Dati i rischi sempre crescenti di attacchi informatici, l’UE sta rafforzando la sicurezza informatica di entità finanziarie come banche, compagnie assicurative e imprese di investimento. Ieri sera la presidenza del Consiglio e il Parlamento europeo hanno raggiunto un accordo provvisorio sul Digital Operational Resilience Act (DORA) , che assicurerà che il settore finanziario in Europa sia in grado di mantenere operazioni resilienti a causa di una grave interruzione operativa.
DORA, cos’è?
DORA stabilisce requisiti uniformi per la sicurezza della rete e dei sistemi informativi di aziende e organizzazioni che operano nel settore finanziario, nonché di terze parti critiche che forniscono loro servizi relativi alle TIC (Information Communication Technologies), come piattaforme cloud o servizi di analisi dei dati. Un quadro normativo sulla resilienza operativa digitale in base al quale tutte le aziende devono assicurarsi di poter resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle TIC . Questi requisiti sono omogenei in tutti gli Stati membri dell’UE. L’obiettivo principale è prevenire e mitigare le minacce informatiche.
In base all’accordo provvisorio, le nuove regole costituiranno un quadro molto solido che rafforza la sicurezza informatica del settore finanziario . Gli sforzi richiesti dalle entità finanziarie saranno proporzionati ai potenziali rischi.
Nuove regole
Quasi tutti gli enti finanziari saranno soggetti alle nuove regole. In base all’accordo provvisorio, i revisori dei conti non saranno soggetti a DORA ma faranno parte di una futura revisione del regolamento, in cui potrebbe essere esplorata una possibile revisione delle regole.
I fornitori di servizi TIC critici di paesi terzi per entità finanziarie nell’UE dovranno costituire una filiale all’interno dell’UE in modo che la supervisione possa essere adeguatamente attuata.
Per quanto riguarda il quadro di sorveglianza , i colegislatori hanno convenuto di optare per un’ulteriore rete di sorveglianza congiunta che rafforzerà il coordinamento tra le autorità di vigilanza europee su questo tema intersettoriale.
Cosa dice l’accordo?
In base all’accordo provvisorio, le prove di penetrazione saranno effettuate in modalità di funzionamento e sarà possibile includere nelle procedure di prova le autorità di più Stati membri. Il ricorso a revisori interni sarà possibile solo in un numero di circostanze strettamente limitate, fatte salve condizioni di salvaguardia.
Per quanto riguarda l’interazione di DORA con la direttiva sulla sicurezza delle reti e dell’informazione (NIS) , in base all’accordo provvisorio gli enti finanziari avranno piena chiarezza sulle diverse norme sulla resilienza operativa digitale a cui devono conformarsi, in particolare per quegli enti finanziari titolari di diverse autorizzazioni e operando in diversi mercati all’interno dell’UE. La direttiva NIS continua ad applicarsi. DORA si basa sulla direttiva NIS e affronta le possibili sovrapposizioni attraverso un’esenzione dalla lex specialis.
L’accordo provvisorio raggiunto ieri sera è soggetto all’approvazione del Consiglio e del Parlamento europeo prima di passare alla procedura di adozione formale.
Una volta che la proposta DORA sarà formalmente adottata, sarà trasformata in legge da ciascuno Stato membro dell’UE. Le autorità europee di vigilanza (ESA) competenti, come l’Autorità bancaria europea (ABE), l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA), svilupperanno quindi standard tecnici per tutti gli istituti di servizi finanziari da rispettare, dal settore bancario alle assicurazioni al risparmio gestito. Le rispettive autorità nazionali competenti assumeranno il ruolo di supervisione della conformità e applicheranno il regolamento, se necessario.