Il Regolamento DORA ridefinisce la gestione del rischio ICT nel settore bancario, introducendo obblighi su resilienza operativa, test e controllo dei fornitori critici. L’articolo analizza governance, strumenti di testing e integrazione con NIS2, evidenziando un modello di resilienza digitale condivisa.
Nell'articolo
Il Regolamento DORA
Quanto segue ha l’obiettivo di offrire un approfondimento su quella che rappresenta una delle normative che negli ultimi anni si è meritata una particolare attenzione: il Regolamento europeo 2022/2554, conosciuto come DORA (Digital Operational Resilience Act), il quale fornisce un’opportunità strategica per costruire un settore finanziario più resiliente e capace di affrontare sfide molteplici nel panorama digitale in continua espansione.
Regolamento DORA: gestione del rischio ICT e resilienza operativa
L’importanza del DORA sta nell’aver spostato il rischio ICT dal dominio tecnico a una responsabilità diretta del vertice aziendale, affidando al top management i compiti di definire strategie, policy e controlli coerenti con gli obiettivi di resilienza operativa. La normativa prevede un approccio integrato che mira non soltanto a garantire la sicurezza dei dati personali ma anche dei dati non personali, il cui valore strategico è diventato progressivamente sempre più importante.
Il concetto di privacy, infatti, viene ampliato per ricomprendere quello di riservatezza e continuità operativa. Inoltre, l’importanza del Regolamento sta nel promuovere in azienda tematiche legate alla cybersecurity, incentivando così lo sviluppo della cultura aziendale e riconoscendo che la resilienza digitale è strettamente collegata alla fiducia degli stakeholder e alla capacità dell’organizzazione di mantenere operativi i servizi fondamentali in situazioni di criticità.
Identificazione e classificazione dei rischi
Più nel dettaglio, il DORA richiede al sistema finanziario di adottare un approccio strutturato, basato sul rischio e integrato nel sistema della governance aziendale. Le organizzazioni devono identificare e classificare i rischi digitali, individuare le funzioni critiche e valutare l’impatto operativo di eventuali interruzioni. Tale approccio consente di creare un ambiente ibrido con una visione chiara dei rischi potenziali per poter prendere decisioni coerenti e tempestive in caso di eventi avversi.
Regolamento DORA: ruoli e responsabilità
Il Regolamento DORA attribuisce un ruolo centrale agli organi di governo degli enti, superando una volta per tutte l’idea del rischio ICT come qualcosa di esclusivo di una struttura IT. L’articolo 5 del Regolamento afferma che “l’organo di gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi informatici, vigila su tale attuazione e ne è responsabile”.
Il board aziendale è responsabile della supervisione della gestione del rischio, della definizione di strategie di resilienza e dell’allineamento tra sicurezza ICT, business continuity e compliance. Non si tratta più di delegare questo tipo di rischio esclusivamente a funzioni specializzate, ma di affrontarlo come una questione strategica rilevante attraverso sistemi strutturati. La governance deve assicurare che la gestione del rischio relativo alla resilienza operativa sia documentata con un apparato documentale idoneo (“robusto”), monitorata e revisionata periodicamente, integrandola nei processi decisionali dei vertici aziendali.
Test di resilienza e simulazioni
Il Regolamento attribuisce un ruolo centrale anche alla parte di test, qualificandoli come strumenti necessari per valutare la capacità dell’organizzazione in caso di particolare necessità e urgenza.
Stresss test, simulazioni di incidenti e penetration test sono solo alcuni dei metodi utilizzati per testare le misure presenti. Quello che è importante è che siano progettate difese idonee al rischio inerente, alla dimensione e alla complessità dell’ente in quanto costituiscono strumenti essenziali per misurare vulnerabilità e capacità di risposta dell’organizzazione. Questi strumenti costituiscono una base oggettiva per prendere decisioni strategiche di governance adeguate e per una corretta priorizzazione degli interventi.
Governance della supply chain ICT
Altra particolarità del DORA è rappresentata dall’estensione del rischio ICT ai fornitori e ai partner di servizi critici, determinando l’identificazione e la classificazione dei soggetti strategici per la resilienza. Questo passaggio consente alle istituzioni finanziarie di comprendere meglio la complessità della supply chain e di individuare i punti di maggiore vulnerabilità, garantendo decisioni di governance affidabili.
La resilienza digitale diventa un obiettivo comune; per questo motivo, è responsabilità delle istituzioni finanziarie garantire che i fornitori rispettino standard di sicurezza e riservatezza dei dati esercitando la propria governance su tutta la supply chain, definendo ruoli precisi e reportistica continua al fine di determinare una gestione del rischio che, in situazioni di criticità, limiti l’esposizione a fattori esterni seguendo un modello coordinato.
Integrazione con la Direttiva NIS2
L’approccio integrato che il legislatore intende perseguire nello sviluppo dell’attuale contesto normativo europeo, lo si riscontra dal confronto del DORA con altre normative “digitali” quali la Direttiva NIS2, il Cyber Resilience Act e il Cybersecurity Act.
Aspetti comuni e differenze
In particolare, è interessante sottolineare alcuni aspetti comuni e differenze con la Direttiva NIS2.
Da un certo punto di vista, infatti, il DORA è come se si ponesse in un rapporto di lex specialis rispetto alla prima, declinando obblighi generali per operatori di servizi essenziali e fornitori di servizi digitali in maniera specifica per il settore finanziario. Tuttavia, se il campo di applicazione rappresenta una differenza, dal punto di vista della governance e del risk management, i punti di contatto sono molteplici e includono lo sviluppo di policy interne, di sistemi di reportistica e di processi strutturati di gestione degli incidenti, con un livello di dettaglio operativo maggiore nel DORA rispetto alla NIS2 che adotta un approccio più generale e flessibile.
Integrazione tra le due normative
L’integrazione delle due normative consente di ottimizzare la governance, evitando duplicazioni e garantisce una gestione del rischio coerente con le best practices europee. Il DORA può, quindi, essere utilizzato come framework operativo per allineare le policy interne agli obblighi più generali della Direttiva NIS2, consolidando la resilienza operativa e strategica e assicurando un allineamento costante con gli altri standard europei.
Regolamento DORA: conclusioni
In conclusione, il DORA rappresenta un’opportunità strategicamente importante per ridefinire la gestione della funzione ICT come elemento centrale della governance aziendale. Introduce responsabilità chiare, strumenti di misurazione del rischio e test di resilienza operativa, promuovendo un modello condiviso all’interno della supply chain. Attraverso tale approccio olistico e trasversale, le istituzioni finanziarie possono trarne un vantaggio competitivo garantendo sicurezza e continuità dei servizi, valorizzando la governance e consolidando un modello di risk management sostenibile nel tempo e coerente con il complesso quadro normativo europeo.
Consulente senior nel settore Governance, Risk & Compliance, ha esperienza in privacy e sicurezza delle informazioni.
Laureato in Giurisprudenza a Torino e specializzato in cybersecurity al Politecnico di Milano, opera in contesti internazionali complessi e multiculturali. È lead auditor certificato Europrivacy, ISO 27001 e ISO 42001 e supporta le organizzazioni nell’adeguamento alle normative digitali europee.