Il Digital Operational Resilience Act (Dora) – Regolamento 2022/2554/UE – è stato recentemente presentato per affrontare l’urgente necessità di garantire un adeguato livello di resilienza operativa digitale di fronte a minacce informatiche sempre più sofisticate. Obiettivo: individuare, rispondere, prevenire e, potenzialmente, ripristinare le operazioni in caso di interruzioni che influenzano il normale svolgimento delle attività aziendali. I Paesi membri dovranno adeguare la propria normativa nazionale entro due anni dalla data di entrata in vigore del regolamento, avvenuta il 17 gennaio 2023.
«Il Regolamento Dora – chiosa Orazio Granato, Ceo di A-Tono, azienda indipendente che opera nel settore della comunicazione elettronica, dei pagamenti digitali, dello sviluppo di prodotti, servizi digitali e digital branding – potrebbe apparire come l’ennesimo atto comunitario che pone a carico degli operatori finanziari una pletora di adempimenti. Ad una lettura attenta, tuttavia, appare chiara l’esigenza di armonizzazione delle cosiddette TIC, le Tecnologie dell’Informazione e della Comunicazione. Perché, ad oggi, non sono ancora armonizzate in maniera completa o coerente».
Con l’introduzione di Dora sono previsti obblighi predefiniti che coinvolgono l’intera impresa e che permettono di standardizzare le misure di protezione contro i cyber risk, nonché la risposta in caso di incidenti. È necessario garantire un monitoraggio continuo del rischio e condurre periodicamente test di resilienza operativa digitale. Nel caso in cui si verifichino attacchi, gli istituti finanziari devono classificarli in base ai criteri delle Autorità Europee di Vigilanza, tenendo conto del numero di utenti o controparti finanziarie colpite, dell’impatto sulla reputazione, della durata dell’incidente e del periodo di inattività del servizio. Sono previste restrizioni anche per quanto riguarda i fornitori di servizi Ict, poiché il regolamento richiede una valutazione continua del rischio in tutte le fasi del rapporto contrattuale.
Per l’Italia e il settore finanziario sarà una sfida recepire le nuove disposizioni introdotte da Dora, aggiornando e adeguando le norme esistenti per creare un framework di riferimento sufficiente per perseguire gli obiettivi prioritari.
«Come A-Tono – conclude Granato – abbiamo adottato un’organizzazione interna che attribuisce all’organo di gestione l’approvazione e l’applicazione di tutte le politiche per la gestione del rischio, compreso quello Ict; impiegato un piano per la gestione dei rischi informatici; classificato gli incidenti informatici e creato un sistema di segnalazione degli stessi».