Regolamento DORA: il rischio della fornitura

Dal 17 gennaio 2025 è diventato ufficialmente vincolante il regolamento DORA (Digital Operational Resilience Act - Regolamento (UE) 2022/2554). Il provvedimento dell’UE ha come scopo principale quello di regolamentare i principi della resilienza operativa digitale per il settore finanziario.

Tali principi sono individuati nei cinque pilastri fondamentali (i five pillar) riassumibili come segue:

1. quadro per la gestione dei rischi ICT (DORA, capo II). Definisce requisiti specifici di sicurezza informatica introducendo l’approccio basato sul rischio: in base al livello di rischio identificato è necessario prevedere misure di sicurezza specifiche;

2. gestione degli incidenti ICT (DORA, capo III). Definisce i criteri per classificare un incidente informatico come grave e le relative modalità di gestione e segnalazione alle autorità di vigilanza;

3. test di resilienza operativa digitale (DORA, capo IV). Definisce i criteri per effettuare efficaci test di resilienza operativa digitale inclusi i Penetration Test guidati dalla minaccia (i TLPT);

4. gestione dei rischi ICT derivanti da terzi (DORA, capo V). Fulcro del regolamento, definisce i principi ed i requisiti per la gestione del rischio derivante dalla catena di fornitura;

5. accordi di condivisione delle informazioni (DORA, capo VI). Introduce la ricerca preventiva delle possibili minacce informatiche attraverso la condivisione di informazioni a livello di settore (info-sharing).

Una delle novità introdotte dal regolamento DORA è la valutazione sistematica del rischio derivante dalla catena di fornitura ICT ed il relativo monitoraggio. Infatti, come definito nell’ambito di applicazione (art. 2), il regolamento è direttamente applicabile ai fornitori terzi di servizi ICT, laddove pertinente.

L’ampliamento di ambito fa sì che le entità finanziarie abbiano il necessario potere negoziale per imporre opportuni presidi di sicurezza ai propri fornitori, nell’ottica di un approccio basato sul rischio e il principio di proporzionalità.

È stato introdotto inoltre il Registro delle Informazioni che, diretta evoluzione del Registro delle Esternalizzazioni, contiene le informazioni di tutti i fornitori e subfornitori di ciascuna entità finanziaria soggetta a DORA. Il Registro delle Informazioni è adesso definito in modo dettagliato e sistematico mediante apposito allegato al regolamento (Regolamento di esecuzione (UE) 2024/2956) accrescendo, con la più ampia definizione di entità finanziaria del regolamento DORA, il numero di entità soggette alla definizione del registro stesso.

Il monitoraggio dei fornitori ICT ed il relativo rischio di concentrazione (ovvero il rischio che una o più entità finanziarie dipendano in modo significativo da un ristretto numero di fornitori) culminano nel Quadro di sorveglianza dei fornitori terzi critici di servizi ICT (artt. 31 e sgg.). Il quadro prevede che i fornitori ICT designati dalle autorità come critici siano soggetti a vigilanza (da parte dell’autorità competente in base al tipo di servizio fornito) per effetto diretto del regolamento DORA.

Tuttavia, non sono solamente i fornitori critici ad essere soggetti al regolamento. Infatti, i fornitori ICT, anche se non critici e dunque non vigilati, devono permettere ai clienti entità finanziarie di soddisfare i requisiti imposti da regolamento ed in particolare i Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi (artt. 28-30). Secondo tali principi, ad esempio, si deve prevedere il diritto di audit verso i fornitori ICT, inserire specifiche clausole di risoluzione e definire una strategia di uscita (exit strategy). Inoltre, le entità finanziarie possono stipulare accordi contrattuali soltanto con fornitori terzi di servizi ICT che soddisfano standard appropriati in materia di sicurezza delle informazioni (art. 28). Al fornitore è quindi indirettamente richiesto di attuare appropriate misure di sicurezza secondo le esigenze dei clienti entità finanziarie indotte dal regolamento.

Come è noto, il Regolamento DORA è stato pubblicato sulla Gazzetta Ufficiale dell’UE il 27 dicembre 2022 ed è vincolante in tutti i paesi dell’Unione a partire dal 17 gennaio 2025.

Sussistono perà ancora alcuni aspetti in corso di definizione come, ad esempio, l’individuazione dei fornitori critici.

Le autorità europee entro il 2025 dovranno dunque formalizzare l’elenco dei fornitori terzi di servizi ICT critici ai sensi del regolamento, ovvero quei fornitori che, pur non essendo entità finanziarie, saranno direttamente soggetti a DORA ed alla relativa vigilanza da parte delle autorità competenti (secondo quanto previsto dall’art. 31 del regolamento). Per poter raggiungere tale obiettivo, le autorità di vigilanza europee hanno definito il seguente iter:

1. raccolta dei Registri delle Informazioni. Le autorità competenti inviano alle autorità di vigilanza europee i Registri delle Informazioni ricevuti dalle entità finanziarie (30 aprile 2025);

2. valutazione di criticità. Sulla base dei Registri ricevuti, le autorità di vigilanza europee effettuano la valutazione di criticità prevista da DORA e notificano ai fornitori l’eventuale classificazione come critici (luglio 2025);

3. periodo di udienza. A partire dalla notifica inizia un periodo di sei settimane durante il quale i fornitori possono opporsi alla valutazione mediante una dichiarazione motivata e corredata di informazioni a supporto (a partire da metà settembre 2025, in base alla data di ricezione della notifica);

4. designazione finale. Concluso il periodo di sei settimane, le autorità di vigilanza europee designano i fornitori terzi di servizi ICT critici e ne avviano l’impegno alla sorveglianza prevista dal regolamento.

Nei prossimi mesi è probabile che sarà delineato il panorama dei fornitori critici, completando così il perimetro di applicazione di DORA. Il regime sanzionatorio previsto dal regolamento lo puoi scoprire nel prossimo articolo.