Il Regolamento DORA e la gestione dei rischi derivanti dai fornitori ICTArticolo a cura di Alessandro Salibra Bove, Partner
Come gestire i fornitori ICT e i rischi da terze parti
- La resilienza operativa digitale
- Le implicazioni derivanti dalla gestione dei fornitori di servizi ICT
- Le sfide che attendono la Funzione Compliance e Risk Management
- Il percorso di adeguamento
Come gestire i fornitori ICT e i rischi da terze parti
- La resilienza operativa digitale
- Le implicazioni derivanti dalla gestione dei fornitori di servizi ICT
- Le sfide che attendono la Funzione Compliance e Risk Management
- Il percorso di adeguamento
Cos’è il Regolamento DORA e cosa c’entrano i rischi derivanti dai fornitori ICT?
Il Regolamento UE 2022/2554 relativo alla Resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act – DORA) è entrato in vigore il 17 gennaio 2023.
Con l’obiettivo di assicurare la continuità e la qualità dell’offerta di servizi finanziari da parte degli operatori di mercato, il regolamento prevede una serie di adempimenti che possono essere raggruppati in 5 pilastri principali:
- Gestione dei rischi informatici
- Gestione degli incidenti informatici
- Test di resilienza operativa digitale
- Gestione dei rischi informatici derivanti da terzi (servizi ICT)
- Condivisione delle informazioni
Le categorie di soggetti destinatari del nuovo regolamento sono numerose: banche, compagnie assicurative e loro intermediari, società di gestione, istituti di pagamento e di moneta elettronica, oltre che numerosi altri operatori del mercato dei servizi finanziari.
Le previsioni del Regolamento DORA sono già vigenti e a queste si aggiungeranno una serie di 14 norme tecniche attuative la cui emanazione è prevista nel corso del 2023 e del 2024.
I soggetti destinatari dovranno progressivamente conformarsi al regolamento e alle norme tecniche attuative nei 18 mesi che ci separano dal gennaio 2025, data ultima prevista per adempiere.
Il regolamento demanda agli stati membri la facoltà di prevedere sanzioni amministrative e penali, anche nei confronti dell’organo di gestione dell’ente sanzionato e di altri soggetti responsabili.
In questo articolo focalizzeremo la nostra attenzione sugli adempimenti relativi alla gestione dei rischi informatici derivanti da terzi (pilastro 4), ovvero le previsioni del regolamento che riguardano essenzialmente la gestione del rapporto con i fornitori di servizi ICT.
È bene premettere che – essendo il Regolamento DORA già vigente – un approccio prudente suggerisce di predisporre quanto necessario per far sì che gli accordi con i fornitori di servizi ICT stipulati o soggetti a rinnovo a partire da gennaio 2023 siano conformi alle nuove previsioni.
Detto ciò, iniziamo nel prossimo paragrafo a vedere più da vicino cosa sono i rischi informatici derivanti da terzi.
Cosa si intende per rischi informatici derivanti da terzi?
Il regolamento fa riferimento ai rischi che derivano dal ricorso su base continuativa a fornitori di servizi ICT e dai loro eventuali subappaltatori.
Riportiamo nel seguito, a titolo esemplificativo, un elenco di possibili servizi ICT[1].
SERVIZI ICT – elenco esemplificativo
Telecomunicazioni
- Fonia VOIP
- Connettività Internet
- Reti dati
Ciclo di vita del software
- Sviluppo e distribuzione del software
- Manutenzione correttiva ed evolutiva
Esercizio infrastruttura ICT
- Gestione infrastruttura hardware e software
- Supporto utenti
- Sicurezza informatica
- Software e hardware in hosting / cloud providing (IaaS, PaaS, SaaS)
Altri servizi
- Elaborazione dati / business intelligence
- Info-providing
Ma quali possono essere i rischi che derivano dal ricorso ai fornitori di questi servizi ICT?
Sicuramente, è utile partire dalle principali categorie di rischio informatico:
- IT security risk: ovvero i rischi che impattano sulla sicurezza di sistemi e dati aziendali
- IT availability & continuity risk: i rischi che vertono sulla disponibilità di dati e sistemi, sulla capacità di garantire la resilienza e la continuità operativa dell’organizzazione e sulla qualità ed efficacia dei test di continuità operativa
- IT data quality & integrity risk: i rischi che impattano sull’integrità e qualità dei dati e, conseguentemente, sulla relativa reportistica aziendale (l’informazione non è accurata, tempestiva e completa)
- IT change risk: i rischi connessi alle eventuali inefficienze nella gestione dei cambiamenti applicati agli asset IT aziendali (reti, sistemi, applicazioni di business) e che possono impattare sull’agilità nell’eseguire il cambiamento (es. il rischio che i cambiamenti vengano effettuati nei limiti di tempo e budget previsti)
- IT outsourcing risk: gli specifici rischi che possono derivare da una inadeguata gestione dei rapporti con i terzi fornitori o da carenze nella sicurezza informatica di questi ultimi
Ancorché l’ultima categoria di rischio – IT outsourcing risk – faccia specifico riferimento ai fornitori di servizi ICT, è bene sottolineare che nella gestione dei rapporti con questi ultimi è necessario presidiare l’intera gamma delle categorie di rischio informatico appena elencate, in base a quanto stabilito dalle previsioni del Regolamento DORA che stiamo per illustrare nei successivi paragrafi.
