Il Regolamento UE 2022/2554 – Digital Operational Resilience Act (c.d. DORA) è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed è entrato in vigore il 17 gennaio 2023. Detto Regolamento stabilisce un quadro normativo per la resilienza operativa digitale nel settore finanziario e si prefigge di armonizzare le normative ICT tra gli Stati membri dell’UE. Le entità finanziarie sottoposte alla normativa dovranno adempiere agli obblighi previsti dal DORA entro il 17 gennaio 2025.
Il DORA, in particolare, si applica a un ampio spettro di operatori finanziari, tra i quali – ad esempio – gli enti creditizi, gli istituti di pagamento, gli istituti di moneta elettronica, le imprese di investimento, le imprese di assicurazione e riassicurazione, gli enti pensionistici aziendali o professionali e i fornitori di servizi ICT.
Con riferimento alla disciplina ivi prevista, il DORA, in primo luogo, attribuisce all’organo amministrativo delle entità finanziarie la responsabilità della gestione dei rischi ICT. I membri dei Consigli di Amministrazione, i dirigenti e gli altri senior manager dovranno definire adeguate strategie di gestione del rischio, contribuire attivamente alla loro attuazione e mantenersi aggiornati sul panorama del rischio ICT. Questi soggetti saranno considerati personalmente responsabili per il mancato rispetto delle norme da parte dell’entità di appartenenza.
Le entità interessate saranno, poi, tenute a predisporre sistemi per monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell’incidente, agli enti potrà essere richiesta la segnalazione alle Autorità di Regolamentazione, ai clienti e/o ai partner interessati.
Gli enti dovranno, inoltre, testare regolarmente i propri sistemi ICT per valutarne la forza delle protezioni e identificarne eventuali vulnerabilità.
Con riferimento, invece, alla gestione del rischio di terze parti in ambito ICT, le entità finanziarie saranno tenute a negoziare accordi specifici riguardanti – ad esempio – le strategie di uscita, gli audit e gli obiettivi prestazionali per l’accessibilità, l’integrità e la sicurezza. Le entità, peraltro, non potranno stipulare contratti con fornitori ICT che non siano in grado di soddisfare tali requisiti. Il DORA prevede, infine, un sistema di sanzioni e responsabilità qualora non venissero rispettati gli obblighi dallo stesso prescritti. Le sanzioni prescritte si rivolgono tanto alle entità stesse quanto ai singoli individui coinvolti. Peraltro, le Autorità competenti potranno anche diramare comunicazioni pubbliche, indicanti l’identità della persona fisica o giuridica e la natura della violazione