Regolamento DORA 2022/2554/UE. Obblighi di sicurezza e misure di resilienza

HomeRegolamento DORA 2022/2554/UE. Obblighi di sicurezza e misure di resilienza

Regolamento DORA 2022/2554/UE. Obblighi di sicurezza e misure di resilienza

da | Ott 17, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi

ATM fuori servizio presso una banca, rappresentante la resilienza e la compliance nel settore finanziario in ambito DORA. Studio legale D'agostino Roma, esperti in consulenza legale.

Il nuovo Regolamento DORA (Digital Operational Resilience Act) introduce sfide rilevanti in materia di compliance finanziaria aziendale, aprendo a nuove forme di responsabilità per gli organi societari. Comprendere le motivazioni e gli obiettivi di tale normativa richiede un’analisi preliminare delle ragioni che hanno spinto la Commissione Europea, seguita dal Parlamento, a intervenire in ambito di sicurezza informatica nel settore finanziario. Si sottolinea che, peraltro, molti enti destinatari del Regolamento DORA, rientrano anche tra i soggetti obbligati ai sensi della Direttiva NIS 2 e del Decreto Legislativo 138/2024; rinviamo sul punto al nostro precedente e specifico approfondimento.

Negli ultimi anni, si è assistito a un significativo aumento degli attacchi informatici diretti verso grandi aziende, in particolare nel settore bancario e finanziario, con esempi emblematici come Unicredit e Intesa SanPaolo, nonché verso amministrazioni pubbliche di rilievo, come l’Agenzia delle Entrate e la Regione Lazio. Tali attacchi causano incidenti di sicurezza con conseguenze non solo per l’impresa o l’ente colpito, ma anche per l’intera comunità e, in alcuni casi, per l’intero Paese.

Le violazioni dei sistemi informatici incidono infatti sulla riservatezza, integrità e disponibilità di dati e informazioni, generando effetti negativi immediati sia per i cittadini, sotto il profilo economico, sia in relazione ai diritti fondamentali garantiti dalla Costituzione, come il diritto alla salute, alla riservatezza e alla tutela del risparmio.

Nell’attuale contesto digitale, le tecnologie dell’informazione e della comunicazione (TIC) costituiscono il pilastro su cui si fondano i principali settori economici, tra cui quello finanziario, e sono essenziali per il buon funzionamento del mercato interno. Tuttavia, l’accresciuto livello di digitalizzazione e interconnessione amplifica i rischi informatici, rendendo la società, e in particolare il sistema finanziario, sempre più vulnerabile a minacce e perturbazioni legate alle TIC.

Questo articolo mira a esaminare i profili giuridici più rilevanti che il Regolamento DORA introduce, offrendo un quadro degli adempimenti che i soggetti obbligati dalla normativa dovranno tenere in considerazione.

Regolamento DORA: entrata in vigore, finalità e soggetti obbligati

Il Regolamento DORA (Digital Operational Resilience Act), entrato formalmente in vigore nel gennaio 2023, diverrà pienamente vincolante a partire dal 17 gennaio 2025. Tale Regolamento mira a rafforzare le misure di sicurezza informatica e la cosiddetta resilienza digitale all’interno del settore finanziario, il quale è particolarmente esposto a attacchi informatici.

L’Unione Europea, riconoscendo la natura strategica di questo settore per la stabilità economica e la libera circolazione di capitali, merci, servizi e persone, ha adottato il DORA come strumento per armonizzare la legislazione degli Stati membri, introducendo standard comuni e obbligatori in tema di sicurezza operativa.

La finalità primaria del DORA è quella di proteggere la competitività e la stabilità finanziaria dell’Unione Europea, uniformando le diverse normative nazionali sotto un insieme di regole condivise, specificamente concepite per la prevenzione e gestione degli attacchi informatici che colpiscono le imprese del settore finanziario. La consapevolezza che le minacce informatiche abbiano una dimensione intrinsecamente transnazionale ha spinto il legislatore europeo a perseguire una politica comune, idonea a contrastare i rischi che superano i confini nazionali.

Il Regolamento DORA si inserisce in un contesto di continuità con precedenti normative europee, come la Direttiva NIS 2, adottando misure rigorose per la gestione del rischio informatico e la protezione dei dati. Tra le disposizioni di maggior rilievo, vi è l’obbligo per gli operatori finanziari di adottare specifici standard per il monitoraggio continuo dell’efficacia dei modelli di resilienza operativa e per la realizzazione di test periodici. Questi test mirano a verificare la capacità delle imprese di rispondere prontamente a incidenti di sicurezza, prevedendo anche l’obbligo di segnalazione tempestiva degli incidenti stessi alle autorità competenti.

