#finsubito Agevolazioni Finanziamenti

#finsubito

DORA, si apre la partita dell’attuazione: ecco come

DiAdessonews

Mar 5, 2025 #apre, #dellattuazione, #DORA, #ecco, #Partita
DORA, si apre la partita dell’attuazione: ecco come

Effettua la tua ricerca

More results...

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Filter by Categories
#finsubito

Contributi e agevolazioni

per le imprese

 


Dalla pubblicazione del Regolamento DORA (Digital Operational Resilience Act) nel dicembre 2022, gli operatori del settore finanziario sono stati “attenzionati” al rispetto degli obblighi in materia di sicurezza ICT conseguenti alla sua applicazione.

Ora, dopo la piena applicabilità scattata lo scorso 17 gennaio 2025, inizia la partita dell’attuazione con la pubblicazione della bozza di decreto che rafforza ulteriormente il Regolamento europeo estendendone l’ambito, specificando i profili sanzionatori fino a prevedere misure di interdizione temporanea per i responsabili.

Dunque, è tempo di responsabilità reale in tema di sicurezza informatica per i soggetti di mercato del settore finanziario.

Microcredito

per le aziende

 

Il Regolamento DORA, lo ricordiamo, nella sua formulazione prevede l’applicazione delle misure di sicurezza e resilienza per le entità che erogano servizi finanziari critici ovvero, istituzioni finanziarie tradizionali (istituti di credito e banche), istituti di pagamento, istituti di moneta elettronica, imprese di investimento, società di assicurazione e riassicurazione, agenzie di rating del credito) e per entità finanziarie emergenti (fornitori di servizi di cripto-asset, CASP), fornitori di servizi di crowdfunding, gestori di fondi di investimento alternativi (GEFIA), società di gestione di OICVM.

Ma la bozza di decreto legislativo (atto 242 e relativo Dossier esplicativo) recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, apporta alcune modifiche di estensione dell’ambito e specifica sia le autorità competenti per il controllo e la cooperazione, che quelle di vigilanza, definendo l’entità delle sanzioni e anche altre misure tese a scoraggiare l’inosservanza delle misure di sicurezza e resilienza richieste dalla normativa DORA.

DORA, le novità del decreto attuativo

L’atto del Governo n 242 si presenta con 6 sezioni che trattano le disposizioni generali, le Autorità competenti DORA e i principi di Cooperazione, la sezione che estende l’ambito agli intermediari finanziari, i poteri di vigilanza e le sanzioni, e altri due capi destinati a modifiche della normativa di settore e le disposizioni finali.

Estensioni

L’estensione dell’ambito di applicazione del DORA interessa per legge i soggetti che operano come intermediari finanziari BancoPosta Fondi S.p.A SGR, CDP Cassa Depositi e Prestiti e agli intermediari finanziari di cui al decreto legislativo 385/1993 (Testo Unico Bancario), specificando però che la Banca d’Italia può individuare “una categoria di intermediari finanziari da considerarsi «significativi» (anche per tipologia di attività svolte), a cui applicare l’ICT risk management framework completo, in luogo di quello semplificato”.

Autorità di vigilanza

Proprio la Banca d’Italia è designata alla supervisione (articolo 3 dello schema di decreto legislativo) unitamente ad altre entità di controllo: Consob, IVASS, COVIP e l’Agenzia per la Cybersicurezza Nazionale, con specifici protocolli di coordinamento per la gestione degli incidenti ICT (che devono essere segnalati allo CSIRT nazionale mantenendo una collaborazione tra le autorità di vigilanza per una risposta tempestiva ed efficace).

Obblighi

Gli obblighi già previsti dal Regolamento DORA impongono una serie di azioni specifiche per realizzare la resilienza operativa fra cui tra le altre, test periodici di resilienza operativa, con alcune semplificazioni previste per le microimprese, senza dimenticare alcuni obblighi imposti ai fornitori di servizi ICT, che si rapportano con le entità finanziarie in un’ottica di sicurezza della catena di fornitura per la costruzione e consolidamento di un ecosistema digitale sicuro e resiliente ad attacchi o disservizi causati da avversari digitali a qualunque titolo (cybercrime, attivismo, destabilizzazione geopolitica, concorrenza sleale ecc.).

Sanzioni

L’art. 10 è dedicato alle sanzioni amministrative e alle misure di interdizione da 6 mesi a massimo 3 anni per le persone fisiche “che svolgono funzioni di amministrazione, direzione o controllo e del personale delle società e degli enti nei confronti dei quali sono accertate le violazioni”.

Ma i soggetti apicali “che svolgono funzioni di amministrazione, direzione o controllo del personale” possono essere soggetti a sanzioni “quando l’inosservanza è conseguenza della violazione dei doveri propri o dell’organo di appartenenza e la condotta ha inciso sull’organizzazione o sui profili di rischio aziendali o ha contribuito a determinare la violazione da parte dell’ente” (importi da “5.000 euro a 5 milioni, in caso di condotte più gravi o fino a 3,5 milioni in caso di condotte meno gravi”).

