di Paolo Maria Gangi e Mariano Carozzi
Il Regolamento (UE) 2022/2554, cosiddetto Digital Operational Resilience Act, o maggiormente noto con l’acronimo DORA, entrerà in vigore il 17 gennaio 2025 e creerà un quadro organico di compliance in materia di cybersicurezza per il settore bancario, finanziario e assicurativo, inclusi ovviamente gli Istituti di Pagamento e le Imprese di Moneta Digitale.
Il concetto di resilienza operativa digitale (digital operational resilience) è esattamente definito dal DORA: «la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa » (art. 3, par.1).
Che significa, in pratica, resilienza operativa digitale? E, soprattutto, quale è la novità del DORA rispetto allo standard internazionale ISO/IEC 27001 che molte imprese già hanno ovvero rispetto a sistemi e soluzioni custom di cybersecurity? La risposta andrà articolate sotto due angoli visuali diversi, alternativi, ma entrambi assolutamente rilevanti: uno sostanziale e uno formale.
Partendo dalla prima prospettiva, alcuni considerando (i considerando sono i principi posti all’inizio degli atti normativi europei, i quali costituiscono le motivazioni alla base di tali atti e il canone interpretativo degli stessi) iniziali del DORA permettono di fornire alcune prime risposte. Infatti, in base ai considerando 10, 12 e 13 del DORA, è evidente che il legislatore europeo vuole costruire un quadro regolamentare armonizzato che si applichi trasversalmente attraverso i 27 paesi membri al fine di incentivare e sostenere la creazione del mercato unico europeo. Un mercato unico di operatori di servizi bancari, finanziari e assicurativi ma anche dei fornitori di servizi (tecnologici, in primis, ovviamente) che a tali imprese vendono beni e servizi.
La differenza, quindi, rispetto a soluzioni come la certificazione ISO /IEC 27001 o soluzioni custom di cybersecurity è che il DORA mira a creare una quadro armonizzato, e, quindi, rigido, di regole, standard e sistemi aziendali per la gestione del rischio di cybersecurity. In altre parole, lo scopo del DORA è che tutti gli operatori del comparto bancario, finanziario e assicurativo europei adottino le medesime procedure e le documentino nel medesimo modo. Si passa, cioè, da un sistema di controllo della cybersecurity sostanzialmente lasciato all’iniziativa della singola azienda a un altro nel quale il legislatore europeo detta in modo sostanzialmente rigido quali documenti di compliance una impresa debba creare, cosa debbano contenere ovvero quali policy debba redigere, cosa debbano disciplinare e altre questioni similari.
Sotto il profilo sostanziale, pertanto, si passa da un sistema di compliance lasciato alla responsabilità (o all’iniziativa) della singola azienda a uno nel quale il legislatore europeo detta in modo relativamente dettagliato cosa debba contenere tale sistema e come debba essere strutturato.
Sotto il profilo formale, è importante sottolineare che il DORA è sostanzialmente un sistema normativo (e chi scrive è, infatti, un avvocato) e non un quadro tecnico di regole della cybersecurity. In tal senso, il DORA non va pensato (perché non lo è, in effetti) come un catalogo di regole informatiche o di soluzioni tecniche ma un sistema che detta obblighi relativi alla creazione di policy aziendali e di documentazione delle stesse in materia di cybersecurity: è un sistema di compliance e di organizzazione aziendale per la documentazione, l’aggiornamento e il miglioramento dello stesso e non un sistema tecnico-informatico di cybersecurity.
Da ultimo va segnalato che nel DNA del DORA, secondo una tradizione che il legislatore europeo persegue ormai da diversi anni nell’ambito degli atti normativi in materia di ICT e sistemi di tecnologia (a partire dal regolamento europeo 2016/679 materia di privacy), c’è anche quello di creare una cultura corporate della resilienza operativa: in tal senso il DORA punta direttamente al cuore dell’organo amministrativo delle imprese. Ma su questo ritorneremo nel prossimo articolo su Arena Digitale.
