En Sunshine Act e whistleblowing: note sui profili comuni

EN La presente newsletter vuole illustrare quanto previsto dal Regolamento europeo 2022/2554, c.d. “Regolamento DORA”, in vigore dal 17 gennaio 2023, il quale si propone di elevare il livello di sicurezza informatica dell’intero settore finanziario, prevedendo in capo a tutti i soggetti coinvolti nello stesso, dagli enti creditizi ai fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT), numerosi obblighi, a cui i destinatari del provvedimento dovranno adeguarsi entro due anni.

1. A chi si applica il regolamento DORA?

L’art. 2 del Regolamento DORA (Digital Operational Resilience Act) delinea l’ambito di applicazione delle nuove norme, elencando in modo esaustivo i destinatari delle stesse. Individuandoli, non si può fare a meno di notare come il legislatore comunitario abbia adottato un approccio più risoluto rispetto al passato: se l’obiettivo è rafforzare la sicurezza dell’intero settore, tutti coloro che sono coinvolti nello stesso devono attrezzarsi al meglio per controllare i rischi informatici, sempre più vari e pericolosi.

Si citano tra i destinatari gli enti creditizi, gli istituti di pagamento, le imprese di investimento, ma anche le imprese di assicurazione e gli intermediari assicurativi (aventi una dimensione d’affari rilevante); non solo, anche i fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT) devono rispettare il DORA. Sarebbe assurdo chiedere agli operatori finanziari di adottare misure organizzative e di sicurezza non richieste ai fornitori ICT ai quali gli operatori stessi si affidano per implementarle.

2. Quali adempimenti richiede il DORA?

Anzitutto, il nuovo regolamento comunitario richiede agli operatori di adottare un quadro di governance interna, che individui con chiarezza i soggetti responsabili della prevenzione e della gestione dei rischi informatici, a cui il resto dell’organizzazione dovrà fare riferimento.

È poi necessario elaborare un adeguato piano per la gestione dei rischi, ove dovranno essere menzionati i parametri di sicurezza da seguire in ogni processo aziendale, nonché le strategie di business continuity e disaster recovery, per tutelarsi da eventuali incidenti. Con riguardo a questi ultimi, il regolamento sottolinea la necessità di classificare le minacce informatiche e di mappare dunque con precisione i potenziali incidenti; le minacce dovranno essere classificate in base alla criticità dei servizi colpiti, al numero e all’importanza di clienti e controparti interessati, alla durata e all’estensione geografica dell’incidente, nonché all’eventuale sussistenza di una perdita dell’integrità, della riservatezza o della disponibilità dei dati. Gli incidenti occorsi dovranno poi essere costantemente monitorati, documentati e gestiti, per questo è necessario prevedere anche un sistema di segnalazione degli incidenti, affinché il flusso interno di informazioni verso i soggetti preposti alla gestione delle situazioni critiche sia chiaro e funzionale ad una puntuale e precisa risoluzione delle stesse; per gli incidenti più gravi è previsto un processo di segnalazione all’autorità di vigilanza “a step”, consistente nella notifica iniziale, in giornata, nella relazione intermedia e in quella conclusiva, da trasmettere dopo un mese, a seguito di approfondite analisi.

Al fine di rafforzare la probabilità che gli operatori di settore siano effettivamente pronti in caso di incidente, il DORA richiede agli stessi di svolgere con frequenza dei test di resilienza operativa digitale, volti a valutare l’adeguatezza della propria organizzazione e identificarne eventuali lacune e carenze.

3. Cosa fare ora?

Il legislatore comunitario, consapevole dell’impegno che il processo di adeguamento alla nuova normativa richiede, anche e soprattutto in considerazione dell’importanza della cybersecurity, ambito della vita aziendale ancora nuovo per molti, ha concesso due anni di tempo per essere compliant con le nuove regole.

È opportuno che tutti i soggetti operanti nel settore finanziario verifichino di essere nel perimetro applicativo del DORA, e in caso positivo compiano una valutazione delle misure organizzative e di sicurezza attualmente implementate dall’azienda, al fine di avere un quadro chiaro su cui costruire un efficiente sistema di prevenzione del rischio cyber.

La nuova normativa europea onera sicuramente le imprese del settore e fornitori di servizi informatici ad un rilevante lavoro di autovalutazione e riorganizzazione, tuttavia ha anche raggiunto l’auspicabile obiettivo di fare chiarezza in un contesto normativo ipertrofico, nel quale gli operatori, tra le tante leggi e linee guida da più fonti, non erano certo agevolati nel capire come prevenire efficacemente un rischio, quello informatico, che è sempre più presente e pericoloso per le nostre realtà aziendali.