DORA e ISS: Come il Digital Operational Resilience Act influisce sui servizi di investimento

Il Digital Operational Resilience Act (DORA) è un quadro normativo completo introdotto dall'Unione Europea per affrontare la crescente importanza della resilienza digitale nei servizi finanziari. Poiché i fornitori di servizi di investimento (ISS) si affidano sempre più alle tecnologie digitali e alle tecnologie dell'informazione e della comunicazione (ICT), il contesto legale e normativo che circonda le loro operazioni diventa più complesso. DORA e ISS sono intrinsecamente collegati, poiché l'atto ha un impatto diretto sul modo in cui le imprese di investimento gestiscono i rischi connessi alle ICT, garantendo che possano resistere alle interruzioni e continuare a fornire servizi essenziali anche di fronte a sfide operative.

In questo articolo, esploreremo le implicazioni del DORA per i fornitori di servizi di investimento, esaminando la sua applicazione, i requisiti che impone alle imprese e come le imprese dovrebbero prepararsi alla conformità con le sue regole sui rischi connessi alle ICT.

Applicazione del Digital Operational Resilience Act ai Fornitori di Servizi di Investimento

Il Digital Operational Resilience Act (DORA) è stato introdotto come parte degli sforzi della Commissione Europea per rafforzare la resilienza del settore finanziario in un mondo sempre più digitale. Il DORA mira a garantire che gli istituti finanziari, compresi i fornitori di servizi di investimento, possano gestire e mitigare i rischi associati ai sistemi digitali e ICT, in particolare di fronte a minacce informatiche e altre interruzioni operative.

Il DORA si applica a una vasta gamma di entità finanziarie, compresi i fornitori di servizi di investimento, i gestori patrimoniali e le sedi di negoziazione. Il suo obiettivo principale è creare un approccio normativo unificato alla resilienza operativa, che copra aree come la gestione del rischio, la segnalazione degli incidenti e l'uso di fornitori di servizi terzi. Di seguito, esaminiamo gli elementi chiave dell'applicazione del DORA ai fornitori di servizi di investimento.

Gestione del Rischio e Governance

Il fulcro del DORA è il requisito per le imprese di sviluppare quadri globali di gestione del rischio che affrontino i rischi connessi alle ICT. I fornitori di servizi di investimento sono tenuti a identificare, valutare e gestire i rischi associati al loro uso della tecnologia. Ciò include sia i sistemi ICT interni che qualsiasi fornitore di servizi terzi a cui possano fare affidamento.

Per conformarsi al DORA, le imprese devono stabilire solide strutture di governance che garantiscano la corretta gestione dei rischi ICT. Queste strutture dovrebbero includere linee chiare di responsabilità per la gestione e la supervisione del rischio connesso alle ICT, dal livello del consiglio di amministrazione fino al livello operativo. Il personale chiave all'interno dell'impresa deve avere le competenze necessarie per gestire la resilienza digitale e dovrebbe essere responsabile di garantire che le pratiche di gestione del rischio dell'impresa siano allineate ai requisiti normativi.

Il DORA prevede inoltre che le imprese conducano valutazioni del rischio regolari per valutare il potenziale impatto di varie minacce connesse alle ICT. Queste valutazioni dovrebbero concentrarsi sull'identificazione delle vulnerabilità nei sistemi digitali dell'impresa, sulle potenziali conseguenze delle interruzioni operative e sull'efficacia delle strategie di mitigazione del rischio esistenti.

Sicurezza ICT e Segnalazione degli Incidenti

Oltre alla gestione del rischio, il DORA richiede alle imprese di implementare solide misure di sicurezza ICT per proteggere contro le minacce informatiche e altri rischi operativi. I fornitori di servizi di investimento devono avere sistemi in atto per prevenire, rilevare e rispondere agli incidenti di sicurezza informatica, garantendo che possano mantenere un servizio continuo anche in caso di interruzione.

