Il Regolamento DORA: uno strumento che rafforza cybersecurity e privacy nell’UE
All’Unione Europea (UE) va riconosciuto un primato: è all’avanguardia nella produzione di norme/standard in diversi settori di cui gli altri player mondiali non possono tener conto, come ad esempio è nel campo privacy con il GDPR, norma che è un benchmark per gli altri Paesi.
Tale capacità normativa innovativa si manifesta in diversi settori: con il Regolamento UE 2554/2022 “Digital Operational Resilience Act” (DORA), che troverà applicazione dal 17 gennaio 2025, l’UE ha definito criteri e strumenti a difesa della resilienza del settore finanziario i) coinvolgendo le entità finanziarie (EF), ii) i fornitori di servizi ICT alle EF (ICTEF) e iii) definendo un oversight centralizzato con le Autorità di vigilanza europee (AEV: EBA, ESMA ed EIOPA; coinvolte sono anche BCE ed ENISA) e che prevede la partecipazione anche delle competenti autorità nazionali.
Il DORA quantomeno rafforzerà (leggasi rivoluzionerà) la gestione della sicurezza dell’information and communication technologyes (ICT) con un upgrade per la cybersecurity e la resilienza dell’ecosistema finanziario, settore centrale per le nostre economie, ma anche con grande rilevanza per la privacy essendo i servizi finanziari in gran parte destinate a persone fisiche.
In via indiretta potrà beneficiarne l’intero sistema sia per la maggiore expertise che si svilupperà sia perché gli ICTEF possono essere fornitori anche di entità di altri settori. E, a meno che gli ICTEF non abbiano una strategia bipolare, i servizi da loro forniti alla generalità delle organizzazioni, pubbliche e private, potrebbero, per un presumibile effetto di isomorfismo dei processi produttivi, essere confezionati al livello dei requisiti richiesti per i servizi all’ecosistema finanziario.
Le EF – con talune esenzioni legate alla dimensione e in un’ottica di proporzionalità nell’applicazione del DORA – dovranno quindi adoperarsi in un processo continuo e strutturato di gestione della propria sicurezza IT. Ma, questa una ulteriore novità, gli ICTEF i fornitori di servizi ICT sono assoggettati a oneri di supervisione che vanno aldilà di quelli che possono esservi fra titolare e responsabile del trattamento: supervisione da parte delle EF ma anche delle AEV e delle autorità nazionali di settore.
In sintesi, le EF dovranno i) definire i loro processi di ICT governance e ICT risk management, ii) adottare un approccio che sia di protezione e prevenzione dai rischi ICT e cyber, iii) porre attenzione ai profili di business continuity e di disaster recovery, iv) definire politiche e procedure di backup, v) sviluppare capacità di crisis management anche per quanto attiene al profilo della comunicazione ai diversi stakeholder nel caso di eventi ICT avversi. Fra le misure da adottare vi è anche quella della formazione obbligatoria del personale, che potrà essere estesa anche alle ICTEF.
L’approccio delle EF dovrebbe quindi essere learning by doing, attento i) ad apprendere dagli eventi avversi che occorrono anche fuori del proprio perimetro e, come prevede il DORA, ii) a condividere tali informazioni con le AEV nel caso di grandi incidenti, iii) a considerare se procedere a tali comunicazioni anche nel caso di minacce significative e iv) eventualmente impostare meccanismi di condivisione delle informazioni e delle analisi delle minacce informatiche anche fra loro.
Fra gli altri requisiti richiesti vi è la previsione di test di resilienza a cui le EF dovranno periodicamente sottoporsi, anche sotto la forma di penetration test almeno triennali che permetterà di misurare la tenuta del perimetro delle EF; tali test potranno essere condotti secondo il framework TIBER-EU definito a livello europeo.
I rischi informativi derivanti da terzi sono quelli derivanti dal ricorso agli ICTEF che dovranno soddisfare appropriati standard di sicurezza delle informazioni; le EF dovranno anche predisporre exit strategy dalle ICTEF di cui si avvalgono per funzioni importanti o essenziali.
Per definire il quadro delle corrette relazioni fra EF e ICTEF, ci pensa l’art. 30 del DORA sulle principali disposizioni (minime) contrattuali che dovranno essere previste, al fine di poter effettuare un monitoraggio della loro attività.
Le AEV a loro volta designeranno quelli che sono da considerare, per la portata della loro attività, gli ICTEF “critici” e nomineranno fra loro una capofila per la sorveglianza su ciascuno di loro; la struttura della sorveglianza potrà essere svolta oltre che su base cartolare, mediante indagini e ispezioni; è previsto il potere di comminare “penalità di mora”, su base giornaliera e fino all’1% del fatturato medio quotidiano nel caso di inosservanza delle misure loro richieste (tali indennità confluiranno al bilancio generale dell’UE). Le AEV saranno coadiuvate, fra l’altro, anche dalle autorità nazionali competenti sulle EF che si avvalgono di ICTEF critici ”.
Anche per le AEV, che dovranno nel frattempo provvedere per le norma tecniche applicative, e le autorità nazionali si pone quindi l’esigenza di sviluppare le necessarie competenze specialistiche per garantire tale sorveglianza.
Occorre evidenziare che il DORA prevede in capo alle autorità competenti (ma non alle AEV) ovvero ad altre autorità nazionali la possibilità di comminare sanzioni amministrative e misure di riparazione – efficaci, proporzionate e dissuasive, ma non specificate dal DORA nella loro dimensione, venendo solo forniti dei criteri per il loro dimensionamento - e che ai singoli Stati è rimessa la possibilità cdi prevedere sanzioni penali in luogo di quelle amministrative.
Maggior cyber resilienza e cybersecurity vorrà dire maggior protezione dei dati personali. A questo riguardo, ai trattamenti svolti da ciascun operatore finanziario e fornitore ICT, si affiancano quelli specifici per le AEV e le autorità competenti che, in base all’art 56 del DORA, vengono autorizzate a trattare i dati personali ai fini dell’adempimento degli obblighi e doveri previsti da tale norma nel rispetto: del GDPR, per le Autorità nazionali, e del Regolamento UE 1725/2018 (l’analogo del GDPR) per le autorità europee. La predetta norma specifica anche i limiti di tempo per la conservazione dei dati personali (fino a un massimo di 15 anni) previsione senz’altro opportuna perché agevola - per un criterio, quello del ciclo di vita delle informazioni, a volte non agevole da definire - l’impostazione di un trattamento attento alla privacy by design e by default.
Per chiudere questa sintetica presentazione, va segnalato che l’UE sta anche portando avanti i lavori per il Cyber resilience act (CRA) con cui si intende regolamentare i requisiti di cybersecurity per i prodotti con elementi digitali. La norma disciplinerebbe la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti, con obblighi da rispettare in ogni fase della catena del valore; l’obbligo di garantire il dovere di diligenza per l’intero ciclo di vita di tali prodotti.
Una volta emanato, il CRA oltre a proteggere i consumatori e tutte le organizzazioni, con riguardo specifico alle EF sarebbe coperta a 360 gradi (sia il lato servizi acquisiti dagli ICTEF e lato prodotti “CRA”) la loro capacità di fronteggiare i rischi cyber.
