INFORMATION TECHNOLOGY
Pubblicati nella Gazzetta Ufficiale della UE i Regolamenti delegati della Commissione UE attuativi di alcuni obblighi del Regolamento DORA.
Sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea i seguenti atti delegati in attuazione del Regolamento UE 2022/2554 sulla resilienza operativa digitale (Regolamento DORA):
I regolamenti delegati entreranno in vigore il 15 luglio 2024, saranno obbligatori in tutti i loro elementi e direttamente applicabili.
Molte entità finanziarie, bancarie e assicurative tenute – dal prossimo 17 Gennaio 2025 - all’applicazione del Regolamento UE 2022/2554 sulla resilienza operativa digitale (Regolamento DORA) sono tenute a rivedere molte politiche gestionali interne. Ad esempio, il Capo V con soli tre articoli (28-30) ridisegna e impatta profondamente sulle procedure di selezione e qualifica dei fornitori ICT e sulla stessa struttura dei contratti con fornitori terzi ICT e sul loro ciclo di vita. Inoltre, il Regolamento DORA obbliga ad aggiornare ruoli, organigrammi e direttive al personale, impatta sui piani di formazione – da diversificare a seconda del ruolo dirigenziale o meno - riscrive le responsabilità dei revisori legali e soprattutto pone al centro del sistema di responsabilità l’organismo di gestione. Anche pubblicazione in GU – lo scorso 25 giugno – dei sopra citati atti delegati della Commissione UE (tra l’altro il quadro complessivo, tra DORA, Regulatory Technical Standard – RTS tra Gennaio e Luglio 2024 e atti delegati e di straordinaria complessità e articolazione) conferma la necessità di coordinare gli adempimenti DORA con le altre politiche in essere. Il profondo intreccio tra il Regolamento DORA e il GDPR, ad esempio: non solo il Regolamento DORA insiste sugli obblighi di garantire “autenticità, integrità, riservatezza e disponibilità” di dati sia personali che non personali, ma gli stessi atti delegati ora publicati disciplinano l’impatto degli adempimenti DORA sulle politiche di adeguamento al GDPR già in essere. Ad esempio il Regolamento Delegato (UE) 2024/1772 relativo ai criteri per la classificazione degli incidenti informatici fissa il rapporto con la notifica della data breach GDPR in caso di incidente; oppure il Regolamento Delegato (UE) 2024//1773 relativo alla politica per la fornitura di servizi ICT da parte di terzi a supporto di “funzioni essenziali o importanti” ricorda che nel caso il fornitore sia anche un Responsabile esterno ai sensi del GDPR, gli adempimenti data protection vanno fatti confluire nella politica, la quale (si veda ad esempio l’articolo 5, comma 3, lettera (e) del Regolamento Delegato (UE) 2024//1773) deve includere anche una valutazione preliminare del rischio specifica sul fornitore per quanto riguarda “i rischi legati alla protezione dei dati riservati o personali” (valutazione che anche le Linee Guida del Comitato europeo per la protezione dei dati personali n. 7/2020 sul concetto di titolare e responsabile del trattamento richiedono di svolgere sul fornitore esterno-responsabile del trattamento).
- Regolamento Delegato (UE) 2024/1772 relativo ai criteri per la classificazione degli incidenti informatici
- Regolamento Delegato (UE) 2024//1773 relativo alla politica per la fornitura di servizi ICT da parte di terzi a supporto di funzioni essenziali o importanti
- Regolamento Delegato (UE) 2024/1774 relativo agli strumenti, ai metodi, ai processi e alle politiche per la gestione dei rischi informatici
I regolamenti delegati entreranno in vigore il 15 luglio 2024, saranno obbligatori in tutti i loro elementi e direttamente applicabili.
Molte entità finanziarie, bancarie e assicurative tenute – dal prossimo 17 Gennaio 2025 - all’applicazione del Regolamento UE 2022/2554 sulla resilienza operativa digitale (Regolamento DORA) sono tenute a rivedere molte politiche gestionali interne. Ad esempio, il Capo V con soli tre articoli (28-30) ridisegna e impatta profondamente sulle procedure di selezione e qualifica dei fornitori ICT e sulla stessa struttura dei contratti con fornitori terzi ICT e sul loro ciclo di vita. Inoltre, il Regolamento DORA obbliga ad aggiornare ruoli, organigrammi e direttive al personale, impatta sui piani di formazione – da diversificare a seconda del ruolo dirigenziale o meno - riscrive le responsabilità dei revisori legali e soprattutto pone al centro del sistema di responsabilità l’organismo di gestione. Anche pubblicazione in GU – lo scorso 25 giugno – dei sopra citati atti delegati della Commissione UE (tra l’altro il quadro complessivo, tra DORA, Regulatory Technical Standard – RTS tra Gennaio e Luglio 2024 e atti delegati e di straordinaria complessità e articolazione) conferma la necessità di coordinare gli adempimenti DORA con le altre politiche in essere. Il profondo intreccio tra il Regolamento DORA e il GDPR, ad esempio: non solo il Regolamento DORA insiste sugli obblighi di garantire “autenticità, integrità, riservatezza e disponibilità” di dati sia personali che non personali, ma gli stessi atti delegati ora publicati disciplinano l’impatto degli adempimenti DORA sulle politiche di adeguamento al GDPR già in essere. Ad esempio il Regolamento Delegato (UE) 2024/1772 relativo ai criteri per la classificazione degli incidenti informatici fissa il rapporto con la notifica della data breach GDPR in caso di incidente; oppure il Regolamento Delegato (UE) 2024//1773 relativo alla politica per la fornitura di servizi ICT da parte di terzi a supporto di “funzioni essenziali o importanti” ricorda che nel caso il fornitore sia anche un Responsabile esterno ai sensi del GDPR, gli adempimenti data protection vanno fatti confluire nella politica, la quale (si veda ad esempio l’articolo 5, comma 3, lettera (e) del Regolamento Delegato (UE) 2024//1773) deve includere anche una valutazione preliminare del rischio specifica sul fornitore per quanto riguarda “i rischi legati alla protezione dei dati riservati o personali” (valutazione che anche le Linee Guida del Comitato europeo per la protezione dei dati personali n. 7/2020 sul concetto di titolare e responsabile del trattamento richiedono di svolgere sul fornitore esterno-responsabile del trattamento).
