DORA regime semplificato per entità finanziarie minori

Il Digital Operational Resilience Act introduce un framework semplificato DORA per la gestione dei rischi ICT, rivolto alle entità finanziarie che presentano minori dimensioni o una limitata interconnessione. Questo regime mira a garantire un elevato livello di resilienza operativa digitale senza imporre oneri amministrativi eccessivi.

Chi può rientrare nell’art. 16

L’applicabilità del regime semplificato è circoscritta a una lista esaustiva di categorie definite dall’art. 16 DORA. Queste categorie comprendono:

• Imprese di investimento piccole e non interconnesse
• Istituti di pagamento esentati ai sensi della direttiva (UE) 2015/2366
• Istituti di moneta elettronica esentati ai sensi della direttiva 2009/110/CE
• Piccoli enti pensionistici aziendali o professionali (IORP)

Le entità che rientrano in queste categorie sono generalmente caratterizzate da una scala ridotta delle attività e, talvolta, da un numero limitato di dipendenti.

Cosa cambia davvero in termini di testing e governance

La DORA proporzionalità si traduce in un framework meno granulare rispetto a quello generale, secondo quanto delineato nel Titolo III del Regolamento Delegato 2024/1774. Le principali differenze includono:

• Governance e Organizzazione: Il mandato delle ESAs per il framework semplificato è più ampio, poiché include la definizione dell’intero framework e non solo di ulteriori elementi. I requisiti, tuttavia, sono adattati alla complessità dell’entità. L’organo di gestione mantiene la responsabilità finale, ma i processi decisionali sono più snelli.
• Business Continuity: I requisiti di continuità operativa rimangono ma con un livello di dettaglio inferiore. Non sono richiesti piani specifici di “Response and Recovery” o scenari di test estremamente complessi previsti nel regime ordinario.
• Testing di Sicurezza: Le entità devono adottare un piano di test basato sul rischio, includendo vulnerability scans e valutazioni per individuare debolezze. Frequenza e profondità dei test sono calibrate sul profilo di rischio.

Controlli minimi da non trascurare

Sebbene il framework sia semplificato, vi sono obblighi inderogabili per le DORA piccole entità finanziarie:

• Identificazione e Classificazione: Obbligo di identificare, classificare e documentare tutte le funzioni critiche o importanti, gli asset ICT correlati e le interdipendenze.
• Sicurezza delle Operazioni ICT: Monitoraggio degli asset che supportano funzioni critiche, gestione degli asset obsoleti, registrazione degli eventi (logging) e implementazione di misure per rilevare minacce e vulnerabilità.
• Controllo degli Accessi: Definizione e implementazione di procedure rigorose per il controllo degli accessi logici e fisici.

Come evitare sotto-compliance in nome della proporzionalità

La proporzionalità deve essere interpretata come applicazione commisurata dei requisiti, non come rinuncia. Le entità devono essere in grado di dimostrare alle autorità che il framework adottato, pur semplificato, è adeguato alla gestione dei rischi ICT specifici. In caso di particolari complessità, potrebbe rendersi necessario rafforzare i controlli in determinate aree.

Esempi di piano minimo efficace

• Inventario degli asset ICT aggiornato regolarmente, con chiara mappatura delle dipendenze da terze parti
• Procedura di vulnerability management che utilizza scansioni automatizzate per individuare vulnerabilità nei sistemi critici
• Piano di test della continuità operativa testato almeno annualmente per verificare la capacità di ripristino delle funzioni essenziali
• Revisione periodica del framework di gestione del rischio ICT, documentata in un report da presentare all’autorità su richiesta

FAQ

• “Semplificato” significa meno responsabilità? No. L’organo di gestione dell’entità finanziaria mantiene la piena responsabilità per la gestione dei rischi ICT e per la conformità ai requisiti legali.
• Serve comunque fare vulnerability assessment? Sì. Le entità devono condurre valutazioni e DORA vulnerability assessment (scansioni) per identificare e affrontare prontamente i rischi, in linea con il proprio profilo di rischio.
• Serve comunque classificare asset e funzioni critiche? Sì, questo è un prerequisito fondamentale. L’identificazione e la classificazione delle funzioni critiche o importanti e degli asset ICT che le supportano è obbligatoria anche nel regime semplificato.

Assicura la tua resilienza: richiedi oggi una verifica di eleggibilità e uno scoping personalizzato del tuo framework semplificato per essere pronto entro il 17 gennaio 2025.