Il Regolamento DORA stabilisce degli obblighi sulla sicurezza dei sistemi informatici e di rete su cui operano i processi commerciali degli operatori finanziari.

Lo scorso 10 novembre il Parlamento europeo ha approvato il regolamento DORA (Digital Operational Resilience Act), relativo alla resilienza operativa digitale per il settore finanziario. Sebbene la sua entrata in vigore su tutto il territorio UE sia del 17 gennaio 2023, i soggetti coinvolti avranno due anni di tempo per adempiere i vari obblighi previsti dal nuovo regolamento.

Soggetti destinatari del Regolamento DORA

Tra le entità finanziarie che devono sottostare al nuovo regolamento troviamo enti creditizi, istituti di pagamento e di moneta elettronica, nonché fornitori di servizi di cripto-attività. Altri importanti soggetti riguardano gestori di fondi d’investimento, imprese di assicurazione, intermediari assicurativi, enti pensionistici, agenzie di rating del credito, fornitori di servizi di crowdfunding. Si applica inoltre ai fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT).

Cosa prevede il Regolamento

I principali obblighi a cui gli operatori finanziari devono sottostare sono:

• creare un sistema di segnalazione degli incidenti informatici;
• rilevare, registrare e catalogare minacce informatiche e incidenti legati ai fornitori ICT;
• stabilire un sistema di risposta agli incidenti per garantire la sicurezza dei servizi e la loro operatività;
• svolgere test di resilienza operativa digitale, improntandolo sulla base delle dimensioni dell’azienda, della tipologia di attività e al suo profilo di rischio.

Sistema sanzionatorio

Nonostante il Regolamento DORA preveda un sistema di calcolo delle sanzioni, le autorità di vigilanza europee possono agire autonomamente. Non vanno ignorati altri impatti, come quello legato alle discipline di cybersecurity, sia a livello europeo che nazionale. Infatti, le normative europee che si combinano con DORA riguardano anche il GDPR e le direttive NIS 1 e NIS 2. In ambito italiano, invece, ricomprendono il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e il Regolamento IVASS.