Prima, però, approfondiremo alcuni importanti aspetti relativi proprio all’IT outsourcing risk, ovvero ai rischi informatici derivanti da terzi.
Perché i rischi informatici derivanti da terzi sono diventati così importanti?
L’attenzione dei risk manager e dei regulators nei confronti di questa categoria di rischi è sempre maggiore.
Sulle ragioni di questa crescente attenzione è utile considerare quanto rappresentato in tema di rischi emergenti nell’ultimo Emerging Risk Report di Gartner.
Tra i principali rischi segnalati nel report, infatti, per l’ambito dei rischi informatici emergono i tre seguenti, tutti correlati alla gestione dei rapporti con fornitori di servizi ICT:
- governo del Software as a Service
- disponibilità di personale con le competenze IT necessarie
- concentrazione dei servizi cloud prestati da un unico fornitore
Vediamo più in dettaglio alcune caratteristiche di questi rischi.
Governo del Software as a Service
Le soluzioni Software as a Service (SaaS) offrono una copertura sempre più ampia per il supporto di tutti i processi aziendali (es. CRM, Supply Chain, Core Operations) e consentono tempi di attivazione particolarmente rapidi.
La semplicità di attivazione e utilizzo di queste soluzioni fa sì che spesso queste vengano acquistate ed utilizzate direttamente dalle unità aziendali interessate, senza un adeguato coinvolgimento dell’IT, dando luogo al così detto shadow IT (IT “ombra”).
I rischi che derivano da un inadeguato governo delle soluzioni SaaS – probabilmente destinate a diventare il modello di riferimento per l’informatica dei prossimi anni – riguardano pertanto molteplici aspetti:
- prestazioni e disponibilità dei sistemi
- sicurezza dei dati
- integrazione con altri sistemi
Disponibilità di competenze IT
Le competenze necessarie al personale IT affinché questo possa supportare con efficacia il perseguimento degli obiettivi aziendali sono notevolmente diversificate ed in continua evoluzione: tecnologie, processi di gestione dell’IT, metodologie di sviluppo software, gestione progetti, ecc.
Mentre le strategie delle aziende si basano sempre di più sul ricorso alle tecnologie digitali (Internet, analytics, AI, ecc.), le aree IT stanno incontrando difficoltà crescenti nel trattenere il personale più qualificato e a sviluppare le competenze della propria forza lavoro in generale.
Considerata l’esigenza di dover disporre di adeguate competenze interne per gestire efficacemente i rapporti con i fornitori ICT e, qualora fosse necessario, re-internalizzare tutte o parte delle attività, è evidente la rilevanza del tema in oggetto.
Concentrazione dei servizi cloud
Oltre che per le soluzioni SaaS viste in precedenza, il mercato dei servizi cloud ha conosciuto negli ultimi anni un notevole sviluppo per l’offerta di IaaS – Infrastructure as a Service (es. macchine server e reti virtuali) e di PaaS – Platform as a Service (es. ambienti server pronti all’uso).
L’opportunità di disporre di un’unica architettura cloud fortemente integrata e dunque più facilmente gestibile – nonché la possibilità di ottenere condizioni economiche più vantaggiose – ha favorito in molti casi il ricorso ad un unico Cloud Service Provider (CSP) anziché a più di un provider.
I rischi per le organizzazioni che basano la propria operatività esclusivamente, o quasi esclusivamente, su di un unico CSP riguardano principalmente il così detto vendor lock-in, ovvero il vincolo di eccessiva dipendenza che si istaura con il fornitore.
Come è evidente, anche qualora il ricorso ad un unico CSP sia comunque lo scenario più desiderabile da un punto di vista strategico e di gestione dell’IT, ciò non implica che non vi siano rischi che è necessario gestire.
Cosa prevede per i rischi informatici derivanti da terzi (IDT) il Regolamento DORA?
