Come Prepararsi alla Conformità DORA

Il Digital Operational Resilience Act entrerà in vigore il 17 gennaio 2025. Questo regolamento dell’UE mira a rafforzare la sicurezza informatica degli enti finanziari, come banche, compagnie assicurative e società di investimento. L’obiettivo è garantire che il settore finanziario europeo rimanga resiliente anche in caso di gravi interruzioni operative.

La domanda principale è: come possono le istituzioni prepararsi alla conformità con il DORA? In questo articolo esploreremo l’ambito della regolamentazione e forniremo esempi pratici su come la tecnologia può supportare i team legali nel raggiungere la conformità.

Da anni, le istituzioni europee supportano attivamente il settore finanziario nella lotta contro le minacce alle Tecnologie dell’Informazione e della Comunicazione (ICT).

Nel 2019, l’Autorità Bancaria Europea (European Banking Authority, EBA) ha pubblicato le Linee Guida sulla Gestione dei Rischi ICT e di Sicurezza. Parallelamente, l’Autorità Europea degli Strumenti Finanziari e dei Mercati (European Securities and Markets Authority, ESMA) ha lavorato con le autorità competenti nazionali su temi correlati, come la protezione degli investitori, la stabilità finanziaria e il funzionamento ordinato dei mercati.

Il DORA amplia l’ambito, la natura e l’approccio delle normative esistenti, per garantire una maggiore resilienza di fronte ai rischi in crescita.

• Ambito: Il nuovo regolamento si applica a una gamma più ampia di istituzioni finanziarie e ai loro fornitori di servizi di terze parti critici (oltre ai semplici fornitori ICT), includendo 20 tipologie di entità finanziarie (FR) e una lista più completa di ICT.
• Natura: A differenza delle linee guida e raccomandazioni precedenti dell’EBA e dell’ESMA, il DORA è una normativa legalmente vincolante, con requisiti e scadenze chiare per la conformità, che obbliga le entità finanziarie ad agire per migliorare la resilienza contro i potenziali rischi di sicurezza.
• Approccio: Il DORA adotta un approccio più completo, considerando l’intero ciclo di vita dei servizi ICT relativi alle istituzioni finanziarie.

Con il cambiamento del panorama finanziario, anche la legislazione deve evolversi. Il DORA ha l’obiettivo di:

• Gestire la crescente dipendenza del settore finanziario dalla tecnologia e dalle aziende tecnologiche.
• Mitigare i rischi di attacchi informatici e incidenti nel settore finanziario, poiché le minacce aumentano continuamente.
• Garantire servizi finanziari stabili e affidabili nell’economia più ampia.

Il DORA si applica a una gamma più ampia di entità finanziarie rispetto alle normative precedenti, includendo banche, assicurazioni e società di investimento di determinate dimensioni. I fornitori di servizi ICT di terze parti sono anch’essi coinvolti, sebbene in modo diverso, visto il loro ruolo cruciale nella cybersicurezza.

Il Digital Operational Resilience Act (DORA) stabilisce diverse responsabilità chiave per le entità finanziarie, al fine di garantire che possano resistere e recuperare da interruzioni legate alle ICT. Le principali responsabilità sono:

Le entità finanziarie devono stabilire e mantenere solidi framework di resilienza operativa digitale, con politiche complete per gestire i rischi ICT lungo l’intero ciclo di vita dei sistemi ICT.

Le entità devono segnalare tempestivamente gli incidenti informatici significativi alle autorità competenti, per garantire un flusso di informazioni cruciale nella gestione dei rischi sistemici e nel miglioramento della resilienza complessiva.

È obbligatorio eseguire regolarmente test di resilienza digitale, che comprendano valutazioni di vulnerabilità, penetration test e esercizi basati su scenari per valutare l’efficacia delle capacità di prevenzione, rilevamento, risposta e recupero.

e entità finanziarie devono gestire i rischi associati ai fornitori di servizi ICT di terze parti, includendo una due diligence approfondita prima di stipulare accordi e un monitoraggio continuo delle prestazioni e della conformità dei fornitori.

Le entità devono implementare un forte framework di governance per supervisionare le attività di gestione del rischio ICT e resilienza, con ruoli e responsabilità chiari e revisioni regolari delle strategie e delle politiche.

Il primo passo fondamentale è creare un elenco dettagliato dei tuoi sistemi e fornitori ICT, identificando quelli che rientrano nel regolamento DORA. Il Digital Operational Resilience Act include una lista di fornitori per facilitare l’identificazione. La lista dei fornitori ICT è definitiva e chiusa: se non trovi un fornitore ICT che corrisponda alle descrizioni di DORA, non è necessario intraprendere ulteriori azioni per quelli.

Come fare? Puoi utilizzare uno strumento di CLM (Contract Lifecycle Management) per individuare i contratti con i fornitori ICT. Questi documenti possono contenere clausole che indicano se un fornitore ICT è soggetto al regolamento DORA. In pochi minuti, puoi cercare le clausole applicabili e generare un elenco dei fornitori ICT potenzialmente coinvolti. L’IA è estremamente utile in questo contesto: semplifica e accelera la ricerca, assicurandoti di non trascurare alcun fornitore.

L’Allegato III degli Implementing Technical Standards (ITS) proposti per il Digital Operational Resilience Act (DORA)contiene l’elenco completo dei servizi ICT considerati.

DORA definisce una serie di funzioni critiche o importanti che possono influenzare la performance, la stabilità e la continuità dei servizi degli Enti Finanziari, impedendo loro di rispettare le normative obbligatorie esistenti.

Una volta identificati i tuoi fornitori ICT, è necessario valutare le funzioni critiche o importanti e sviluppare un piano di test per rispettare gli obblighi previsti dal regolamento.

Come fare? Puoi utilizzare uno strumento di CLM (Contract Lifecycle Management) per cercare specifiche funzioni o servizi offerti dai tuoi fornitori ICT e identificare la necessità e l’ambito dei test. Questa attività può essere completata rapidamente se utilizzi un CLM dotato di potenti funzionalità di IA. Lo strumento consente di cercare nei tuoi contratti parole chiave rilevanti e ottenere risposte in pochi secondi.

Per valutare i rischi potenziali, è necessario disporre di un sistema di monitoraggio solido che consenta di identificare gli incidenti passati e mapparli in modo dettagliato. Inoltre, devi garantire un metodo efficace per creare e condividere i rapporti sugli incidenti con il consiglio di amministrazione e con le autorità di regolamentazione. È obbligatorio, inoltre, effettuare test e monitoraggi continui per mitigare i rischi e le minacce future.

Come fare? La valutazione del rischio si divide in due fasi:

1. Valutazione delle minacce passate e mappatura dettagliata
2. Monitoraggio continuo delle potenziali minacce e delle violazioni della sicurezza

Entrambe le fasi richiedono funzionalità efficienti di reportistica e analisi per facilitare i controlli di conformità e auditing. Puoi sfruttare il tuo strumento per la gestione delle entità legali, se offre capacità di creazione di report. Disporre di un archivio centralizzato facilita la comunicazione con le autorità di regolamentazione. Inoltre, è consigliabile implementare tecnologie per il rilevamento in tempo reale delle minacce.

Potresti dover apportare modifiche per garantire la conformità a DORA. Da un punto di vista pratico, ciò significa creare un team dedicato e allocare le risorse necessarie. Assicurati che siano stati condotti audit esterni e che i processi interni relativi a test, monitoraggio e mappatura siano operativi entro l’inizio del 2025.

Gli strumenti di legal tech, come le piattaforme di Contract Lifecycle Management (CLM) e Entity Legal Management (ELM), offrono una supervisione centralizzata, consentendo un monitoraggio in tempo reale delle attività di conformità, una migliore gestione dei rischi e una reportistica fluida verso le autorità.

Queste soluzioni semplificano i processi di conformità, rendendoli indispensabili per le organizzazioni che devono affrontare i requisiti DORA. Al contrario, non adottare soluzioni specializzate espone le organizzazioni finanziarie a rischi inutili e inefficienze. Senza questi strumenti, i dirigenti devono affrontare sfide come la gestione frammentata dei dati, processi manuali soggetti a errori e ritardi nel rispondere alle richieste normative.

Di seguito, presentiamo tre casi pratici che dimostrano come il LegalTech possa supportare i requisiti DORA.

Il primo passo verso la conformità al DORA consiste nell’identificare i fornitori di servizi ICT che svolgono funzioni critiche o importanti all’interno del tuo ecosistema. Uno strumento di Contract Lifecycle Management (CLM) è prezioso per accelerare questo processo, soprattutto quando dotato di funzionalità avanzate basate sull’AI.

Come:

• Capacità di ricerca avanzate: utilizza il motore di ricerca della piattaforma per identificare contratti con clausole specifiche, come i diritti di audit o gli accordi con subappaltatori, fondamentali per DORA.

• Filtraggio dei contratti: crea filtri per isolare accordi pertinenti, come licenze software o contratti SaaS. Puoi affinare ulteriormente le ricerche aggiungendo parametri per individuare clausole relative ai subappaltatori.

• Estrazione di clausole con AI: anche se le clausole non sono pre-etichettate, l’AI può identificare termini rilevanti, come quelli legati a normative specifiche di un paese.

In pochi minuti, puoi generare un elenco dei fornitori ICT, analizzare le loro clausole di conformità ed esportare questi dati per ulteriori revisioni. Le librerie di clausole AI possono inoltre archiviare tutti i termini contrattuali rilevanti per DORA, garantendo precisione e accesso rapido in caso di necessità.

DORA richiede la segnalazione tempestiva degli incidenti legati all’ICT, indipendentemente dalla loro gravità. Gli incidenti maggiori devono essere segnalati entro un massimo di 24 ore dalla classificazione come critici. I report devono essere dettagliati, coprendo cause principali, sistemi coinvolti e parti interessate.

Una piattaforma di Entity Legal Management (ELM) semplifica il monitoraggio degli incidenti e garantisce una comunicazione efficace con gli stakeholder.

Come:

• Dashboard personalizzabili: utilizza pannelli dedicati per monitorare, documentare e gestire gli incidenti ICT.
• Campi pronti per la regolamentazione: cattura tutti i dati richiesti da DORA, incluse le date di rilevamento, le istituzioni coinvolte e la classificazione degli incidenti.
• Log delle attività: mantieni un registro in tempo reale per monitorare i progressi degli incidenti e documentare le azioni intraprese.
• Report integrati: genera report completi facilmente condivisibili con organi regolatori o comitati interni.

La governance è centrale per la conformità al DORA, richiedendo agli enti finanziari di formalizzare strutture di supervisione e stabilire metodi chiari di comunicazione tra le parti coinvolte. Un software per il consiglio di amministrazione può aiutare a monitorare lo stato delle attività correlate a DORA e a mantenere una chiara tracciabilità degli audit.

Come:

• Software per il consiglio: crea comitati dedicati a DORA con template predefiniti per agende, tracciamento delle presenze e registri decisionali.
• Monitoraggio degli incidenti: presenta aggiornamenti sugli incidenti, revisiona report chiave e documenta le decisioni dei comitati.
• Sincronizzazione con il consiglio: garantisci un allineamento tra comitati DORA e discussioni a livello di consiglio, collegando decisioni e agende.
• Verbali e piani d’azione: registra i verbali delle riunioni, le decisioni e i compiti assegnati, conservandoli per riferimenti futuri.

DORA introduce nuove sfide regolatorie per enti finanziari e fornitori ICT. Con l’evoluzione delle normative, anche le tecnologie di supporto alla conformità devono progredire. Per i team legali e i dirigenti aziendali, adottare gli strumenti giusti è essenziale per rispettare i requisiti normativi, risparmiare tempo e concentrare le energie sulla strategia e sull’allineamento tra risorse interne ed esterne.

DiliTrust Governance offre il supporto necessario per affrontare i requisiti di conformità con efficienza. Prenota una dimostrazione con i nostri esperti.