Il Digital Operational Resilience Act, comunemente indicato come DORA, è un regolamento fondamentale dell’Unione Europea (UE) volto a rafforzare il quadro di gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione (ICT) all’interno del settore finanziario dell’UE. La normativa DORA, che sarà pienamente implementata entro il 17 gennaio 2025, impone standard tecnici completi e vincolanti sia per le entità finanziarie che per i loro fornitori di servizi tecnologici critici di terze parti.

Lo scopo di DORA

DORA ha due obiettivi primari:

  1. Gestione globale del rischio ICT: il regolamento mira ad affrontare in modo approfondito la gestione del rischio ICT nel settore dei servizi finanziari.
  2. Armonizzazione delle normative: cerca di armonizzare le normative esistenti sulla gestione del rischio ICT nei singoli Stati membri dell’UE, creando un quadro unificato. Questa armonizzazione mira ad eliminare le lacune, le sovrapposizioni e i conflitti che potrebbero derivare da normative nazionali disparate, semplificando così la conformità per le entità finanziarie e migliorando la resilienza del sistema finanziario dell’UE.

 

Attuazione e supervisione

Sebbene DORA sia stato adottato ufficialmente dall’UE, i dettagli chiave sono ancora in fase di definizione da parte delle Autorità europee di vigilanza (ESA), che includono l’Autorità bancaria europea (EBA), l’Autorità europea degli strumenti finanziari e dei mercati (ESMA), l’Autorità europea delle assicurazioni e dei mercati e l’Autorità per le pensioni aziendali e professionali (EIOPA). Queste autorità sono responsabili della stesura delle norme tecniche di regolamentazione (RTS) e delle norme tecniche di attuazione (ITS) che gli enti interessati devono implementare. Si prevede che questi standard saranno completati entro il 2024. Allo stesso tempo, la Commissione Europea sta sviluppando un quadro di supervisione per i fornitori di ICT critici, anch’esso dovrebbe essere finalizzato nel 2024.

Domini chiave di DORA

DORA stabilisce i requisiti tecnici per gli enti finanziari e i fornitori di ICT in quattro ambiti principali:

  1. Gestione e governance dei rischi ICT
  2. Risposta e segnalazione degli incidenti
  3. Test di resilienza operativa digitale
  4. Gestione del rischio di terze parti

Sebbene la condivisione delle informazioni sia incoraggiata da DORA, non è obbligatoria. Un aspetto notevole di DORA è la sua applicabilità sia alle entità finanziarie che ai fornitori ICT che le servono. Ci si aspetta che le società finanziarie gestiscano attivamente i rischi ICT di terze parti negoziando termini contrattuali specifici riguardanti strategie di uscita, audit e obiettivi di performance. Alle entità è vietato contrattare con fornitori ICT che non soddisfano questi requisiti. Le autorità competenti hanno il potere di sospendere o risolvere i contratti non conformi. La Commissione Europea sta inoltre valutando la possibilità di elaborare clausole contrattuali standardizzate per facilitarne il rispetto.

Inoltre, le istituzioni finanziarie dovranno mappare le loro dipendenze ICT da terze parti e garantire che le loro funzioni critiche non dipendano eccessivamente da un singolo fornitore o da un piccolo gruppo di fornitori.

 

Soluzioni di automazione con Omnia BPM

In questo panorama normativo in evoluzione, sfruttare soluzioni di automazione avanzate diventa cruciale. Le automazioni IA ad alto impatto e la piattaforma low code Omnia BPM possono migliorare significativamente i tuoi sistemi IT, rendendoli più proattivi, i processi più efficienti e le persone più produttive. Le app intelligenti di Omnia BPM, facilmente adattabili al settore dei servizi finanziari, sono progettate per aiutare i clienti a mitigare i rischi ed accelerare l’adozione di nuove normative per i loro processi più sensibili.

Con Omnia BPM, accelera l’innovazione garantendo al contempo conformità e sicurezza, fornendo al tuo istituto finanziario gli strumenti necessari per prosperare nel nuovo framework DORA.

 

Tony Vitale