Vista la rilevanza che questo tipo di rischi ha assunto con l’evoluzione dei mercati e della tecnologia, il regolamento prevede una serie di adempimenti che possono essere riepilogati come segue:
Adempimenti DORA per i rischi informatici derivanti da terzi
Governance
- Piena integrazione dei rischi IDT (rischi informatici derivanti da terzi) nel framework aziendale di gestione dei rischi
- Adozione di una strategia per i rischi IDT, anche considerando criteri di diversificazione
- Riesame periodico dei rischi IDT relativi a funzioni essenziali o importanti da parte dell’organo di gestione
- Mantenimento di un registro di informazioni su tutti gli accordi contrattuali per l’utilizzo di servizi ICT terzi
- Comunicazioni all’autorità competente relative ai servizi ICT di terzi
- Definizione piani di uscita documentati e testati periodicamente per i servizi ICT a supporto di funzioni essenziali o importanti
Verifiche sui fornitori ICT
Verifiche da svolgere prima della stipula di contratti con fornitori ICT:
- Valutazione dei rischi derivanti dalla stipula, comprensivi del rischio di concentrazione
- Controlli di due diligence sui potenziali fornitori e verifiche relative alle capacità di garantire una adeguata sicurezza delle informazioni
- Individuazione di eventuali conflitti di interesse che possono derivare dalla stipula
- Determinazione preventiva delle verifiche di audit sui fornitori: valutazioni di rischio, aree da sottoporre a verifica, frequenza
Condizioni contrattuali
Clausole di risoluzione per:
- rilevanti violazioni normative o contrattuali, significative carenze evidenziate nel corso delle attività di verifica periodica, impedimenti nei controlli da parte delle autorità competenti
Disposizioni contrattuali minime relative a:
- Chiara definizione dei servizi oggetto del contratto, con indicazioni relative ai subappaltatori ed alla loro localizzazione.
- Sicurezza dei dati trattati e loro disponibilità nei formati convenuti al momento della cessazione del rapporto commerciale.
- Definizione dei livelli di servizio applicabili e disponibilità del fornitore a dare assistenza in caso di incidente.
Ulteriori disposizioni per i servizi ICT a supporto di funzioni essenziali o importanti:
- Definizione di livelli di servizio monitorabili nel continuo dai committenti e dalle autorità competenti, con indicazione di specifiche azioni da adottare in caso di livelli non raggiunti.
- Definizione e test di adeguati piani di emergenza per la sicurezza dei dati da parte dei fornitori e accesso incondizionato per verifiche da parte del committente e delle autorità competenti.
- Disciplina di un adeguato periodo di transizione prima della cessazione dei servizi.
Da dove si comincia? E quando?
La conformità al regolamento DORA è un lungo percorso a tappe che comincia oggi, proseguirà nei prossimi mesi con l’emanazione di 14 norme tecniche attuative – elementi del sistema di ICT Risk Management, classificazione degli incidenti, registro delle terze parti, ecc. – e si concluderà a gennaio 2025.
L’analisi della normativa tecnica di prossima emanazione, la definizione dei piani di intervento e le relative implementazioni occuperanno l’agenda a partire dal secondo semestre 23 fino al traguardo finale.
Come anticipato in premessa, un approccio prudente suggerisce di predisporre quanto necessario per far sì che gli accordi con i fornitori di servizi ICT stipulati o soggetti a rinnovo a partire da gennaio 2023 siano conformi alle nuove previsioni.
Diventa dunque prioritario avviare da subito le attività più rilevanti per il rispetto dei nuovi requisiti.
Riepiloghiamo nel seguito quelle a nostro avviso più rilevanti.
Da cosa partire ora
1 – Verifica della disponibilità e della completezza di una mappatura aziendale dei fornitori ICT e dei relativi servizi (perimetro dei servizi mappati, definizione e tipologie dei servizi, servizi a supporto di funzioni essenziali o importanti, documentazione contrattuale, ecc.).
2 – Identificazione degli accordi in scadenza e di quelli di prossima nuova stipula, per valutare l’impatto e l’applicabilità delle nuove previsioni regolamentari.
3 – Definizione di primi standard contrattuali e procedure per le verifiche preliminari, applicabili in occasione dei rinnovi contrattuali o nuove stipule.
A completamento di questo quadro, la normativa tecnica di prossima emanazione che dovrà essere successivamente considerata in merito ai rischi informatici derivanti da terzi è la seguente:
Norme tecniche per rischi informatici derivanti da terzi
Emanazione entro Gennaio 2024
- Registro delle informazioni relative agli accordi contrattuali con fornitori terzi di servizi ICT
- Politica per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti
Emanazione entro Giugno 2024
- Disposizioni contrattuali chiave per il subappalto di funzioni/servizi a supporto delle funzioni critiche o importanti
Sono quindi questi, a nostro avviso, gli elementi più importanti a partire dai quali è opportuno avviare le analisi iniziali in vista della road-map di conformità descritta in precedenza.
Considerata la complessità e l’ampiezza della materia da trattare, assumeranno sempre maggiore importanza soluzioni applicative che siano in grado di supportare effettivamente i process owner nelle attività di mappatura costante dei servizi ICT.
Note
[1] Per approfondimenti sulla classificazione dei servizi ICT: Eurostat Statistical classification of economic activities in the European Community – NACE rev. 2.1; COBIT 2019 Framework: Governance and management objectives.
Alessandro Salibra Bove
Partner
RICHIEDI UN INCONTRO
Desideri avere maggiori informazioni o richiedere un incontro con i nostri consulenti?