Regolamento DORA: le ESA lanciano una consultazione sulle prime norme tecniche

Le Autorità di vigilanza europee (congiuntamente le ESA) hanno lanciato una consultazione sulle prime norme tecniche di regolamentazione e di attuazione relative al Regolamento DORA.

L’entrata in vigore del Regolamento DORA rappresenta una svolta per la cybersecurity nel settore finanziario ed assicurativo ed il processo per conformarsi alle sue molteplici disposizioni richiede diverse attività. Il Regolamento Dora però non è esaustivo nel suo complesso e necessita l’adozione di standard tecnici regolatori specifici la cui redazione è affidata alle autorità europee di vigilanza.

Nello specifico l’European Supervisory Authority (ESA), l’European Banking Authority (EBA), l’European Securities and Markets Authority (ESMA) nonché l’European Insurance and Occupational Pensions Authority (EIOPA) sono chiamate a definire idonei standard tecnici che possano fornire delucidazioni circa le indicazioni operative sugli specifici requisiti introdotti dal Regolamento DORA. Molti di tali requisiti dovranno essere identificati entro un periodo di 12/18 mesi (a seconda dei casi) lasciando quindi alle rilevanti società la possibilità di implementare le misure identificate nei successivi mesi in ogni caso entro gennaio 2025. 

In tale ottica, negli scorsi giorni, le ESA hanno avviato una consultazione pubblica sul primo gruppo di norme tecniche di regolamentazione (RTS) e delle norme tecniche di attuazione (ITS). Questi standard tecnici mirano a garantire un quadro giuridico coerente e armonizzato nelle aree della gestione del rischio ICT, della segnalazione di incidenti gravi legati alle ICT e della gestione del rischio ICT di terzi.

Ma vediamo con più dettaglio che obblighi introducono questi primi set di norme tecniche sul Regolamento DORA.

RTS sul quadro di gestione del rischio ICT (articolo 15 del Regolamento DORA) e RTS sul quadro semplificato di gestione del rischio ICT (articolo 16 (3) del Regolamento DORA).

Data la stretta connessione tra l’art. 15 e l’art. 16 del DORA, che disciplinano entrambi alcuni aspetti del quadro di gestione del rischio ICT, i due set di standard tecnici sono stati raggruppati in un unico testo per garantire una trattazione completa e coerente del tema.

Questo primo gruppo di standard stabilisce infatti definisce in maniera più approfondita: (i) le politiche di sicurezza ICT, procedure, protocolli e strumenti (inclusi i requisiti per: governance, gestione dei rischi ICT, gestione dei beni ICT, crittografia e crittografia, sicurezza delle operazioni ICT, sicurezza di rete, gestione dei progetti ICT e dei cambiamenti, sicurezza fisica, sensibilizzazione e formazione sulla sicurezza ICT e delle informazioni); (ii) componenti di controllo sulla gestione degli accessi e le politiche sulle risorse umane; (iii) meccanismi di rilevamento e risposta agli incidenti correlati all'ICT, (iv) componenti della gestione della continuità operativa ICT, (v) contenuto e formato della relazione sulla revisione del quadro di gestione dei rischi ICT.

I requisiti stabiliti nelle RTS si integrano con i requisiti già definiti nel quadro di gestione dei rischi ICT previsto da DORA e devono quindi essere letti congiuntamente agli articoli 5-16 del DORA che trattano la stessa materia.

Rispetto al quadro semplificato di gestione dei rischi ICT, che troverebbe applicazione alle entità finanziarie più piccole o meno interconnesse, le RTS integrano i requisiti stabiliti nell'art. 16 di DORA precisando gli aspetti relativi a (i) elementi di sistemi, protocolli e strumenti per ridurre al minimo l'impatto del rischio ICT, (ii) gestione della continuità operativa ICT e (iii) relazione sulla revisione del quadro di gestione dei rischi ICT.

RTS sui criteri per la classificazione degli incidenti ITC (articolo 18 (3) del Regolamento DORA)

Il secondo gruppo di standard tecnici specificano requisiti armonizzati per la classificazione degli incidenti ICT da parte delle entità finanziarie. In particolare, gli RTS definiscono l'approccio di classificazione e le soglie di rilevanza per identificare gli incidenti ICT significativi, per i quali scatta quindi l’obbligo di segnalazione alle autorità competenti, e i criteri e le soglie da adottare nella classificazione delle minacce informatiche significative. Individuano inoltre i criteri che le autorità competenti dovrebbero adottare per valutare la rilevanza degli incidenti ICT significativi nei confronti delle autorità competenti negli altri Stati membri e i dettagli delle informazioni da condividere con esse.

ITS per stabilire i modelli per il registro delle informazioni (art. 28(9) del Regolamento DORA)

Il terzo set di norme di attuazione (ITS) individua alcuni modelli armonizzati che le entità finanziarie dovrebbero adottare per redigere il registro delle informazioni sugli accordi contrattuali conclusi con i fornitori di servizi ICT a livello individuale, consolidato e sub-consolidato (ai sensi dell’articolo 28(3 DORA)).

I modelli sono stati ideati tenendo conto della triplice finalità che ha il registro delle informazioni, ossia: (i) essere un elemento strutturale del quadro di gestione dei rischi ICT delle entità finanziarie; (ii) consentire la supervisione efficace delle entità finanziarie; (iii) consentire all’ESA di vigilare sulla contrattualizzazione di fornitori di servizi ICT ritenuti critici a livello dell'UE.

Per semplificare l'impostazione dei registri da parte delle entità finanziarie, la bozza degli ITS contiene due diversi set di modelli per i registri a livello di singola entità e a livello sub-consolidato e consolidato.

RTS per le policy sui servizi ITC forniti da fornitori terzi (articolo 28 (10) del Regolamento DORA

Infine, questo quarto gruppo di RTS si focalizza sulle fasi del ciclo di vita relativo alla gestione degli accordi conclusi con le terze parti ICT. Nello specifico, le norme tecniche definiscono il contenuto delle policy sull'utilizzo dei servizi ICT che supportano funzioni critiche o importanti, dettagliando i seguenti aspetti: (i) la fase pre-contrattuale (ovvero la pianificazione degli accordi contrattuali, compresa la valutazione del rischio, la due diligence e il processo di approvazione di nuovi o significativi cambiamenti a tali accordi contrattuali di terze parti); (ii) l'implementazione, il monitoraggio e la gestione degli accordi contrattuali per l'uso dei servizi ICT che supportano funzioni critiche o importanti; (iii) la strategia di uscita e i processi di terminazione. Gli standard sono stati sviluppati facendo leva sull'esperienza con gli accordi di outsourcing della gestione.

La consultazione pubblica sul primo lotto degli standard tecnici è aperta fino all'11 settembre 2023. Sulla base dei risultati delle consultazioni gli standard tecnici verranno finalizzati e presentati alla Commissione Europea entro il 17 gennaio 2024 in modo da permettere l’adozione in tempo per l’applicazione del Regolamento DORA a partire dal 17 gennaio 2025.

Rimane però ancora un secondo lotto di standard tecnici che dovrebbero essere pubblicati ai fini della consultazione pubblica entro il dicembre 2023. Questo riduce di molto il tempo per la finalizzazione dei documenti e quindi per la successiva adozione.

Resta inteso che gli standard tecnici sopra descritti devono sempre essere letti congiuntamente al Regolamento DORA. Abbiamo descritto le molteplici novità di tale Regolamento nell’articolo “In vigore il Regolamento DORA: nuovi obblighi di cybersecurity per banche, assicurazioni e finanziarie”.