Il Digital Operational Resilience Act (DORA) dell’Ue, introdotto per la prima volta dalla Commissione europea nel 2020, è diventato ufficialmente applicabile in tutto il mercato unico dell’Ue.
DORA stabilisce un quadro normativo completo a livello Ue progettato per affrontare le norme frammentate e specifiche del settore sulla resilienza operativa digitale. Al momento della stesura, gli istituti finanziari operano secondo varie normative, tra cui MiFID II, CRD, PSD2 e linee guida delle autorità di vigilanza europee (ESA). Tuttavia, incongruenze nell’applicazione e la natura non vincolante di alcune linee guida hanno creato incertezza normativa.
DORA si propone di risolvere queste problematiche fornendo un insieme unificato di requisiti, migliorando la chiarezza normativa e garantendo una migliore resilienza operativa nel settore finanziario.
Il regolamento impone obblighi a un’ampia gamma di entità finanziarie, tra cui banche, istituti di pagamento, istituti di moneta elettronica, società di investimento, fornitori di servizi di cripto-attività e depositari centrali di titoli. Si applica anche alle imprese di assicurazione e riassicurazione, ai gestori di fondi di investimento alternativi e alle società di gestione di OICVM, nonché alle agenzie di rating del credito e ai fornitori di servizi di crowdfunding.
DORA si estende anche alle entità non finanziarie, in particolare ai fornitori di servizi ICT per le istituzioni finanziarie. L’entità dei loro obblighi dipende dal fatto che siano classificati come fornitori terzi critici (CTPP) ai sensi del nuovo quadro.
Gli istituti finanziari che aderiscono al DORA devono attuare misure per migliorare la resilienza operativa, tra cui:
- Istituzione di quadri interni di gestione dei rischi ICT con politiche e procedure dettagliate
- Condurre processi di identificazione, gestione e rendicontazione dei rischi
- Esecuzione di test di resilienza, come test di penetrazione basati sulle minacce per entità di grandi dimensioni
- Gestire i rischi ICT associati ai fornitori terzi e garantire la conformità agli obblighi contrattuali aggiornati
I fornitori di servizi ICT sono interessati principalmente in due modi:
- Fornitori critici: le entità considerate critiche saranno sottoposte alla supervisione diretta delle ESA, che possono condurre ispezioni, imporre multe e far rispettare la conformità. Questo approccio normativo è in linea con il Regolamento generale sulla protezione dei dati (GDPR) nei suoi meccanismi di supervisione e sanzione
- Fornitori non critici: pur non essendo direttamente supervisionati, questi fornitori devono rispettare gli obblighi contrattuali imposti dagli istituti finanziari, che stanno rivedendo gli accordi per soddisfare gli standard DORA
Sia le entità finanziarie che i fornitori di servizi ICT devono adottare misure proattive per soddisfare i requisiti DORA. Per le entità finanziarie, ciò include condurre analisi dei gap, allineare i quadri interni alle nuove regole e rinegoziare i contratti con i fornitori di servizi. I fornitori di servizi ICT, in particolare quelli che prevedono la designazione come critici, dovrebbero anche rivedere gli accordi e prepararsi a un maggiore controllo da parte di clienti e autorità di regolamentazione.
