La normativa UE nel settore della cybersicurezza è regolata da:
- il Regolamento DORA: si tratta di un regolamento indirizzato al mondo finanziario, che stabilisce un framework vincolante e completo relativo alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario della UE.
- La direttiva NIS2: riguarda la legislazione della UE in tema di cybersicurezza, che prevede misure giuridiche aggiornate per rafforzare il livello generale di cybersicurezza nella UE.
Il Regolamento DORA (n. 2554/2922) è in vigore dal 17 gennaio 2023 e sarà applicato a partire dal 17 gennaio 2025.
DORA: gli obiettivi principali del regolamento e …
Il Regolamento ha lo scopo di aiutare il settore finanziario a identificare, proteggere e recuperare meglio gli incidenti legati ai servizi ICT, che potrebbero essere minacciati attraverso l’erogazione di servizi finanziari pericolosi.
Lo scopo è quello di sostenere un preciso quadro di resilienza, che possa garantire la continuità e la qualità dei servizi finanziari, attraverso:
- la standardizzazione dei requisiti di resilienza operativa per il settore finanziario dell’UE;
- il rafforzamento della sicurezza informatica e la resilienza operativadelle entità finanziarie della UE;
- la capacità di resistere e riprendersinel caso vi siano gravi interruzioni operative e/o attacchi informatici;
- la capacità delle istituzioni finanziarie di capire elementi e sistemi in loro possesso, gestiti e mantenuti da un’azienda, identificando le potenziali vulnerabilità e i connessi rischi.
… a chi si applica
Il regolamento DORA ha un campo di applicazione ampio, che riguarda diverse entità e servizi finanziari della UE, quali le banche, le assicurazioni e altri istituti, che sono responsabili di servizi finanziari critici e che gestiscono una grande quantità di dati sensibili dei propri clienti, rendendo importantissima la loro conformità ai requisiti di resilienza operativa digitale.
Fornitori di servizi ICT critici
Le Autorità europee di vigilanza (ESAs) devono designare i fornitori terzi di servizi ICT critici, attraverso:
- la valutazione iniziale basata su criteri quantitativi,
- oltre a un approfondimento qualitativo,
che saranno soggetti a una sorveglianza specifica, con un’autorità di vigilanza assegnata ad hoc a ciascuno di essi.
Il regolamento DORA non si applica a determinate categorie di cripto-attività, come l’arte digitale e gli oggetti da collezione o quelle attività che rappresentano servizi o beni fisici unici e non fungibili, come le garanzie di prodotto o gli immobili.
Gli obiettivi di DORA
Lo scopo finale è quello di creare un ambiente digitale sicuro e resiliente, che promuova una gestione coerente e integrata del rischio informatico, attraverso l’adozione di standard di sicurezza uniformi grazie alla capacità di cooperazione transfrontaliera e allo stesso tempo la veloce condivisione delle informazioni su minacce e incidenti, così da favorire anche la fiducia nelle tecnologie digitali, aiutando innovazione e crescita economica sostenibile in tutta l’Unione Europea.