Esploriamo la portata del Regolamento DORA e i suoi impatti sui fornitori di servizi ICT nel settore finanziario.
Il Regolamento DORA (Digital Operational Resilience Act) è una normativa emergente nell’Unione Europea finalizzata a consolidare e standardizzare i requisiti di resilienza operativa digitale per il settore finanziario. Non si rivolge soltanto alle entità stesse, ma si estende anche ai fornitori di servizi ICT (Information and Communication Technology) che collaborano con le istituzioni finanziarie.
Nella sua applicabilità, DORA porge una serie di obblighi a questi fornitori con l’intento di garantire che il sistema finanziario possa gestire e mitigare efficacemente i rischi derivanti dall’uso intensivo della tecnologia. Ciò significa che i fornitori devono attenersi a regole precise relative alla cibersicurezza, alla gestione dei rischi e alla notifica tempestiva delle minacce e degli incidenti informatici.
Per delimitare correttamente il perimetro applicativo di DORA, i fornitori ICT devono innanzitutto identificare se i loro servizi sono critici per le operazioni dei clienti del settore finanziario. Questo potrebbe includere, ad esempio, la fornitura di servizi cloud, software di analytics finanziari o sistemi di protezione dei dati. Una volta riconosciuti come fornitori di servizi critici, devono allinearsi a una serie di standard tecnici e operativi per assicurare la continuità e l’integrità delle funzioni da essi supportate.
La chiave di volta per i fornitori è la gestione del rischio ICT. È richiesta una valutazione metodica dei rischi legati alle attività e all’infrastruttura tecnologica e l’implementazione di misure di mitigazione efficaci. Inoltre, la normativa enfatizza l’importanza di processi di audit interni ed esterni per sorvegliare e verificare il rispetto dei requisiti di DORA.
Non è da sottovalutare anche l’obbligo di notifica. In caso di incidenti significativi che potrebbero impattare la resilienza operativa delle entità finanziarie, i fornitori ICT sono tenuti a comunicarlo tempestivamente alle autorità di vigilanza competenti e alle entità finanziarie interessate, attenendosi a una precisa procedura di segnalazione.
In definitiva, per i fornitori ICT nel settore finanziario, l’adesione a DORA si tradurrà in una maggiore integrazione delle prassi di sicurezza, in processi di business resilienti e in un rafforzamento della fiducia da parte delle entità finanziarie e delle autorità di regolamentazione. La comprensione e l’applicazione dei principi di DORA sono quindi passaggi strategici non solo per la conformità normativa, ma anche per consolidare la propria posizione di partner affidabile nella catena del valore finanziario.