Il Regolamento DORA (Digital Operational Resilience Act), entrato in vigore il 16 gennaio 2023, ha delineato un quadro dettagliato per la resilienza operativa digitale e posto le Entità Finanziarie di fronte ad una serie di sfide che richiedono un’approfondita comprensione e un pronto piano d’azione da intraprendere entro il 17 gennaio 2025, quando il Regolamento diventerà vincolante.
La nuova normativa integra e rafforza i requisiti volti a garantire la resilienza delle istituzioni finanziarie e armonizza in un quadro organico le precedenti norme e practice di settore.
DORA e termini temporali
A gennaio 2024, nel rispetto delle scadenze imposte dalla normativa, le Autorità Europee di Vigilanza hanno presentato alla Commissione Europea il primo gruppo di Regulatory Technical Standards (RTS), ossia quegli strumenti normativi utilizzati per dettagliare tecnicamente e per complementare la legislazione primaria europea.
I quattro standard, che devono essere approvati dalla Commissione entro tre mesi dalla ricezione, delineano le specifiche tecniche per garantire la resilienza operativa digitale delle Entità Finanziarie.
Nel dettaglio, il primo insieme di documenti specifica:
- il quadro di gestione del rischio ICT e la sua versione semplificata;
- la classificazione degli incidenti ICT più significativi;+
- la necessità di adottare una politica sui servizi ICT prestati da fornitori terzi;
- il relativo registro delle informazioni.
Entro il 17 luglio 2024, invece, sarà pubblicato il secondo gruppo di RTS riguardanti tematiche tra cui:
- processi di segnalazione dei major incidents;
- criteri e metodologie per i Threat Lead Penetration Tests;
- accordi di subappalto di servizi ICT che supportano funzioni critiche o importanti.
L’implementazione del Regolamento
L’implementazione di DORA ha significativi impatti su normativa interna, modello di valutazione dei rischi, organizzazione e processi aziendali che richiedono l’impegno di un team con competenze multidiscipinari.
Diventa cruciale per le Entità Finanziarie adeguarsi alla nuova normativa, adottando azioni immediate in considerazione del periodo residuo di implementazione.
Non si tratta di un mero adempimento normativo; infatti, la resilienza operativa è un elemento imprescindibile per le imprese, al fine di mettere al sicuro le proprie operazioni.
È essenziale condurre un’analisi delle lacune nelle pratiche di gestione del rischio ICT e nella governance esistente, nonché individuare e documentare gli asset critici ed i processi supportati.
Le Entità Finanziarie dovranno, inoltre, effettuare una valutazione della maturità nella gestione e classificazione degli incidenti, ponendo particolare attenzione sulla tempestività e sulla capacità di segnalare incidenti significativi entro i termini stabiliti alle Autorità competenti con riferimento ai nuovi parametri introdotti da DORA.
La valutazione e la gestione dei contratti con i fornitori di servizi ICT dovrà essere armonizzata con i requisiti normativi e risulterà essere essenziale per sviluppare una strategia efficace di contenimento del rischio.
Planetica, forte della sua consolidata esperienza nel settore bancario e assicurativo, si pone come partner di fiducia per le Entità Finanziarie che dovranno fronteggiare le sfide imposte dal Regolamento DORA.
Grazie al proprio approccio personalizzato, offre servizi di consulenza su misura, affrontando le complessità delle nuove normative tramite un approccio sartoriale e fornendo un supporto consulenziale calibrato in base alle dimensioni, alla natura ed alle specifiche esigenze dei suoi clienti.
I professionisti di Planetica sviluppano soluzioni focalizzate sul business, affinando best practice che abbracciano sia il panorama locale sia internazionale, e garantiscono interventi pertinenti, esaustivi ed accurati.
L’ampia gamma di servizi dedicati all’industria finanziaria in ambito di conformità normativa, di definizione dei modelli di valutazione dei rischi operativi e ICT e del livello di maturità dell’azienda, di ottimizzazione dei processi aziendali, di selezione dei più appropriati strumenti software, uniti all’adozione di un approccio personalizzato, sono i fattori distintivi che consentono a Planetica di offrire un vantaggio competitivo ai propri clienti.