Un aspetto centrale del DORA riguarda la conformità dei contratti stipulati con fornitori terzi, soprattutto laddove questi ultimi siano coinvolti nell’utilizzo di tecnologie dell’informazione e della comunicazione (TIC). Questo obbligo di conformità sottolinea l’importanza di garantire che l’intera filiera di partner commerciali rispetti le medesime norme di sicurezza, minimizzando così il rischio di vulnerabilità derivanti da soggetti esterni all’impresa.

Il concetto di resilienza digitale trova piena applicazione all’interno del DORA, definendo la capacità delle aziende del settore finanziario di preservare e garantire la propria integrità operativa sotto il profilo tecnologico. Ciò comporta l’adozione di misure strutturali che assicurino la sicurezza delle reti, dei sistemi informatici e dei dati utilizzati, come stabilito dall’art. 3 del Regolamento.

Dal punto di vista soggettivo, il Regolamento si applica a un’ampia gamma di operatori del mercato finanziario, tra cui banche, imprese assicurative, intermediari finanziari, fondi di investimento, nonché fornitori di cripto-attività e soggetti terzi che forniscono servizi basati sull’uso delle TIC. In tal modo, il DORA copre una vasta pluralità di soggetti operanti nel sistema economico-finanziario, assicurando che ciascuno di essi sia tenuto ad adottare le misure necessarie per garantire la propria resilienza operativa e per proteggere l’intero ecosistema digitale dell’Unione Europea dalle crescenti minacce informatiche.

Regolamento DORA: obblighi di sicurezza e resilienza

Il Regolamento DORA introduce un complesso quadro di obblighi volti a garantire la sicurezza delle reti e dei sistemi informativi delle entità finanziarie, come delineato dall’art. 1. In particolare, il regolamento impone l’adozione di misure uniformi per salvaguardare la continuità operativa delle imprese e prevenire eventuali compromissioni legate alla cybersecurity. Gli obblighi possono essere distinti in due principali categorie: obblighi interni, relativi alla governance e alla gestione dei rischi informatici, e obblighi esterni, che riguardano la notifica di incidenti e minacce alle autorità competenti.

Tra gli obblighi interni, il DORA pone l’accento sulla gestione dei rischi connessi alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono adottare un approccio strutturato alla resilienza operativa digitale, che include l’implementazione di test periodici per verificare la robustezza dei propri sistemi di sicurezza informatica. Questi test devono essere volti a identificare le vulnerabilità nei sistemi e a stabilire misure adeguate per mitigare i rischi, inclusi quelli derivanti da fornitori terzi. La vigilanza sulla sicurezza delle reti e dei dati è un aspetto cruciale, e il regolamento richiede la predisposizione di protocolli per monitorare costantemente la qualità della sicurezza, con particolare riguardo alla catena di fornitura.

Gli obblighi esterni imposti dal DORA riguardano principalmente la notifica alle autorità competenti di qualsiasi incidente grave o minaccia significativa che possa compromettere la sicurezza delle TIC. Questo include incidenti legati alla sicurezza dei sistemi di pagamento e alle infrastrutture finanziarie digitali. Le entità finanziarie devono, inoltre, condividere informazioni rilevanti riguardanti tali incidenti con le autorità designate, al fine di migliorare la resilienza complessiva del settore.

Un altro punto cruciale del Regolamento DORA è la gestione dei rischi legati ai fornitori esterni di servizi TIC. L’art. 25 del Regolamento specifica l’obbligo di garantire che i fornitori con i quali le entità finanziarie collaborano rispettino gli standard di sicurezza imposti dal DORA, minimizzando così il rischio di compromissioni derivanti da soggetti terzi. Le imprese devono inoltre adottare un modello di gestione del rischio che contempli procedure per affrontare le minacce informatiche in modo proattivo ed efficace.

Il regolamento introduce anche il concetto di resilienza operativa digitale, che si riferisce alla capacità dell’impresa di mantenere l’integrità dei propri sistemi tecnologici e operativi di fronte a incidenti di sicurezza informatica. Questa resilienza deve essere garantita attraverso un quadro di gestione globale che includa politiche, strategie, obiettivi e procedure di sicurezza. L’obiettivo è quello di consentire alle imprese di resistere e riprendersi rapidamente da qualsiasi minaccia o vulnerabilità, assicurando la continuità delle operazioni commerciali. In particolare, l’art. 9 del DORA disciplina la continuità operativa (business continuity), mentre gli articoli 10 e 11 trattano il disaster recovery, ossia la capacità di recupero delle imprese in seguito a incidenti gravi.

