Regolamento DORA: prime prove di normativa secondaria
Il 17 gennaio 2025 segnerà l'entrata in vigore del Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act o, più semplicemente, DORA. Insieme al Regolamento sui mercati delle cripto-attività, fa parte del c.d. pacchetto sulla finanza digitale. DORA rappresenta un passo rivoluzionario per il settore finanziario e i fornitori di servizi ICT, introducendo obblighi significativi per rafforzare la resilienza operativa digitale.
Il Regolamento ha altresì dato mandato alle autorità europee di vigilanza (EBA, EIOPA e ESMA – le European Supervisory Authorities o ESA) di elaborare gli implementing technical standard (ITS) e i regulatory technical standard (RTS). Si tratta di norme secondarie che hanno lo scopo di armonizzare, chiarire e specificare le norme di DORA.
Lo scorso 17 gennaio le ESA hanno pubblicato il primo set di ITS e RTS che è ora sotto il vaglio della Commissione Europea.
Con questo ed i successivi articoli andremo ad analizzare il contenuto di questo primo set di ITS e RTS, valutandone l’impatto e la possibile implementazione da parte dei soggetti interessati.
Per cominciare occorre ripercorrere la procedura di approvazione degli RTS e ITS. Ciò al fine di avere un quadro chiaro dei prossimi passi e delle tempistiche che è possibile aspettarsi per l’approvazione definitiva degli standard.
La procedura per l’entrata in vigore degli RTS e ITS è disciplinata dai Regolamenti (UE) 2010/1093, 2010/1094, e 2010/1095, che delineano un processo che, seppur simile nelle sue fasi fondamentali, presenta specificità legate al tipo di norma tecnica in esame. I passi fondamentali della procedura possono riassumersi come segue:
- le ESA elaborano una primissima bozza di standard e la sottopongono a consultazioni pubbliche;
- a seguito delle osservazioni pervenute durante le consultazioni, le ESA modificano le bozze e, entro le scadenze fissate dal Regolamento (17 gennaio per il primo set, 17 luglio per il secondo set) pubblicano le bozze finali e le sottopongono alla Commissione per l’approvazione;
- la Commissione ha a disposizione 3 mesi per approvare, rigettare o proporre modifiche agli standard. Il termine è prorogabile di 1 mese con riferimento agli ITS;
- ove rigetti o proponga modifiche alle bozze, la Commissione restituisce le bozze alle ESA che, nel termine di 6 settimane, appongono le necessarie modifiche al testo per adeguarlo alle osservazioni della Commissione;
- una volta ricevuto il testo modificato, la Commissione può adottare gli standard, accettando tutte o parte delle modifiche effettuate.
Con riferimento agli RTS è altresì previsto il possibile intervento del Parlamento Europeo e del Consiglio. Questi possono, entro 3 mesi dalla notifica di adozione degli RTS da parte della Commissione, sollevare obiezioni allo standard. Il termine di 3 mesi può essere prorogato di ulteriori 3 mesi.
Qualora vengano sollevate obiezioni nei termini prescritti, lo standard non entrerà in vigore. In caso contrario, si intenderà adottato.
Nell’attesa dell’approvazione definitiva, dunque, gli standard pubblicati dalle ESA rappresentano delle linee guida che i soggetti interessati possono seguire, avendo cura che i principi e i requisiti previsti dal Regolamento DORA siano correttamente adottati, sia con riferimento ai rapporti con i fornitori, sia nella gestione interna del rischio cyber.
Nelle prossime settimane pubblicheremo una disamina più puntuale delle bozze di RTS e ITS pubblicate dalle ESA, insieme ad una raccolta di video pillole per analizzare gli aspetti più significativi di DORA.
