Che cos’è il regolamento DORA?

Il Digital Operational Resilience Act (DORA) è un regolamento dell’Unione Europea che stabilisce un quadro vincolante e completo per la gestione del rischio delle tecnologie dell’informazione e della comunicazione nel settore finanziario dell’UE.

Il regolamento è stato proposto nel settembre 2020 e formalmente adottato nel novembre 2022. Dal 17 gennaio 2025 sarà ufficialmente vincolante e imporrà agli enti finanziari e ai loro fornitori critici di servizi tecnologici di terze parti di implementare determinati standard tecnici all’interno dei loro sistemi.

In sostanza il regolamento DORA ha due obiettivi principali:

– affrontare in modo completo la gestione del rischio ICT nel settore dei servizi finanziari

– armonizzare le normative esistenti sulla gestione del rischio ICT nei singoli Stati membri dell’UE.

DORA fa parte di un pacchetto di misure strategiche per garantire che le imprese del settore siano in grado di affrontare gli attacchi informatici attraverso misure di governance, cybersecurity, gestione dei rischi ICT e segnalazione degli incidenti. Le organizzazioni del settore dovranno implementare sei pilastri principali, tra cui governance ICT, gestione dei rischi ICT, gestione degli incidenti, test di resilienza, gestione dei rischi derivanti da terze parti e condivisione delle informazioni.

Prima dell’entrata in vigore di DORA, le norme sulla gestione del rischio per le istituzioni finanziarie dell’UE erano principalmente focalizzate sull’assicurare che le imprese avessero capitali sufficienti per coprire i rischi operativi. Inoltre, le linee guida su ICT e gestione del rischio di sicurezza pubblicate da alcuni enti regolatori dell’UE, non erano uniformi e spesso si basavano su principi generali anziché su standard tecnici specifici. Ciò ha creato una complessità nella gestione del rischio ICT per le entità finanziarie.

Con DORA, l’UE mira a stabilire un framework universale per la gestione e la mitigazione del rischio ICT nel settore finanziario, armonizzando le regole di gestione del rischio in tutta Europa. L’obiettivo è eliminare le lacune, le sovrapposizioni e i conflitti che possono sorgere tra le diverse normative degli Stati membri e garantire che tutte le entità finanziarie rispettino gli stessi standard.

Il regolamento si applica a tutte le istituzioni finanziarie dell’UE, comprese banche, società di investimento e istituti di credito, nonché a entità non tradizionali come fornitori di servizi ICT e servizi informativi critici di terze parti, i quali saranno controllati direttamente dalle autorità di vigilanza.

In sintesi, il regolamento DORA mira a garantire una gestione del rischio ICT più uniforme e resiliente nel settore finanziario dell’UE, promuovendo la conformità e la sicurezza del sistema finanziario europeo nel suo complesso. Le aziende devono quindi pianificare e avviare un percorso di adeguamento, compiendo azioni essenziali come l’analisi delle lacune nel framework di gestione dei rischi ICT, la revisione dei report degli incidenti e la valutazione dei fornitori critici.

Ti interessa l’argomento? Scopri di più leggendo i nostri articoli a tema Data e Digital.