DORA atto resilienza operativa digitale europea

Le sfide e i pericoli insiti nel mercato digitale hanno spinto l’Europa a implementare un nuovo
protocollo di sicurezza e resilienza nell’ambito della finanza digitale, DORA (Digital Operational
Resilience) è un regolamento approvato il 10 novembre 2022 dal Parlamento UE, che garantirà la
resilienza operativa digitale per il settore finanziario. Gli operatori finanziari come banche,
assicurazioni e operatori di criptovalute, avranno ora due anni di tempo per adeguarsi. Dai dati
diffusi dalla Commissione europea, si evince che i costi degli incidenti operativi nel settore
finanziario potrebbero oscillare tra i 2 e i 27 miliardi di euro all’anno.
La direttiva adottata contempla i soggetti critici in una serie di settori, tra cui energia, trasporti,
acque potabili, acque reflue e spazio. I soggetti critici sono soggetti che forniscono servizi
essenziali di importanza fondamentale per il mantenimento di funzioni vitali della società, di
attività economiche, della sicurezza e della salute pubbliche e dell’ambiente. Essi devono avere la
capacità di prevenire, proteggersi, rispondere, resistere e riprendersi in caso di attacchi ibridi,
catastrofi naturali, minacce terroristiche ed emergenze di sanità pubblica.
Alcune disposizioni della direttiva riguarderanno anche determinate amministrazioni pubbliche
centrali. Gli Stati membri dovranno dotarsi di una strategia nazionale per rafforzare la resilienza
dei soggetti critici, effettuare una valutazione dei rischi almeno ogni quattro anni e individuare i
soggetti critici che forniscono servizi essenziali. I soggetti critici dovranno individuare i rischi
rilevanti che potrebbero perturbare in modo significativo la fornitura di servizi essenziali, adottare
misure adeguate per garantire la propria resilienza e notificare gli eventi perturbatori alle autorità
competenti. La necessità di avere resilienza agli attacchi informatici, come previsto da DORA, si
trova anche all’interno del framework Basilea IV, la normativa che regola il comparto bancario
europeo.
DORA stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi delle imprese
e delle organizzazioni che operano nel settore finanziario nonché di terze parti critiche che
forniscono loro servizi relativi alle TIC (tecnologie dell’informazione e della comunicazione), come
piattaforme cloud o servizi di analisi dei dati. Crea un quadro normativo sulla resilienza operativa
digitale in base al quale tutte le imprese devono garantire di poter resistere e reagire a tutti i tipi di
perturbazioni e minacce connesse alle TIC, nonché di riprendersi da tali perturbazioni e minacce.
Tali requisiti sono omogenei in tutti gli Stati membri dell’UE. L’obiettivo principale è prevenire e
attenuare le minacce informatiche.
Vít Rakušan, ministro ceco dell’Interno, ha dichiarato: “Negli ultimi mesi siamo stati oggetto di
attacchi ibridi e abbiamo subito le conseguenze dei cambiamenti climatici, e le sfide che dovremo
affrontare sono probabilmente destinate ad aumentare. La preparazione e la resilienza sono uno
sforzo congiunto. Dobbiamo fare in modo che le nostre società e industrie siano pronte a
fronteggiare eventuali perturbazioni della nostra sicurezza e delle nostre economie e che, in caso di
catastrofe, siamo in grado di rispondere. La direttiva adottata oggi rappresenta un passo avanti
importante verso questo obiettivo.”
MAURIZIO DONINI