Le entità finanziarie sono inoltre obbligate a condurre attività di risk management e risk assessment, con lo scopo di individuare e valutare i rischi informatici legati alla gestione, utilizzo e trasferimento dei dati. Questo processo include l’adozione di soluzioni software e hardware adeguate alla natura e complessità dell’ente, che consentano di prevenire la perdita, alterazione, accesso non autorizzato o fuga di informazioni sensibili. Il DORA impone che tale gestione del rischio ricada sotto la responsabilità diretta dell’organo di gestione dell’impresa, il quale è incaricato di predisporre, applicare e monitorare periodicamente il quadro di gestione della sicurezza informatica.

Infine, il Regolamento richiede che tale quadro venga sottoposto a verifiche periodiche da parte di revisori esterni con comprovate competenze nel settore delle TIC, al fine di garantire che le misure adottate siano adeguate e aggiornate rispetto all’evoluzione delle tecnologie e delle minacce informatiche. Questo meccanismo di revisione continua differenzia il DORA da altri modelli normativi, come il Modello 231, conferendo una maggiore dinamicità e adattabilità alle specifiche esigenze del settore finanziario.

Misure di compliance al DORA: gli obblighi c.d. esterni

La seconda parte del Regolamento DORA, in particolare il Capo III, è dedicata agli obblighi esterni che gravano sugli enti finanziari, con particolare riferimento ai processi di segnalazione e reporting verso le autorità di vigilanza nazionali competenti. Tali obblighi mirano a garantire una gestione tempestiva e trasparente degli incidenti informatici, nonché delle criticità significative legate all’uso delle TIC all’interno del settore finanziario.

In primo luogo, il DORA richiede agli enti finanziari di predisporre piani dettagliati di comunicazione delle crisi e di gestione degli incidenti informatici che si verificano. Questi piani devono includere la classificazione delle perdite e degli impatti, tenendo conto della gravità dell’evento e della criticità dei servizi messi a rischio. In base a quanto previsto dagli artt. 15 e ss. del Regolamento, gli enti devono non solo registrare e classificare ogni incidente informatico, ma anche valutare l’impatto potenziale su terzi, come utenti o clienti, in conformità con l’art. 16.

Tale classificazione è essenziale per garantire una risposta adeguata e proporzionata all’entità del rischio e alla potenziale compromissione dei servizi finanziari.

Una volta classificato l’incidente, la comunicazione deve essere inoltrata all’autorità competente, individuata in modo specifico per ciascuna tipologia di ente finanziario dall’art. 41 del DORA. Le autorità di vigilanza, incaricate di monitorare la resilienza operativa degli istituti finanziari, svolgono un ruolo cruciale nel garantire che il sistema finanziario mantenga la propria integrità e continuità operativa. Il processo di segnalazione e reporting è dunque essenziale per identificare eventuali debolezze nel sistema e promuovere misure correttive che rafforzino la resilienza complessiva del mercato finanziario.

Un altro elemento fondamentale del Regolamento DORA è il ruolo attribuito alle Autorità di vigilanza, sia a livello nazionale che europeo. Queste autorità, tra cui spicca l’Autorità Bancaria Europea (EBA), sono incaricate di valutare la resilienza operativa delle entità finanziarie ricadenti sotto la propria giurisdizione. Tale valutazione si basa su un esame approfondito dei piani di resilienza degli enti, della mappatura dei servizi critici, dei sistemi informatici utilizzati e dei contratti stipulati con fornitori terzi che prevedono l’impiego di TIC.

Le autorità hanno il potere di eseguire ispezioni in loco per verificare la conformità degli enti ai requisiti del DORA e assicurarsi che siano state adottate le misure adeguate per prevenire e gestire incidenti informatici.

Le Autorità di vigilanza sono anche responsabili di fornire linee guida e raccomandazioni (best practices) volte ad assistere le entità finanziarie nell’implementazione dei requisiti normativi del DORA. Esse svolgono un ruolo centrale nel promuovere il coordinamento tra le varie autorità nazionali, europee e le forze dell’ordine, per garantire una risposta tempestiva e coordinata alle minacce informatiche. Questo sistema di collaborazione interistituzionale è volto a rafforzare la capacità di risposta del sistema finanziario alle sfide poste dalla crescente digitalizzazione e interconnessione globale.

Inoltre, il DORA conferisce alle Autorità di vigilanza il potere di applicare sanzioni agli enti finanziari che non rispettano i requisiti previsti dal regolamento. Le sanzioni possono variare a seconda della gravità della violazione e mirano a incentivare l’adozione di misure efficaci per garantire la sicurezza operativa e la protezione delle informazioni finanziarie e sensibili. L’imposizione di sanzioni rappresenta uno strumento fondamentale per assicurare il rispetto del quadro normativo e la corretta attuazione delle misure di resilienza operative da parte degli enti.

