Regolamento DORA: ICT Risk Management 2.0Articolo a cura di Alessandro Salibra Bove, Partner

Tempo di lettura: 6 minuti

La roadmap di conformità per le financial institution

  • La resilienza operativa digitale
  • I pilastri del Regolamento Dora
  • Le nuove sfide per il Risk Management
  • Il percorso di adeguamento

La roadmap di conformità per le financial institution

  • La resilienza operativa digitale
  • I pilastri del Regolamento Dora
  • Le nuove sfide per il Risk Management
  • Il percorso di adeguamento

Qual è il contesto del nuovo Regolamento?

Il mercato dei servizi finanziari ha conosciuto negli ultimi anni una profonda trasformazione dei modelli di business, dell’offerta e della clientela. In questo contesto, la pandemia di Covid-19 ha portato ad un ulteriore, rapido cambiamento nell’offerta di servizi e prodotti.

Le misure di contrasto al virus e le nuove abitudini di lavoro e consumo che ne sono derivate hanno evidenziato l’importanza della digitalizzazione e hanno comportato una rapida crescita nell’uso dei servizi finanziari digitali e dell’e-commerce.

Di qui, l’esigenza di definire un quadro normativo armonizzato a livello europeo per una adeguata gestione dei rischi emergenti connessi alla digitalizzazione dei servizi finanziari.

«Poiché la pandemia ha aumentato l’uso dei servizi finanziari digitali e degli strumenti di lavoro a distanza, un obiettivo importante è promuovere la sicurezza e la resilienza del sistema finanziario»

Cyber sicurezza: Una continua sfida per l’economia e per la società, intervento di Alessandra Perrazzelli, Vice-Direttrice Generale della Banca d’Italia – 10 febbraio 2023

Con questo obiettivo, il 17 gennaio 2023 è entrato in vigore il Regolamento UE 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act – DORA).

La platea dei soggetti destinatari del nuovo regolamento è molto ampia: banche, compagnie assicurative e loro intermediari, società di gestione, istituti di pagamento e di moneta elettronica, oltre che numerosi altri operatori del mercato dei servizi finanziari. A questi si aggiungono anche le società che prestano servizi ICT a tali soggetti.

Il percorso verso la conformità al regolamento DORA inizia oggi, prevede una serie di tappe intermedie importanti – legate principalmente alla emanazione di normativa tecnica attuativa, prevista nel corso dei prossimi mesi – e si concluderà nel gennaio 2025.

Cos’è la resilienza operativa digitale?

Assicurare la continuità e la qualità nell’offerta di servizi finanziari al mercato è l’obiettivo ultimo del regolamento.

Questa condizione si basa sulla capacità degli operatori di mercato di assicurare un’operatività affidabile nel tempo.

E poiché questa operatività è dipendente in misura sempre maggiore dalle tecnologie dell’informazione e della comunicazione (ICT), agli operatori viene richiesto di garantire la sicurezza di tali tecnologie mediante l’impiego di tutte le capacity necessarie: attori, processi e sistemi.

Cosa prevede il Regolamento?

Nell’ottica di garantire una adeguata resilienza operativa digitale, il regolamento prevede una serie di adempimenti che possono essere raggruppati in 5 pilastri principali.

I 5 pilastri del Regolamento DORA

1 – Gestione dei rischi informatici

  • Attribuzioni organo di gestione per governo rischi informatici: definizione ruoli e responsabilità, politiche, flussi informativi.
  • Definizione di politiche e procedure per gestione rischi informatici: attribuzione a funzione di controllo indipendente, audit periodici, gestione della propensione al rischio e strategie di mitigazione.
  • Adozione di misure tecniche ed organizzative per la sicurezza informatica: sicurezza fisica e logica, continuity, backup, monitoraggio eventi, ecc.

2 – Gestione degli incidenti informatici

  • Registrazione incidenti informatici, piani di comunicazione interna/esterna degli incidenti e procedure di risposta.
  • Monitoraggio di indicatori di allerta precoce (KRI).
  • Classificazione e valutazione impatto per incidenti e minacce informatiche.
  • Segnalazione degli incidenti informatici gravi all’Autorità di Vigilanza.

3 – Test di resilienza operativa digitale

  • Definizione di programmi annuali di test basati sul rischio e condotti da soggetti indipendenti.
  • Impiego di strumenti e tecniche adeguati: vulnerability assessment, penetration test, code review.

4 – Gestione dei rischi informatici derivanti da terzi (servizi ICT)

  • Definizione politica per utilizzo servizi ICT a supporto delle funzioni essenziali o importanti.
  • Gestione registro contratti per servizi ICT e due diligence prima della stipula.
  • Valutazione del rischio di concentrazione di servizi ICT e definizione di strategie di uscita.

5 – Condivisione delle informazioni

  • Condivisione tra obbligati delle informazioni per la gestione rischi: procedure, indicatori, strumenti.
  • Notifica della partecipazione a iniziative di condivisione verso l’Autorità di Vigilanza.

Gli adempimenti previsti dal regolamento sono modulati in funzione del principio di proporzionalità e dell’appartenenza degli obbligati a specifiche categorie (microimprese, imprese a minore complessità, altri soggetti).

