Regolamento DORA: La strategia europea per un settore finanziario più resiliente dal punto di vista digitale

Clementine Tanguy
Date27 Marzo 2025

Ma questa trasformazione digitale comporta una maggiore esposizione alle minacce informatiche, ai guasti di sistema e alle interruzioni informatiche. Un singolo attacco informatico o un’interruzione tecnica possono causare instabilità finanziaria, con un impatto su banche, assicurazioni e società di invest

Per affrontare questi rischi, l’Unione Europea ha introdotto il Digital Operational Resilience Act (DORA), un quadro normativo volto a garantire la stabilità digitale del settore finanziario. In vigore dal 17 gennaio 2025, il DORA stabilisce misure per la gestione dei rischi informatici, salvaguardando le operazioni del settore anche in caso di interruzioni digitali.

Deepki si impegna da tempo a garantire la resilienza della propria infrastruttura ICT e ne comprende l’importanza per i propri clienti. Di seguito abbiamo analizzato cosa significa DORA per noi e per i nostri clienti.

Che cos’è il DORA?

Nel settembre 2020, la Commissione Europea ha presentato una proposta di regolamento sulla resilienza operativa digitale per il settore finanziario, comunemente denominata Digital Operational Resilience Act (DORA), come parte della sua strategia di finanza digitale. Il testo è stato adottato il 10 novembre 2022, è entrato in vigore il 16 gennaio 2023 ed è in vigore dal 17 gennaio 2025. Il periodo di transizione di due anni è stato pensato per dare alle entità finanziarie e ai loro partner ICT il tempo sufficiente per soddisfare i loro requisiti.

Il DORA obbliga le istituzioni finanziarie a rafforzare la loro resilienza operativa digitale.” Il regolamento definisce la “resilienza operativa digitale” come “la capacità di un’entità finanziaria di costruire, assicurare e rivedere la propria integrità e affidabilità operativa garantendo, direttamente o indirettamente attraverso l’uso di servizi forniti da fornitori terzi di servizi ICT, l’intera gamma di capacità legate all’ICT necessarie per affrontare la sicurezza della rete e dei sistemi informativi che un’entità finanziaria utilizza, e che supportano la fornitura continua di servizi finanziari e la loro qualità, anche durante le interruzioni”.

Il DORA introduce nuove disposizioni volte a rafforzare le risorse interne e la gestione efficace dei partner esterni. Il regolamento stabilisce nuovi obiettivi per le aziende che cercano di garantire che i loro processi, le infrastrutture e la gestione del rischio soddisfino i severi requisiti stabiliti dall’UE. La conseguenza per i nostri clienti che sono istituti finanziari operanti nell’UE, è che probabilmente vorranno esaminare gli accordi contrattuali in essere con i fornitori di ICT.

Cosa richiede il DORA?

Il DORA ha come obiettivo principale quello di garantire che le istituzioni finanziarie possano operare in sicurezza in un’epoca di incertezza digitale. Il regolamento introduce un quadro completo di resilienza basato su cinque pilastri essenziali:

  1. Gestione del rischio ICT: Le entità finanziarie devono implementare un solido framework di gestione del rischio ICT, nonché un quadro di governance e controllo interno per affrontare e mitigare i rischi digitali. Ciò include sistemi aggiornati, documentazioni e politiche di continuità.
  2. Gestione, classificazione e reporting degli incidenti ICT: Le entità devono disporre di processi per la gestione degli incidenti informatici, compresi il rilevamento, la segnalazione e l’analisi delle cause principali. 
  3. Test di resilienza operativa digitale: Le entità finanziarie (escluse le microimprese) devono stabilire, mantenere e rivedere un programma di test sulla resilienza operativa digitale. Questo programma è progettato per identificare i punti deboli, valutare la preparazione e implementare misure correttive. 
  4. Gestione del rischio ICT di terze parti: le entità finanziarie devono gestire i rischi associati ai fornitori ICT di terze parti  e un quadro di gestione del rischio. Ciò include il mantenimento della piena responsabilità per la conformità alle disposizioni del DORA, indipendentemente dagli accordi di outsourcing. Le entità finanziarie devono valutare e gestire i rischi di terzi in base alla criticità e al potenziale impatto sulle loro operazioni. Inoltre, le entità devono tenere un registro dei contratti di servizio ICT e fornire reportistica annuale sui loro rapporti con terzi nel settore ICT.
  5. Accordi di condivisione delle informazioni: Le entità finanziarie sono incoraggiate a condividere le informazioni sulle minacce informatiche, compresi gli indicatori di compromissione e gli avvisi di cibersecurity, per migliorare la resilienza dell’intero settore. La partecipazione a questi accordi di condivisione delle informazioni deve essere comunicata alle autorità competenti

 I punti 1 e 4 possono essere particolarmente rilevanti per i nostri clienti nella collaborazione con Deepki.

