Il mondo della finanza è il più evoluto e innovativo quando si parla di regolamentazione negli ambiti della cybersecurity e della continuità operativa di cui la resilienza operativa fa parte
Il termine resilienza ha diversi significati. In questo articolo ci atteniamo a quanto riportato nel recentissimo Regolamento 2022/2554 o più semplicemente DORA (Digital Operational Resilience Act) che definisce la resilienza operativa digitale, come “la capacità dell’entità finanziaria di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo, direttamente o indirettamente tramite il ricorso ai servizi offerti da fornitori terzi di servizi TIC, l’intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza dei sistemi informatici e di rete utilizzati dall’entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità, anche in occasione di perturbazioni”.
DORA rappresenta l’ultimo tassello di una serie di normative in ambito finanziario e assicurativo che interessano la cybersecurity emesse da diversi enti (EBA, Comitato di Basilea, ESMA, EIOPA, FSB, G7…), che hanno introdotto negli ultimi anni i vari concetti che DORA formalizza e organizza in un unico documento. L’esigenza di una normativa capace di una risposta unitaria e coordinata all’aumento dei livelli di rischio TIC (tecnologie dell’informazione e della comunicazione) a livello Ue costituisce una delle ragioni che hanno portato alla creazione di DORA.
Fra le altre citiamo, per esempio, i limiti delle attuali disposizioni che portano a una visione incompleta sulla frequenza e sulla importanza degli incidenti, i relativi obblighi di segnalazione (incoerenti e sovrapposti), l’insufficiente condivisione tra gli istituti finanziari delle informazioni sulle minacce, il rischio rappresentato dai fornitori non adeguatamente monitorati.
Per affrontare questi problemi DORA regolamenta una serie di aspetti per le entità finanziarie (un concetto molto esteso che implica oltre 20 diverse categorie di soggetti) e per i loro fornitori quali: la gestione dei rischi delle TIC; la segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e la notifica, su base volontaria, delle minacce informatiche significative; la segnalazione alle autorità competenti di gravi incidenti operativi o relativi alla sicurezza dei pagamenti; la conduzione di test di resilienza operativa digitale; la condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche; le misure relative alla solida gestione dei rischi informatici derivanti da terzi; gli obblighi relativi agli accordi contrattuali con i fornitori terzi di servizi TIC; nonché norme sulla cooperazione tra autorità competenti e sulla vigilanza e l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC.
Quest’ultimo punto in particolare, e cioè il controllo diretto da parte delle autorità di vigilanza sui principali fornitori degli enti vigilati, è una novità a livello mondiale, e cerca di dare una risposta a un problema concreto che interessa moltissime organizzazioni, non solo finanziarie. L’esternalizzazione di molti servizi e il ricorso sempre più diffuso al cloud si scontra da un lato con la reale possibilità di effettuare adeguati controlli su questi fornitori da parte delle organizzazioni e dall’altro il problema per fornitori, di ricevere centinaia di richieste di assessment e audit da parte dei clienti.
Si tratta di una situazione che non accontenta nessuno e che forse l’introduzione di un controllo centralizzato potrebbe in parte risolvere. Per il resto, DORA in realtà ripropone, in un quadro unitario, una serie di adempimenti formalmente già previsti da altre normative, ovvero rende obbligatori adempimenti che in precedenza erano solo buone pratiche, quindi una riorganizzazione e sistemazione anziché una rivoluzione. Per la sua piena attuazione mancano comunque numerosi documenti tecnici che dovranno essere emessi nei prossimi mesi per consentirne la piena operatività a partire dal 17 gennaio 2025.
Giancarlo Butti membro del Comitato scientifico CLUSIT