La normativa di vigilanza per banche, compagnie assicurative e altri intermediari finanziari disciplina già – seppure, in molti casi, con un livello di definizione piuttosto alto – buona parte del perimetro normato dal regolamento DORA. In particolare, il 40° aggiornamento alla Circolare 285/2013 della Banca d’Italia stabilisce una serie di adempimenti in materia di gestione del rischio informatico (primo pilastro DORA).

Tuttavia, è necessario sottolineare che le previsioni del regolamento DORA hanno un carattere di ampiezza e specificità difficilmente rinvenibile nella normativa di vigilanza attualmente vigente, che segue in prevalenza un approccio principle-based.

Tutto ciò avrà, inevitabilmente, un riflesso nella portata degli assessment e dei relativi action plan che gli operatori si apprestano ad avviare.

Per ciò che riguarda, infine, i profili sanzionatori, il regolamento demanda agli stati membri:

  • la previsione di sanzioni amministrative commisurate alla rilevanza delle violazioni, anche nei confronti dell’organo di gestione dell’ente sanzionato e/o di altri soggetti responsabili;
  • la facoltà di prevedere sanzioni di natura penale.

 

Quali sono le nuove sfide per il Risk Management?

Le previsioni del regolamento DORA delineano uno scenario chiaro per le financial institution.  Per assicurare la continuità e la qualità nell’offerta di servizi finanziari al mercato è necessario:

  • adottare un approccio basato sul rischio anche per il governo e la gestione del sistema informativo aziendale
  • considerare quest’ultimo nel suo complesso: sistemi, processi, attori.

Di qui, le due principali sfide per il Risk Management aziendale:

Le principali sfide per il Risk Management

Cultura del Rischio

Promuovere la cultura del rischio informatico a tutti i livelli dell’organizzazione: verso il vertice, chiamato dal regolamento a governare anche questo rischio, e verso le altre aree aziendali, il cui contributo alla gestione dell’ICT Risk diviene determinante.

Approccio Sistemico

Guidare la transizione verso un approccio sistemico al governo del rischio informatico, mediante il quale il vertice aziendale, le funzioni di controllo, il business, l’IT e gli altri attori coinvolti possano contribuire attivamente e in modo trasparente alla gestione dell’ICT Risk, superando l’impostazione per silos.

Bene, ma dove si comincia? E quando?

Come detto in precedenza, la conformità al regolamento DORA è un lungo percorso a tappe che comincia oggi, proseguirà nei prossimi mesi con l’emanazione di 14 norme tecniche attuative – elementi del sistema di ICT Risk Management, classificazione degli incidenti, registro delle terze parti, ecc. – e si concluderà a gennaio 2025.

 

L’analisi della normativa tecnica di prossima emanazione, la definizione dei piani di intervento e le relative implementazioni occuperanno l’agenda a partire dal secondo semestre 2023 fino al traguardo finale.

Diventa dunque prioritario impiegare i prossimi mesi a disposizione per iniziare a valutare il livello di maturità del proprio sistema di governo e gestione dei rischi informatici rispetto ai nuovi requisiti del regolamento DORA.

Questo consente, inoltre, di avviare la raccolta delle molte informazioni che saranno necessarie al momento di dare inizio alle attività di analisi, pianificazione e implementazione.

Quali sono, dunque, gli elementi chiave per valutare il livello di maturità e raccogliere le principali informazioni relative all’attuale sistema di ICT Risk Management aziendale?

Proviamo a riepilogare nel seguito gli elementi più importanti.

Da cosa partire: elementi chiave del sistema di ICT Risk Management

1 – Policy & procedures

  • Politiche aziendali vigenti in materia di governo dei rischi informatici: ruoli e responsabilità, strategie per la continuità e sicurezza, flussi informativi verso gli organi aziendali.
  • Attuale quadro per la gestione dei rischi informatici: attribuzioni delle funzioni di controllo, verifiche di audit su ICT Risk Management, metodologia di ICT Risk Management, integrazione con RAF aziendale.

2 – ICT risk register

Completezza del risk register utilizzato per la valutazione e gestione di rischi, minacce, incidenti, presidi.

È opportuno valutare la completezza rispetto all’intera gamma delle categorie di rischio informatico:

  • rischio di disponibilità e continuità
  • rischio di sicurezza (cyber-security)
  • rischio connesso ai cambiamenti nell’ICT
  • rischio di integrità dei dati
  • rischio connesso alle terze parti (outsourcing)

3 – Key Risk Indicators

Completezza e significatività degli indicatori di rischio in uso per il monitoraggio, rispetto alle categorie di rischio informatico elencate in precedenza.

4 – Enterprise architecture

  • Mappatura complessiva di: funzioni aziendali, processi, ICT, terze parti.
  • Mappature parziali, ad uso di una sola funzione aziendale e/o eccessivamente dettagliate potrebbero non consentire le necessarie analisi di rischio.

Sono quindi questi, a nostro avviso, gli elementi più importanti a partire dai quali è opportuno avviare le analisi iniziali in vista della road-map di conformità descritta in precedenza.

Considerata la complessità e l’ampiezza della materia da trattare, assumeranno sempre maggiore importanza soluzioni applicative che siano in grado di supportare effettivamente i risk manager e i process owner nelle attività di valutazione e monitoraggio dei rischi, nonché nella mappatura costante dell’enterprise architecture.

Note

[1] EBA – Guidelines on ICT Risk Assessment under the SREP.

RICHIEDI UN INCONTRO

Desideri avere maggiori informazioni o richiedere un incontro con i nostri consulenti?