Effettua la tua ricerca
More results...
Contributi e agevolazioni
per le imprese
Dal 17 gennaio 2025, due anni dopo la sua introduzione, è pienamente operativo il regolamento Ue Dora, che si rivolge agli enti finanziari al fine di migliorare la sicurezza informatica e armonizzarla su base europea
Il Digital Operational Resilience Act (Dora), formalmente Regolamento UE 2022/2554, è una normativa dell’Unione Europea volta a rafforzare la resilienza operativa digitale del settore finanziario. Entrato in vigore ufficialmente due anni fa, il 16 gennaio 2023, il regolamento troverà piena applicazione a partire dal 17 gennaio 2025. Lo scopo principale è quello di assicurare che le entità finanziarie siano preparate a resistere a gravi interruzioni operative e minacce informatiche, in modo da garantire la continuità dei servizi essenziali e la protezione dei dati dei clienti. Devono rispettare il regolamento enti quali banche, società di investimento e istituti di credito, fornitori di servizi relativi alle criptovalute e piattaforme di crowdfunding.
Conto e carta
difficile da pignorare
A chi si rivolge
Sono circa venti le tipologie di entità finanziarie, tra cui banche, società di investimento, compagnie di assicurazione e fornitori terzi di servizi Ict (information and communications technology, Tecnologie dell’informazione e della comunicazione). «Dora» mira a standardizzare la gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione in tutta l’Unione Europea. L’armonizzazione delle regole è cruciale per prevenire impatti sistemici dovuti a interruzioni dei servizi finanziari o attacchi informatici su larga scala. La dipendenza crescente del settore finanziario dalla tecnologia e dai fornitori di servizi Ict esterni ha infatti reso indispensabile una normativa che garantisca una protezione adeguata contro queste minacce.
Come adeguarsi alla normativa
Nello specifico, viene richiesto alle entità finanziarie di adottare strumenti, processi e politiche specifiche. Gli obblighi includono la creazione di un sistema efficace di gestione dei rischi, che tenga conto delle dimensioni, della complessità e della rilevanza sistemica delle entità coinvolte. Questo sistema deve prevedere un’adeguata governance interna, piani di emergenza e test regolari per valutare la capacità di affrontare situazioni critiche.
Un elemento centrale del Dora è la gestione dei fornitori terzi di servizi Ict, soprattutto quelli che supportano funzioni critiche o importanti. Le entità finanziarie devono monitorare e controllare i rischi derivanti da questi rapporti contrattuali, in modo da garantire che i fornitori rispettino standard di sicurezza e affidabilità elevati. A tal fine, le autorità europee di vigilanza hanno introdotto requisiti specifici per la gestione del ciclo di vita delle relazioni contrattuali con i fornitori, compresi obblighi di due diligence (ovvero analizzare e verificare informazioni critiche prima di intraprendere un’azione come la stipula di un contratto, l’acquisizione di un’azienda o la scelta di un fornitore) e la creazione di registri dettagliati delle informazioni relative ai servizi offerti.
Il Tlpt
Il termine «threat-led penetration testing» (Tlpt) si traduce in italiano come «test di penetrazione guidato da minacce». Si tratta di una metodologia per valutare la sicurezza e la resilienza dei sistemi informatici di un’organizzazione, e che si basano su scenari realistici di attacco che simulano il comportamento di veri e propri hacker o cyber-criminali. Il test simula come un attaccante con specifici obiettivi e risorse tenterebbe di violare le difese dell’organizzazione. Lo scopo è di misurare l’efficacia delle contromisure e della capacità di risposta.
La segnalazione degli incidenti
Un altro elemento cruciale del regolamento riguarda la segnalazione degli incidenti Ict. Le entità finanziarie devono notificare tempestivamente alle autorità competenti gli incidenti significativi, che devono includere dettagli sulla natura, sull’impatto e sulle misure correttive adottate. Per facilitare questa procedura, sono stati sviluppati standard tecnici che definiscono criteri chiari per la classificazione degli incidenti e dei rischi associati, in modo che in tutta l’UE vi sia un processo uniforme.
Gli standard tecnici
Sono tre le autorità di vigilanza europee responsabili dello sviluppo di standard tecnici e linee guida per garantire l’applicazione uniforme del regolamento. Tra queste l’Autorità Bancaria Europea (Eba), l’Autorità Europea delle Assicurazioni e delle Pensioni Aziendali e Professionali (Eiopa) e l’Autorità Europea degli Strumenti Finanziari e dei Mercati (Esma). Gli standard includono elementi come i criteri per la gestione semplificata dei rischi Ict, pensati per le entità di dimensioni ridotte, e le modalità per determinare la rilevanza degli incidenti.
Nel corso del 2023 e del 2024, le autorità hanno avviato consultazioni pubbliche per raccogliere feedback dai partecipanti al mercato. Le osservazioni hanno permesso di migliorare e semplificare i requisiti. Gli standard tecnici finali sono stati sottoposti alla Commissione Europea per l’approvazione.
I rischi per chi non si adegua
Le entità finanziarie inadempienti possono essere multate dalle autorità competenti. Le sanzioni possono raggiungere importi considerevoli. Tra queste, si può incorrere in una multa fino a 10 milioni di euro o al 5% del fatturato annuo totale dell’entità, a seconda di quale cifra sia maggiore.
Richiedi prestito online
Procedura celere
Sconto crediti fiscali
Finanziamenti e contributi
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
