INFORMATION TECHNOLOGY
Il Regolamento DORA sulla resilienza operativa digitale è pianamente applicabile.
Dal 17 gennaio 2025, dopo essere entrato in vigore il 16 gennaio 2023, il Regolamento 2022/2554 - Digital Operational Resilience Act (DORA) è pienamente applicabile alle entità finanziarie all'interno dell'UE.
Il Regolamento DORA prescrive requisiti uniformi in materia di sicurezza delle reti e dei sistemi informativi a sostegno delle attività commerci ali delle entità finanziarie, compresi gli enti creditizi, gli istituti di pagamento, le imprese di investimento, i fornitori di critpoattività. Sono indirettamente interessati alla sua applicazione anche i fornitori terzi di servizi TIC.
Il Regolamento DORA ha introdotto diversi requisiti tecnici, organizzativi e documentali per la gestione della resilienza operativa digitale, tra cui:
- la gestione dei rischi relativi alle TIC, comprese le valutazioni dei rischi, le politiche e il monitoraggio delle minacce;
rilevamento e segnalazione di incidenti, tra cui (1) individuare i principali incidenti connessi alle TIC e notificare, su base volontaria, alle autorità competenti le minacce informatiche significative; (2) la segnalazione alle autorità competenti di gravi incidenti operativi o di sicurezza relativi ai pagamenti da parte di determinate entità finanziarie;
- completare una serie di valutazioni, test, metodologie e pratiche per identificare debolezze, carenze e lacune nella resilienza operativa digitale;
- condividere informazioni e intelligence in relazione alle minacce informatiche e alle vulnerabilità; e
- l'attuazione di misure per la corretta gestione dei rischi relativi alle TIC derivanti da terzi, quali l'esecuzione di una valutazione preliminare, l'attuazione di una strategia relativa ai rischi relativi alle TIC da parte di terzi e di un registro di informazioni sugli accordi contrattuali, nonché l'inclusione di disposizioni contrattuali fondamentali negli accordi contrattuali.
Il Regolamento DORA prescrive requisiti uniformi in materia di sicurezza delle reti e dei sistemi informativi a sostegno delle attività commerci ali delle entità finanziarie, compresi gli enti creditizi, gli istituti di pagamento, le imprese di investimento, i fornitori di critpoattività. Sono indirettamente interessati alla sua applicazione anche i fornitori terzi di servizi TIC.
Il Regolamento DORA ha introdotto diversi requisiti tecnici, organizzativi e documentali per la gestione della resilienza operativa digitale, tra cui:
- la gestione dei rischi relativi alle TIC, comprese le valutazioni dei rischi, le politiche e il monitoraggio delle minacce;
rilevamento e segnalazione di incidenti, tra cui (1) individuare i principali incidenti connessi alle TIC e notificare, su base volontaria, alle autorità competenti le minacce informatiche significative; (2) la segnalazione alle autorità competenti di gravi incidenti operativi o di sicurezza relativi ai pagamenti da parte di determinate entità finanziarie;
- completare una serie di valutazioni, test, metodologie e pratiche per identificare debolezze, carenze e lacune nella resilienza operativa digitale;
- condividere informazioni e intelligence in relazione alle minacce informatiche e alle vulnerabilità; e
- l'attuazione di misure per la corretta gestione dei rischi relativi alle TIC derivanti da terzi, quali l'esecuzione di una valutazione preliminare, l'attuazione di una strategia relativa ai rischi relativi alle TIC da parte di terzi e di un registro di informazioni sugli accordi contrattuali, nonché l'inclusione di disposizioni contrattuali fondamentali negli accordi contrattuali.