Le sanzioni del Regolamento DORA

Il Regolamento DORA introduce un articolato sistema sanzionatorio volto a garantire il rispetto delle misure di resilienza operativa e di sicurezza informatica imposte alle entità finanziarie. Gli artt. 50 e 51 del Regolamento delineano una serie di sanzioni amministrative che possono essere applicate in caso di violazione delle disposizioni normative. Tra le misure più rilevanti, figurano sanzioni pecuniarie che possono raggiungere fino a 10 milioni di euro o, alternativamente, fino al 5% del fatturato annuo complessivo dell’ente finanziario, a seconda di quale cifra risulti più elevata. Queste sanzioni sono accompagnate da una gamma di misure correttive, come richiami pubblici, la revoca delle autorizzazioni all’esercizio dell’attività e l’obbligo di risarcimento dei danni causati.

Tuttavia, il DORA lascia agli Stati membri la facoltà di adottare un approccio più severo, prevedendo anche sanzioni penali per determinate violazioni. Questo margine di discrezionalità consente agli ordinamenti nazionali di stabilire un regime sanzionatorio che possa comprendere misure di carattere penale, qualora la gravità della violazione lo giustifichi. In particolare, l’art. 52 del Regolamento specifica che gli Stati membri possono scegliere di non adottare sanzioni amministrative per violazioni che, nel diritto interno, sono già passibili di sanzioni penali.

Questa scelta mira ad evitare il cumulo di sanzioni per lo stesso fatto, scongiurando così il rischio di violazioni del principio del ne bis in idem, principio cardine del diritto sanzionatorio europeo che vieta la punizione di un individuo per lo stesso reato più di una volta.

Il secondo paragrafo dell’art. 52 sottolinea che, qualora uno Stato membro opti per l’imposizione di sanzioni penali in caso di violazioni del Regolamento DORA, le autorità di vigilanza nazionali devono essere dotate di tutti i poteri e le competenze necessari per collaborare efficacemente con le autorità giudiziarie competenti. Questo aspetto evidenzia l’importanza di una cooperazione stretta e coordinata tra le autorità di vigilanza finanziaria e gli organi giudiziari, al fine di garantire l’effettiva applicazione delle norme del DORA e assicurare che le violazioni siano trattate con la massima serietà.

In sostanza, il sistema sanzionatorio previsto dal DORA riflette l’intento del legislatore europeo di garantire che le entità finanziarie rispettino rigorosamente le misure di sicurezza e resilienza digitale. La possibilità di combinare sanzioni amministrative e penali dimostra la gravità con cui vengono trattate le violazioni nel settore finanziario, rafforzando la necessità di un’adeguata compliance da parte delle imprese e promuovendo una maggiore responsabilizzazione degli organi aziendali.

Conclusioni

L’entrata in vigore delle disposizioni del Regolamento DORA il 17 gennaio 2025 rappresenta una scadenza fondamentale per tutte le entità finanziarie soggette a questa normativa. A partire da tale data, le misure di resilienza digitale e sicurezza informatica diventeranno pienamente applicabili, rendendo imprescindibile un adeguamento tempestivo e rigoroso da parte degli operatori del settore.

Le misure di compliance previste dal Regolamento includono l’adozione di un quadro di gestione dei rischi informatici, l’attuazione di test periodici per verificare la resilienza operativa e la conformità dei contratti con fornitori terzi alle norme di sicurezza informatica. Le imprese devono inoltre predisporre piani di comunicazione per la gestione degli incidenti, monitorare costantemente la sicurezza delle TIC utilizzate e garantire la segnalazione tempestiva alle autorità competenti in caso di incidenti gravi. Il rispetto di queste misure non solo consentirà alle entità finanziarie di migliorare la loro capacità di affrontare le minacce informatiche, ma anche di garantire la continuità dei servizi e la protezione dei dati sensibili.

È essenziale, inoltre, che anche i fornitori delle entità soggette al DORA comprendano la portata degli obblighi imposti dal Regolamento. Pur non essendo direttamente obbligati, i fornitori che offrono servizi critici basati sull’uso delle TIC saranno comunque gravati da responsabilità indirette per garantire che le entità finanziarie rispettino gli standard di sicurezza e resilienza imposti dal DORA.

In questo contesto, l’assistenza di una consulenza legale esperta diventa cruciale non solo per i soggetti direttamente obbligati dal Regolamento DORA, ma anche per i loro fornitori. Un supporto legale qualificato può garantire che tutti i processi di adeguamento siano conformi alle disposizioni del Regolamento, prevenendo così potenziali violazioni e contribuendo a creare un sistema sicuro e resiliente, capace di affrontare le sfide del panorama digitale e finanziario attuale.

Contatti