In un contesto caratterizzato da una crescente digitalizzazione dei servizi finanziari e da una parallela escalation delle minacce cyber, l’Unione Europea ha introdotto il Regolamento DORA (Digital Operational Resilience Act), affiancato dagli RTS (Regulatory Technical Standards), con l’obiettivo di armonizzare e potenziare le pratiche di cyber security e gestione dei rischi ICT nel settore finanziario.

La promulgazione del DORA segna un punto di svolta cruciale nella lotta alla cyber criminalità, riflettendo la volontà dell’UE di rispondere con decisione alle sfide poste dall’evoluzione tecnologica.

In questo articolo esploreremo le principali novità introdotte dalla normativa e le sue implicazioni per le entità finanziarie, approfondendo le modalità di gestione dei rischi ICT nel contesto della cyber security.

Un contesto normativo camaleontico

Il DORA si inserisce in un quadro normativo europeo in evoluzione, mirato a consolidare la resilienza operativa delle entità finanziarie in risposta ai rischi ICT.

Con una piena applicabilità prevista per l’inizio del 2025, il regolamento rappresenta un deciso passo in avanti verso un’armonizzazione delle prassi di sicurezza ICT, ponendo le basi per uno standard elevato di protezione e gestione dei rischi cyber nel settore.

Questa mossa legislativa è un chiaro indicatore della crescente consapevolezza, a livello europeo, dell’importanza strategica della sicurezza informatica per l’integrità del settore finanziario.

Il nuovo risk management framework: spazio alle terze parti

Al centro del regolamento DORA vi è l’imperativo per le entità finanziarie di adottare un framework robusto per la gestione dei rischi ICT, integrato nel modello generale di gestione dei rischi.

La normativa enfatizza la necessità di una documentazione, formalizzazione e visibilità di tali framework, assicurando un trattamento del rischio ICT paritetico rispetto ad altri rischi finanziari tradizionali. L’adozione di tali misure rappresenta un passaggio obbligato per le entità finanziarie che intendono non solo adeguarsi alla normativa, ma anche proteggersi efficacemente dalle minacce cyber in continua evoluzione.

Il regolamento pone, inoltre, l’attenzione sulla gestione dei rischi derivanti dalle terze parti, sottolineando l’importanza di un approccio sistematico nella gestione dei rischi associati ai fornitori di servizi ICT. L’obiettivo è di garantire che tali fornitori rispettino standard di sicurezza e resilienza comparabili a quelli delle entità finanziarie che li impiegano.

Questa enfasi sulla gestione del rischio da terze parti evidenzia la complessità dell’ecosistema digitale in cui le entità finanziarie operano, e la necessità di un approccio olistico alla sicurezza informatica.

L’approccio degli RTS: focus su cyber security e resilienza

Gli RTS, sviluppando ulteriormente i requisiti del DORA, mettono in luce l’importanza di prepararsi non solo alla prevenzione, ma anche alla risposta e ripresa efficace da attacchi informatici.

L’orientamento proposto verso la resilienza, con un’enfasi sulla capacità di ripristino e sulla continuità operativa, segna un cambiamento nell’approccio alla gestione dei rischi cyber, promuovendo anche la realizzazione di cyber stress test.

Questa evoluzione concettuale sottolinea l’importanza di un approccio proattivo e basato sulla resilienza, piuttosto che sulla mera prevenzione, nel contesto della sicurezza informatica.

Governance e responsabilizzazione del top management

Il regolamento pone un accento particolare sulla governance efficace e sulla responsabilizzazione del top management nel gestire i rischi ICT.

Questo include l’aggiornamento continuo delle informazioni di rischio e la capacità del management di comprendere e agire tempestivamente in caso di incidenti informatici.

Questo aspetto del DORA sottolinea il ruolo fondamentale che la leadership aziendale gioca nella creazione di una cultura della sicurezza e nella promozione della resilienza operativa.

Conclusioni

Il DORA e gli RTS rappresentano un avanzamento significativo nella regolamentazione della resilienza operativa digitale per il settore finanziario, stabilendo standard elevati per la gestione dei rischi ICT, cyber security e continuità operativa.

Le entità finanziarie sono chiamate a rivedere e potenziare i propri sistemi di gestione dei rischi ICT, in linea con le nuove normative, per garantire non solo la propria sicurezza ma anche quella dei loro clienti e del sistema finanziario nel suo complesso.

La strada verso la piena conformità è complessa e costellata di sfide, ma rappresenta anche un’opportunità imperdibile per le entità finanziarie di elevare i propri standard di resilienza operativa, contribuendo così alla stabilità e all’affidabilità dell’intero settore finanziario nell’era digitale.

La transizione verso un approccio più robusto e armonizzato alla cyber resilience segna un punto di non ritorno per il settore finanziario, delineando un futuro in cui la sicurezza e la resilienza operativa digitale sono pilastri fondamentali dell’ecosistema finanziario europeo.