Trompe l’oeil è una tecnica pittorica naturalistica, basata sull'uso del chiaroscuro e della prospettiva, che riproduce la realtà in modo tale da sembrare agli occhi dello spettatore illusione del reale: una parvenza di perfezione che però non esiste
A questo assomiglia il Regolamento DORA, che stabilisce i requisiti per la sicurezza delle reti e dei sistemi informativi delle imprese e delle organizzazioni che operano nel settore finanziario e assicurativo.
Ha l’obiettivo principale di creare un quadro normativo destinato alle imprese per ottenere la resilienza operativa digitale grazie alla resistenza e alla reazione alle minacce informatiche.
Eppure l'Autorità europea di vigilanza (ESA) ha avviato una consultazione sui primi standard tecnici di regolamentazione e attuazione relativi al Regolamento.
Ma andiamo per gradi e ripassiamo velocemente in cosa consiste DORA.
I punti cardine del regolamento DORA
Il regolamento DORA verte su 3 principi fondamentali:
Governance e organizzazione interna
Le entità finanziarie per raggiungere un elevato livello di resilienza operativa digitale devono dotarsi di una governance interna e di un quadro di controllo che garantisca una gestione efficace e prudente di tutti i rischi ICT.
Questo per poter attribuire una serie definita di compiti all’organo di gestione dell’ente finanziario, che rimane il principale responsabile della gestione complessiva dei rischi ICT.
Risk management
Le entità finanziarie devono disporre di un quadro di gestione del rischio ICT solido, completo e ben documentato come parte del loro sistema complessivo di gestione del rischio.
Gli operatori devono utilizzare strumenti e sistemi di ICT capaci di ridurre al minimo l’impatto dei relativi rischi, oltre a identificare prontamente tutte le fonti di rischio e implementare meccanismi in grado di rilevare attività anomale, nonché adottare procedure interne, misure di protezione e prevenzione.
Incident management e reporting
Le entità finanziarie devono prevedere e implementare politiche di continuità operativa, sistemi e piani di ripristino in caso di disastro relativo alle ICT, rilevare vulnerabilità, minacce, incidenti e attacchi informatici per valutare le possibili conseguenze sulla loro resilienza operativa digitale e prevedere piani di comunicazione nei confronti dei vari stakeholder.
L’autorità di vigilanza europea avvia la consultazione su DORA
La tecnica pittorica che ha origine nell’antica Grecia non ha effetto sugli esperti di pittura, così come il regolamento DORA non risulta perfetto agli occhi degli esperti privacy.
Così, il punto di svolta per la sicurezza informatica nei settori finanziario e assicurativo rappresentato dal nuovo Regolamento non è un punto di svolta del tutto esaustivo, bensì richiede l'adozione di specifiche norme.
L'Autorità europea di vigilanza (ESA), l'Autorità bancaria europea (EBA), l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) hanno redatto norme tecniche di regolamentazione (RTS) e norme tecniche di attuazione (ITS).
1. RTS sul quadro di gestione del rischio ICT e RTS sul quadro semplificato di gestione del rischio ICT
I requisiti del RTS integrano quelli già stabiliti nel framework di gestione del rischio ICT fornito da DORA.
Rispetto al quadro di gestione del rischio ICT semplificato, che si applicherebbe a entità finanziarie più piccole o meno interconnesse, l'RTS integra alcuni requisiti del DORA e specifica gli aspetti relativi a:
- Elementi di sistemi;
- Protocolli e strumenti per ridurre al minimo l'impatto del rischio ICT;
- La gestione della continuità operativa ICT;
- Il rapporto di revisione del framework di gestione del rischio ICT.
2. RTS sui criteri per la classificazione degli incidenti ITC
Il secondo gruppo di norme tecniche specifica i requisiti armonizzati per la classificazione degli incidenti ITC da parte degli enti finanziari.
Il RTS definisce:
- L'approccio di classificazione e le soglie di materialità per l'identificazione degli incidenti ICT significativi per i quali scatta poi l'obbligo di segnalazione alle autorità competenti;
- I criteri e le soglie da adottare nella classificazione delle minacce informatiche significative;
- I criteri che le autorità competenti dovrebbero adottare per valutare la rilevanza di incidenti TIC significativi per le autorità competenti di altri Stati membri e i dettagli delle informazioni da condividere con esse.
3. ITS per stabilire modelli per il registro delle informazioni
Il terzo insieme di norme attuative individua alcuni modelli armonizzati che gli enti finanziari dovrebbero adottare per costituire il registro delle informazioni sugli accordi contrattuali conclusi con i fornitori di servizi ICT a livello individuale, consolidato e subconsolidato.
I modelli sono stati progettati tenendo presente il triplice scopo del registro delle informazioni:
- Essere un elemento strutturale del quadro di gestione del rischio ICT delle entità finanziarie;
- Consentire un'efficace vigilanza sugli enti finanziari;
- Consentire all'ESA di supervisionare la stipulazione di contratti con fornitori di servizi TIC ritenuti critici a livello dell'UE).
Per semplificare l'impostazione dei registri da parte delle entità finanziarie, la bozza di ITS contiene due serie di modelli per i registri a livello di singola entità e a livello subconsolidato e consolidato.
4. RTS per le politiche sui servizi ITC forniti da fornitori di terze parti
Infine, questo quarto gruppo di RTS si concentra sulle fasi del ciclo di vita relative alla gestione degli accordi conclusi con fornitori ICT terzi.
Le norme tecniche definiscono il contenuto delle politiche sull'uso dei servizi ICT a supporto delle funzioni critiche, dettagliando questi aspetti:
- La fase precontrattuale (ovvero la pianificazione degli accordi contrattuali, inclusa la valutazione dei rischi, la due diligence, e il processo di approvazione per modifiche nuove o significative a tali accordi contrattuali di terze parti);
- L'implementazione, il monitoraggio e la gestione degli accordi contrattuali per l'utilizzo dei servizi ICT a supporto delle funzioni critiche;
- La strategia di uscita e i processi di cessazione. Gli standard sono stati sviluppati sfruttando l'esperienza con gli accordi di outsourcing gestionale.