Articoli
- cybersecurity
- normative
Regolamento DORA, cos’è?
Il regolamento DORA, in vigore dal 16 gennaio 2023 , svolge un ruolo cruciale nell’assicurare l’integrità e la robustezza degli operatori nel settore finanziario, oltre a fungere da strumento per aumentare la consapevolezza sui rischi informatici e garantire la sicurezza per i consumatori. La sua portata si estende a tutte le entità finanziarie, incluse quelle tradizionali come banche e assicurazioni, così come ai nuovi attori del settore come i fornitori di servizi di cripto-asset e i fornitori di servizi ICT.
Novità introdotte
Il regolamento introduce diverse novità significative. Innanzitutto, stabilisce un quadro normativo uniforme per tutte le entità finanziarie e i fornitori di servizi ICT, assicurando una maggiore coerenza e coesione nell’affrontare i rischi informatici. Inoltre, assegna maggiori responsabilità agli organi di gestione nell’ambito della gestione e del controllo dei rischi ICT e cyber, con l’obiettivo di garantire una gestione efficace e prudente di tali rischi. Una specifica funzione di controllo dei rischi ICT e cyber viene istituita per le entità finanziarie, con l’obbligo di garantire un livello appropriato di indipendenza per evitare conflitti di interesse.
Il regolamento pone anche un’enfasi sui rischi sistemici, richiedendo l’individuazione e la classificazione anticipata dei rischi ICT e cyber. Viene introdotto l’obbligo di pianificare ed eseguire test di resilienza operativa digitale, al fine di garantire che le entità finanziarie siano preparate ad affrontare potenziali minacce informatiche. Inoltre, vengono stabilite misure preventive attraverso la formazione specifica del personale e la modifica dei criteri di gestione e notifica degli incidenti di sicurezza.
Una delle principali innovazioni è la facoltà di notificare minacce informatiche significative su base volontaria, offrendo così un meccanismo per condividere informazioni utili tra le entità finanziarie. Il regolamento prevede anche l’istituzione di una struttura di sorveglianza e sanzioni efficaci per garantire il rispetto delle normative.
Le entità finanziarie e i fornitori di servizi ICT sono chiamati a un approccio proattivo per conformarsi al regolamento DORA. Questo implica valutare la propria maturità organizzativa e intraprendere azioni preliminari come la conduzione di gap analysis e l’adozione di misure correttive necessarie per raggiungere un livello di conformità coerente alla normativa.
Nel settore bancario, in particolare, è stata introdotta una serie di nuove regole attraverso l’aggiornamento della Circolare 285, che richiede alle banche di conformarsi agli orientamenti sulla gestione dei rischi ICT e di sicurezza.
Conclusione
In conclusione, il regolamento DORA rappresenta un importante passo avanti nel garantire la sicurezza e l’affidabilità dei sistemi informatici nel settore finanziario. La sua attuazione richiede un impegno congiunto da parte delle aziende, insieme ad una costante attenzione ai cambiamenti normativi e alle migliori pratiche nel campo della sicurezza informatica.