Il DORA richiede alle imprese di stabilire protocolli dettagliati per la segnalazione degli incidenti. In caso di un incidente significativo connesso alle ICT, le imprese devono notificare tempestivamente alle autorità di regolamentazione e alle parti interessate pertinenti. Il processo di segnalazione degli incidenti dovrebbe includere un'analisi approfondita della causa dell'incidente, del suo impatto sulle operazioni dell'impresa e delle misure adottate per risolverlo.

Inoltre, le imprese sono tenute a mantenere un registro di tutti gli incidenti ICT e delle azioni correlate. Ciò garantisce la trasparenza e consente alle autorità di regolamentazione di monitorare l'adesione delle imprese ai requisiti del DORA. Le imprese devono inoltre fornire aggiornamenti regolari alle autorità di regolamentazione riguardo ai loro sforzi continui per migliorare la loro resilienza operativa.

Rischio di Terzi e Outsourcing

Un aspetto significativo dell'applicazione del DORA ai fornitori di servizi di investimento è la sua attenzione alla gestione del rischio di terzi. Poiché molte imprese di investimento si affidano a fornitori di servizi esterni per servizi ICT critici, il DORA richiede che le imprese adottino misure per garantire che le loro relazioni con terzi non compromettano la loro resilienza operativa.

Le imprese devono valutare i potenziali rischi posti dai loro fornitori di servizi terzi, compresi i fornitori di servizi cloud, i fornitori di software e altri partner tecnologici. Il DORA prevede che le imprese conducano una due diligence approfondita su questi fornitori per garantire che abbiano in atto misure di sicurezza appropriate per proteggere contro le minacce informatiche e le interruzioni operative.

I fornitori di servizi di investimento devono inoltre stabilire accordi contrattuali con i fornitori terzi che delineino le responsabilità di ciascuna parte in caso di un incidente connesso alle ICT. Questi accordi dovrebbero includere disposizioni per la risposta agli incidenti, la protezione dei dati e la continuità aziendale, garantendo che le imprese possano mantenere le operazioni anche se un fornitore terzo subisce interruzioni.

Per mitigare ulteriormente il rischio di terzi, il DORA richiede che le imprese monitorino regolarmente le prestazioni dei loro fornitori di servizi terzi e la conformità agli standard di sicurezza ICT. Le imprese devono inoltre avere piani di emergenza in atto nel caso in cui un fornitore terzo non soddisfi le aspettative o subisca un grave guasto operativo.

Come le Imprese Dovrebbero Prepararsi alle Regole sui Rischi Connessi alle ICT

Man mano che il Digital Operational Resilience Act continua a evolversi, i fornitori di servizi di investimento devono intraprendere passi proattivi per prepararsi alle regole sui rischi connessi alle ICT delineate nel regolamento. La conformità al DORA richiede cambiamenti significativi nel modo in cui le imprese affrontano la gestione del rischio, la governance e le relazioni con terzi. Di seguito sono riportate alcune strategie chiave che le imprese di investimento possono utilizzare per prepararsi a questi nuovi requisiti.

Costruire un Quadro Globale di Gestione del Rischio

Uno dei primi passi nella preparazione alla conformità al DORA è la costruzione di un quadro globale di gestione del rischio. Questo quadro dovrebbe essere progettato per affrontare tutti i rischi connessi alle ICT, comprese le minacce alla sicurezza informatica, le interruzioni operative e i rischi di terzi. Le imprese dovrebbero stabilire protocolli chiari per identificare, valutare e mitigare questi rischi, nonché per monitorare e riferire sulla loro efficacia.

Il quadro di gestione del rischio dovrebbe essere integrato nella struttura di governance complessiva dell'impresa, con una chiara responsabilità a tutti i livelli. Le imprese dovrebbero designare personale chiave responsabile della gestione dei rischi ICT e garantire che l'impresa rimanga conforme ai requisiti del DORA. È inoltre essenziale che questi individui siano adeguatamente formati e abbiano le competenze necessarie per gestire i rischi sempre più complessi associati alle operazioni digitali.