Chi deve essere conforme al DORA?

Il DORA si applica direttamente alle istituzioni finanziarie, tra cui banche, società d’investimento, agenzie di rating del credito e fornitori di servizi di pagamento terzi. Secondo PwC, più di 22.200 entità finanziarie e fornitori di servizi IT rientrano nel perimetro  di applicazione del DORA. Se la vostra organizzazione svolge un qualsiasi ruolo nei servizi finanziari, la conformità non è facoltativa: è una necessità.

Il DORA richiede che queste istituzioni abbiano disposizioni specifiche con i fornitori terzi di servizi tecnologici,  con requisiti più severi per i fornitori ritenuti critici per le operazioni finanziarie.

In questo contesto, Deepki si qualifica come “fornitore terzo di servizi ICT” ai sensi del regolamento

Cosa succede se non si rispetta la normativa?

Il DORA non è solo un’altro tassello di controllo normativo, ma comporta conseguenze reali.

Un report McKinsey del gennaio 2025 ha rivelato che molte istituzioni finanziarie stanno ancora lottando per soddisfare i requisiti del DORA, in particolare nella gestione della conformità di terzi. I fornitori ICT più piccoli spesso non hanno le risorse per implementare le misure di sicurezza necessarie, creando lacune di conformità che potrebbero allungare i tempi di implementazione per le aziende finanziarie.

Inoltre, gli istituti finanziari si trovano spesso ad affrontare una duplice sfida: devono essere conformi al DORA non solo come destinatari di servizi, ma anche come fornitori di servizi ad altri istituti. Questo duplice ruolo accresce il controllo normativo, richiedendo alle aziende sia di imporre la conformità ai propri partner sia di rispettare gli obblighi imposti dai rapporti con i propri terzi.

Deepki comprende l’importanza dei nostri clienti di analizzare la loro esposizione e i contratti in essere con i fornitori. Inoltre, siamo pronti ad assistere i nostri clienti in ogni fase del processo per garantire che il nostro rapporto rimanga all’interno del quadro normativo previsto dalla DORA.

L’impatto globale del DORA: cosa significa per le imprese e le multinazionali

Sebbene il DORA sia un regolamento dell’UE, il suo impatto si estende ben oltre la giurisdizione dell’Unione Europea.

Se la vostra azienda lavora con i mercati finanziari dell’UE, la conformità è fondamentale per mantenere la fiducia ed evitare gli ostacoli normativi. Ciò è particolarmente importante per le imprese coinvolte in servizi transfrontalieri o catene di fornitura legate all’UE, anche se non hanno una presenza fisica nel paese

Per le aziende multinazionali navigare tra i diversi framework normativi aggiunge un ulteriore livello di complessità. Le aziende devono allineare le loro strategie di gestione del rischio ICT con il DORA, rispettando al contempo altri standard internazionali. Ciò può includere:

  • Aggiornare i contratti con i fornitori ICT terzi, se necessario, per garantire la conformità ai termini rigorosi del DORA, in particolare per la gestione del rischio e la segnalazione degli incidenti.
  • Modifiche operative: Adeguamento dei sistemi e dei processi ICT per soddisfare i requisiti DORA, che può richiedere una pianificazione strategica e un investimento di risorse.
  • Revisione dei sistemi IT e dei processi di gestione del rischio per soddisfare i requisiti in evoluzione del DORA.

Mantenere il passo con le modifiche normative in diverse giurisdizioni per rispettare le scadenze di conformità.

Siete pronti per DORA? Su cosa concentrarsi oggi.

Il DORA è ora in vigore e, di conseguenza, dovrebbe essere preso in considerazione sia dalle istituzioni finanziarie che dai fornitori di servizi ICT in tutta Europa.

Le istituzioni finanziarie che adottano il DORA in modo proattivo saranno meglio posizionate per gestire i rischi informatici, rafforzare la fiducia dei clienti e mantenere la stabilità operativa. Invece di considerare la conformità come un peso, le aziende lungimiranti possono sfruttare il DORA come un’opportunità per aumentare la sicurezza digitale, migliorare la gestione del rischio e ottenere un vantaggio competitivo.

CONTATTACI

Contatta Deepki per maggiori informazioni su DORA

Con l’evoluzione della regolamentazione delle istituzioni finanziarie, Deepki ha analizzato e considerato a fondo l’impatto dei requisiti DORA per promuovere la conformità e rafforzare il nostro impegno per la resilienza digitale. Per qualsiasi domanda sull’approccio di Deepki al DORA o per ulteriori informazioni sulle misure adottate per aiutare i nostri clienti ad essere conformi, non esitate a contattarci.