Article

Approvato il Digital Operation Resilience Act dell’UE: implicazioni per il settore finanziario

Regulatory News Alert

Key findings

  • Nella sessione plenaria del Parlamento Europeo del 10 novembre è stato raggiunto l’accordo finale sul Digital Operational Resilience Act (DORA) che rappresenta la più importante iniziativa regolamentare a livello UE in materia di resilienza operativa e sicurezza informatica nel settore dei servizi finanziari (FS) e costituisce un notevole passo avanti verso il consolidamento e l’evoluzione dei requisiti normativi per gli operatori di mercato in ambito ICT.
  • Il DORA richiede agli operatori di adottare una visione aziendale più ampia della resilienza, con chiare e rafforzate responsabilità per gli Organi aziendali e il top management; si applica alla maggioranza degli operatori del settore finanziario che operano nell’UE e stabilisce regole vincolanti per la gestione del rischio ICT, il reporting degli incidenti, i test di resilienza e la gestione del rischio di terze parti (TPRM).
  • Il DORA costituisce inoltre il primo framework normativo al mondo che consente alle autorità di vigilanza FS di supervisionare i fornitori di servizi ICT critici (CTPPs), compresi i fornitori di servizi cloud (CSPs).
  • Il Regolamento fornisce agli operatori una base su cui iniziare da subito a lavorare per indirizzare la fase attuativa. Gli operatori sono pertanto chiamati a condurre un’analisi di impatto finalizzata all’identificazione dei gap e delle aree evolutive sui quali sviluppare una roadmap per l’implementazione di un robusto framework di operational resilience entro il quarto trimestre 2024, in linea con i nuovi requisiti.
  • Il DORA non rappresenta solo un vincolo regolamentare ma un vero e proprio acceleratore nel processo evolutivo dei sistemi di gestione dei rischi digitali, oltre ad essere un’opportunità per gli operatori di rafforzare il livello di comprensione e valutazione dell’impatto degli incidenti/interruzioni operative sul proprio business e sui clienti.
    La presente analisi, realizzata dal Deloitte Centre for Regulatory Strategy con il contributo degli esperti di Deloitte di tutta Europa, approfondisce i significativi cambiamenti e le potenziali sfide che gli operatori dovranno affrontare per l’attuazione dei cinque pilastri del DORA.

Overview

A seguito di approfondite negoziazioni a livello UE è stato raggiunto un accordo tecnico completo sul regolamento DORA. Mancano solo pochi passi per la chiusura dell’iter amministrativo con la pubblicazione sulla Gazzetta Ufficiale dell’UE. Il testo completo del regolamento è già stato pubblicato dal Parlamento europeo e gli operatori del settore finanziario devono quindi iniziare a valutarne gli impatti sul proprio modello di business, organizzativo e operativo. Siamo convinti che DORA sarà un “game changer” che spingerà gli operatori di servizi finanziari a comprendere appieno come le loro attuali prassi di gestione in ambito ICT Risk, Cyber e Gestione del Rischio Terze Parti impattano sul livello di resilienza delle loro funzioni più critiche, spingendo verso lo sviluppo di capacità di resilienza operativa completamente nuove, come metodologie avanzate di testing degli scenari di rischio.

Gli operatori del settore avranno a disposizione un periodo relativamente contenuto di 24 mesi per adeguarsi ai nuovi standard regolamentari. Il periodo di implementazione inizierà dopo 20 giorni dalla pubblicazione sulla Gazzetta Ufficiale dell’UE (prevista per novembre 2022). Ciò significa che, entro il quarto trimestre del 2024, le autorità di vigilanza competenti si aspetteranno che le entità di settore siano pienamente conformi ai nuovi requisiti del DORA, incluse le previsioni che saranno contenute nella regolamentazione di livello 2 che sarà definita dalle autorità di regolamentazione europee (cfr. Parte II di seguito).

L'hai trovato interessante?