Il digitale è sempre più pervasivo, anche nel settore dei servizi finanziari, e la necessità delle istituzioni finanziarie di essere pronte ad affrontare e a reagire agli incidenti informatici in modo efficace è più grande che mai.
DORA (Digital Operational Resilience Act) è una risposta al contesto tecnologico sempre più complesso in cui operano le entità finanziarie, dove la normativa attualmente applicata è articolata e distribuita in molte regolamentazioni. DORA ha l’obiettivo di mettere ordine e omogeneizzare la normativa in ambito ICT del settore, garantendo la robustezza dei servizi finanziari.
Cos’è DORA
Il Digital Operational Resilience Act (DORA) è parte del pacchetto della Commissione Europea sulla finanza digitale, lanciato nel settembre 2020, che comprende anche la Digital Finance Strategy, la bozza di Regulation on Markets in Crypto Assets (MICA) e un pilot regime sulle infrastrutture di mercato basate sulla Distributed Ledger Technology.
Il 27 dicembre 2022 è stato pubblicato in Gazzetta Ufficiale dell’Unione Europea il Regolamento che mira a garantire la resilienza ICT del settore finanziario dell'UE. Tale regolamento, in vigore dal ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, si applica a decorrere dal 17 gennaio 2025.
Ora che DORA è stata formalmente adottata, deve essere applicata in modo uniforme in tutta l’Unione Europea senza il vincolo di essere recepita nella legislazione nazionale.
Allo stesso tempo, le Autorità di vigilanza europee (ESA), l'Autorità bancaria europea (EBA), l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA), hanno il compito di sviluppare standard tecnici dettagliati per tutti gli istituti di servizi finanziari.
Le autorità nazionali competenti (NCA) sono infine responsabili della supervisione della conformità e dell'applicazione del regolamento da parte dei soggetti coinvolti.
DORA rappresenta sia una sfida che un'opportunità per sostenere, riavviare e rafforzare la resilienza informatica, snodo cruciale per la sopravvivenza del “sistema Paese”.
È inoltre un regolamento che affronta la sicurezza delle informazioni e la gestione delle terze parti ICT per tutte le entità finanziarie regolamentate, introducendo nuovi requisiti laddove esistono delle lacune.
Obblighi chiave
DORA presenta molte sovrapposizioni con le normative attualmente in applicate, tuttavia introduce nuovi requisiti specifici e tecnici per le seguenti aree, proporzionati alle dimensioni, all'attività e al profilo di rischio dell'impresa:
Come può aiutarti KPMG?
Non affrontare DORA solo come una delle tante normative cui adeguarsi, ma come occasione per valutare olisticamente ed in maniera integrata la resilienza dei sistemi aziendali, il rischio ICT e il relativo monitoraggio nel tempo.
KPMG può aiutarti a impostare un assessment efficace da cui costruire il tuo framework di resilienza: KPMG può identificare con te le aree su cui prioritizzare gli interventi considerando il TUO modello specifico di business e le componenti di rischio alle quali sei maggiormente esposto.
Per costruire un framework robusto, DORA non deve essere affrontata “a silos” ma definendo fin dall’assessment dei KPI e dei parametri di sintesi che consentano di confrontare e monitorare elementi tra loro disomogenei.
Il team dedicato di KPMG può garantire tale visione olistica grazie alla propria multidisciplinarietà, perché ha a disposizione tutte le competenze specialistiche necessarie, oltre a strumenti proprietari e metodologie sviluppati in collaborazione con team internazionali, che permettono di far fronte a tutte le sfide che DORA pone ai nostri clienti.
Ecco alcuni esempi di come stiamo aiutando i nostri clienti:
