Entro gennaio 2025 gli operatori economici interessati dovranno adeguarsi a quanto previsto dal regolamento europeo DORA (Digital Operational Resilience Act – Reg. 2022/2554). Gli obblighi previsti dalla nuova normativa riguardano, in generale, la resilienza e, in particolare, la gestione dei rischi (nella stessa direzione della NIS2) derivanti da tutti i fornitori di servizi digitali coinvolti direttamente o indirettamente nella propria catena del valore.
DORA, in effetti, è rivolto prioritariamente alle aziende del mondo finanziario e assicurativo e armonizza i contenuti di norme già esistenti, introducendo alcuni concetti innovativi. Fra questi ultimi, rappresenta una vera e propria innovazione dirompente il controllo diretto, da parte delle autorità settoriali di vigilanza, dei fornitori e partner. Il processo di gestione delle terze parti inizia dalla definizione chiara dei ruoli e responsabilità nella gestione delle diverse attività di collaborazione, nonché dai flussi da scambiare nei processi comuni. Questo aspetto, in particolare, contribuisce fortemente a gestire più efficacemente uno dei rischi da sempre più critici: quello della sicurezza della intera catena del valore in cui, spesso, è l’anello debole quello più soggetto ad attacchi cyber.
Tra i fornitori rilevanti rientrano, per esempio, i service provider di qualunque tipo, oltre ai partner integrati in taluni servizi accessori. Il risultato finale, dal 2025, si tradurrà in un beneficio enorme per molti settori economici. I leader di una catena del valore non avranno più il problema di dover verificare direttamente, con proprie attività ispettive, il livello di sicurezza o di conformità agli standard dei partner, ma potranno contare sul fatto che tale attività verrà svolta dagli enti regolatori. Attualmente, infatti, è molto difficile condurre verifiche sui fornitori e partner: in particolare se i servizi sono erogati in cloud.
Considerando la tipologia dei fornitori rilevanti, ne beneficeranno anche tutti gli interlocutori, indipendentemente dall’essere soggetti o meno alle prescrizioni di DORA, consentendo una più efficace gestione del rischio. DORA, quindi, nello specifico, regolamenta: 1) la gestione del rischio legato ai sistemi informativi; 2) la segnalazione degli incidenti ad essi connessi; 2) la conduzione di test di resilienza operativa digitale; 4) la gestione dei rischi relativi derivanti da terzi; 5) la condivisione delle informazioni legata non solo agli incidenti, ma anche alle minacce e alle vulnerabilità anche verso altri soggetti operativi. In tal modo, il mondo finanziario si dimostra ancora una volta il primo riferimento nel risk management e nella resilienza e, sicuramente, sarà di esempio e di traino a tutti gli altri settori economici. Il regolamento DORA si inserisce poi, a sua volta, nel quadro europeo per la cybersecurity (EUCS) e quasi sicuramente diventerà obbligatorio per tutti i comparti critici, anche in relazione alla NIS2.
In effetti, la resilienza è ormai un requisito fondamentale ed irrinunciabile per tutte le tipologie di business: requisito spesso enunciato ma, purtroppo, meno frequentemente realizzato. Inoltre, per il settore finanziario, il concetto di Open Finance si inserisce prepotentemente in questo contesto, modificando radicalmente il business model. Con la integrazione operativa dei servizi finanziari con quelli dei mercati adiacenti si vuole espandere la relazione con il cliente e fornire una customer experience plasmata in modo globale integrando tutte le industrie complementari. Tale macro trend è quindi importante per il prossimo futuro perché, coinvolgendo i partner esterni, consente di realizzare ecosistemi a maggior valore aggiunto sia per la domanda che per l’offerta.
Naturalmente, i partner potranno cambiare nel tempo, a seconda delle esigenze di mercato, e a discrezione delle opportunità, non solo per ragioni tecniche. Tutto ciò estende enormemente la portata e gli effetti del regolamento DORA. Occorre quindi prepararsi per tempo!
){kind=link}