Finanziamenti e agevolazioni

Agricoltura

 

Le sanzioni sono proporzionate alla gravità delle violazioni e alla tipologia di soggetto coinvolto. Ma in generale dal Dossier correlato all’atto 242 si apprende che le autorità di Vigilanza possono tenere conto:

  1. “della rilevanza, della gravità e della durata della violazione;
  2. del grado di responsabilità della persona fisica o giuridica responsabile della violazione;
  3. della solidità finanziaria della persona fisica o giuridica responsabile;
  4. dell’importanza degli utili realizzati o delle perdite evitate da parte della persona fisica o giuridica responsabile, nella misura in cui possano essere determinati;
  5. delle perdite subite da terzi a causa della violazione, nella misura in cui possano essere determinate;
  6. del livello di cooperazione che la persona fisica o giuridica responsabile ha dimostrato nei confronti dell’autorità competente, ferma restando la necessità di garantire la restituzione degli utili realizzati o delle perdite evitate da tale persona fisica o giuridica;
  7. delle precedenti violazioni commesse dalla persona fisica o giuridica responsabile”.

Le sanzioni vanno da 30k fino a raggiungere il 10% del fatturato per banche e intermediari finanziari, da 30k a fino a euro 3,5 milioni ovvero fino al 7 per cento del fatturato per assicurazioni e fondi pensione e da 30k fino a 5 milioni di euro o il 10% del fatturato per i fornitori di servizi ICT critici. nel caso dei depositari centrali di titoli e dei relativi fornitori di servizi TIC, in caso di sanzioni gravi, il minimo edittale rimane 30mila euro, mentre il massimo è di 20 milioni o il 10% del fatturato, qualora sia superiore.

Nell’articolo 10 si fa riferimento alle sanzioni applicate dalle singole autorità: Banca d’Italia, IVASS, COVIP, Consob.

Entrata in vigore del regolamento DORA

L’art. 17 specifica come l’entrata in vigore sia fissata fin dal “17 gennaio 2025. Salvo quanto previsto al primo periodo, l’articolo 6, commi 1 e 2, si applica dal primo gennaio 2027”.

Osservazioni sulla componente finanziaria della sicurezza

Ancora una volta l’adeguamento al regime italiano specifica chiaramente che non ci saranno risorse economiche aggiuntive a gravare la finanza pubblica (clausola di invarianza finanziaria, come avvenuto per altre normative di sicurezza n.d.r.) ed indica infatti come: “dal recepimento della normativa UE non debbano derivare nuovi o maggiori oneri a carico della finanza pubblica e che le amministrazioni competenti provvedono all’adempimento dei compiti derivanti dall’esercizio delle deleghe previste con le risorse umane, strumentali e finanziarie già disponibili a legislazione vigente” (art. 16).

Una formulazione questa che rende chiaro per tutti come la pianificazione degli investimenti a copertura degli interventi di sicurezza informatica debba essere valutata e poi applicata come parte del budget di ogni singola entità chiamata all’adeguamento normativo e tecnico.

Non si tratta quindi di spendere di più per la sicurezza, come lamentano coloro che a fronte di un obbligo normativo tendono a considerare la sicurezza come una spesa aggiuntiva, bensì l’adeguamento alla normativa di resilienza operativa è una occasione di riequilibrare in modo diverso le risorse economiche di ogni entità, prevedendo anche budget specifici destinati alla sicurezza e quindi alla resilienza del business che così può beneficiare di una maggiore solidità e robustezza rispetto agli eventuali eventi avversi (incidenti di sicurezza) di cui è densa la cronaca nazionale e internazionale.

Cessione crediti fiscali

procedure celeri

 



Source link

***** l’articolo pubblicato è ritenuto affidabile e di qualità*****

Visita il sito e gli articoli pubblicati cliccando sul seguente link

Source link

Di Adessonews

Articoli correlati

#finsubito

Dal cuore di Siracusa, i trend gastronomici che faranno parlare (e mangiare) il mondo

Mar 6, 2025 Adessonews
#finsubito

case a Trevignano, Treviso — idealista, N.1 in Italia

Mar 6, 2025 Adessonews
#finsubito

una stagione di successi e novità per il 2025 in Toscana

Mar 6, 2025 Adessonews

You missed

#finsubito

Dal cuore di Siracusa, i trend gastronomici che faranno parlare (e mangiare) il mondo

6 Marzo 2025 Adessonews Nessun commento
#finsubito

case a Trevignano, Treviso — idealista, N.1 in Italia

6 Marzo 2025 Adessonews Nessun commento
#finsubito

una stagione di successi e novità per il 2025 in Toscana

6 Marzo 2025 Adessonews Nessun commento
#finsubito

Opzione donna 2025, si va verso la class action? Gli ultimissimi aggiornamenti

6 Marzo 2025 Adessonews Nessun commento