Migliorare le Misure di Sicurezza Informatica

Data la crescente frequenza e sofisticazione delle minacce informatiche, i fornitori di servizi di investimento devono migliorare le loro misure di sicurezza informatica per conformarsi al DORA. Le imprese dovrebbero condurre audit di sicurezza regolari per identificare le potenziali vulnerabilità nei loro sistemi ICT e adottare misure per affrontarle. Ciò può comportare l'aggiornamento del software, l'implementazione di controlli di accesso più robusti e il rafforzamento delle pratiche di protezione dei dati.

I fornitori di servizi di investimento dovrebbero inoltre investire in strumenti di monitoraggio avanzati per rilevare e rispondere agli incidenti di sicurezza informatica in tempo reale. Una solida strategia di sicurezza informatica è essenziale per garantire che le imprese possano resistere agli attacchi informatici e ad altre interruzioni operative, riducendo al minimo l'impatto sui clienti e sull'intero sistema finanziario.

Risposta agli Incidenti e Pianificazione della Continuità Aziendale

In preparazione ai requisiti di segnalazione degli incidenti del DORA, le imprese devono sviluppare piani di risposta agli incidenti dettagliati che delineino le misure da adottare in caso di un'interruzione connessa alle ICT. Questi piani dovrebbero coprire tutto, dalla rilevazione e diagnosi del problema alla comunicazione con le autorità di regolamentazione e le parti interessate.

La pianificazione della continuità aziendale è inoltre cruciale ai sensi del DORA. Le imprese devono garantire di poter continuare a fornire servizi essenziali durante e dopo un incidente connesso alle ICT. Ciò può comportare l'impostazione di sistemi di backup, la creazione di protocolli di ripristino di emergenza e la garanzia che il personale sia formato per gestire efficacemente le situazioni di emergenza.

Rafforzare la Gestione del Rischio di Terzi

I fornitori di servizi di investimento devono prestare particolare attenzione alla gestione del rischio di terzi, poiché il DORA pone un'enfasi significativa su quest'area. Le imprese dovrebbero stabilire processi di due diligence chiari per la valutazione dei potenziali fornitori di servizi terzi, concentrandosi sulla loro capacità di soddisfare gli standard di sicurezza informatica e resilienza operativa. Inoltre, le imprese dovrebbero implementare accordi contrattuali robusti con i fornitori, delineando i loro obblighi in caso di incidente.

È inoltre essenziale il monitoraggio continuo dei fornitori di servizi terzi. Le imprese dovrebbero valutare regolarmente le prestazioni dei loro fornitori e garantire che stiano rispettando gli standard di sicurezza informatica e resilienza operativa dell'impresa. In caso di un incidente che coinvolge un fornitore terzo, le imprese devono essere preparate a rispondere rapidamente ed efficacemente per ridurre al minimo le interruzioni.

Programmi di Formazione e Sensibilizzazione

Per garantire la conformità al DORA, i fornitori di servizi di investimento dovrebbero implementare programmi di formazione e sensibilizzazione per il personale a tutti i livelli. Questi programmi dovrebbero concentrarsi sull'importanza della resilienza operativa, sui potenziali rischi posti dalle interruzioni ICT e sugli obblighi dell'impresa ai sensi del regolamento. Una formazione regolare aiuterà a garantire che i membri del personale comprendano i loro ruoli nel mantenimento della resilienza digitale dell'impresa e siano attrezzati per rispondere agli incidenti connessi alle ICT.

Conclusione

Il Digital Operational Resilience Act (DORA) rappresenta un passo avanti significativo nel rafforzamento della resilienza operativa degli istituti finanziari, compresi i fornitori di servizi di investimento. Concentrandosi sulla gestione del rischio, la sicurezza informatica, il rischio di terzi e la risposta agli incidenti, il DORA mira a garantire che le imprese possano continuare a operare efficacemente in un mondo sempre più digitale.

I fornitori di servizi di investimento devono intraprendere passi proattivi per prepararsi alle regole sui rischi connessi alle ICT del DORA, tra cui la costruzione di quadri globali di gestione del rischio, il miglioramento delle misure di sicurezza informatica e il rafforzamento delle pratiche di gestione del rischio di terzi. In tal modo, le imprese possono garantire la conformità al regolamento e salvaguardare le loro operazioni dalle crescenti minacce poste dalla disruption digitale.