finanziarie, come i servizi di cloud computing, nonché l’adozione della crittografia e di altre misure di cybersecurity per proteggere i dati sensibili.

Sebbene la DORA rappresenti un passo significativo nel miglioramento della posizione di cybersecurity delle entità finanziarie, vi sono diverse sfide e considerazioni, in particolare la mancanza di conoscenze, competenze e cultura ICT di alcune entità finanziarie, nonché il potenziale onere di conformità imposto alle imprese più piccole con risorse limitate.

Inoltre, il rapido ritmo dell’innovazione tecnologica rappresenta una sfida continua per i quadri normativi come il DORA, visto che le minacce informatiche si evolvono continuamente, richiedendo alle entità finanziarie di adattare di conseguenza le proprie misure di cybersecurity. Pertanto, il DORA deve essere visto come un quadro dinamico e adattivo che può evolvere in risposta alle minacce e alle tecnologie emergenti.

Il principio di proporzionalità

Il DORA è un regolamento UE intersettoriale che si applica a un numero significativo di entità finanziarie, da quelle più grandi e complesse a quelle più piccole e “semplicistiche”. Inoltre, non tutte le entità finanziarie dipendono allo stesso modo dalle società ICT e tecnologiche.

Pertanto, sebbene la DORA abbracci un principio di proporzionalità, fondamentale per una regolamentazione di questo tipo, ci si aspetta che le entità finanziarie (e le autorità di regolamentazione) attuino queste disposizioni tenendo conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, attività e operazioni.

Pertanto, sarà fondamentale per le entità finanziarie (con l’assistenza dei loro consulenti) assicurarsi di attuare il DORA in modo proporzionato, su una base ragionevole e giustificata, adottando un approccio basato sul rischio e adeguatamente documentato per resistere a eventuali contestazioni da parte delle autorità di regolamentazione.

D’altro canto, le entità finanziarie devono anche assicurarsi di non andare oltre ciò che è proporzionato e necessario, implementando procedure superflue e onerose che comportano costi evitabili.

Advertisement

Il raggiungimento degli obiettivi del DORA richiederà una stretta collaborazione tra le autorità di regolamentazione, le entità finanziarie e i loro consulenti e le altre parti interessate, un piano e una strategia coraggiosi da parte delle entità finanziarie per garantire la conformità al DORA entro l’inizio del 2025, nonché sforzi continui per adattarsi all’evoluzione delle minacce informatiche e degli sviluppi tecnologici.

Le aspettative della MFSA

Considerando l’imminente applicazione del DORA nel gennaio 2025, lo scorso settembre l’MFSA ha comunicato le proprie aspettative “minime” in merito ai progressi compiuti dalle entità finanziarie in relazione al DORA, tra cui l’aver effettuato un’analisi del divario tra le strategie, le politiche, le procedure, i piani, i sistemi e gli strumenti pertinenti e i requisiti previsti dal DORA, nonché l’aver adottato formalmente un piano di transizione verso la conformità al DORA.

A sei mesi dall’entrata in vigore, le entità finanziarie dovrebbero aver completato l’analisi delle lacune e il piano di transizione e dovrebbero completare il “riempimento” di eventuali lacune e procedere verso l’adozione del piano di transizione per garantire la piena conformità al DORA entro gennaio 2025.