La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
In esito al mandato negoziale dello scorso novembre, la presidenza del Consiglio europeo ed il Parlamento europeo hanno raggiunto un accordo provvisorio sul Digital Operational Resilience Act (DORA), vale a dire il Regolamento che mira ad assicurare la resilienza operativa digitale del settore finanziario in Europa (con riferimento a tutti i soggetti finanziari regolamentati) in caso di eventi avversi “cyber disruptive”, stabilendo anche un quadro di supervisione per i fornitori ICT terzi critici.
È noto, infatti, come i rischi di frodi, attacchi di phishing e ransomware continuino a rappresentare una grave e purtroppo concreta minaccia sistemica per intere economie e governi.
Rafforzare il sistema della “finanza digitale”
A tal proposito, l’UE al fine di rafforzare la sicurezza informatica di entità finanziarie come banche, compagnie assicurative ed imprese di investimento, ha presentato nel settembre 2020 la proposta DORA. Il Regolamento, invero, fa parte di un più ampio set regolatorio della strategia sulla cosiddetta “finanza digitale”, in essa comprese il mercato delle criptovalute (proposta MiCA) e della tecnologia di contabilità distribuita (proposta DLT), che tende, da un lato a favorire lo sviluppo tecnologico e, dall’altro, a garantire stabilità finanziaria e protezione dei consumatori.
Del resto, come già previsto nel Work Programme 2022 della Commissione europea, la tecnologia e la sostenibilità rappresentano le priorità dell’agenda europea.
Pertanto, nell’orizzonte 2030 della bussola strategica europea sulla trasformazione digitale uno dei fondamentali obiettivi strategici è quello di realizzare un’economia innovativa basata su una tecnologia umano-centrica, affidabile e sicura ed una connettività ad internet sicura e resiliente.
L’European Cyber Resilience Act e DORA
In tale direzione, il preannunciato European Cyber Resilience Act, il cui lancio è stimato per il terzo trimestre del 2022, proporrà in parte nuove regole per i dispositivi connessi al fine di affrontare potenziali vulnerabilità del software e stabilire standard comuni di sicurezza informatica.
Il Regolamento DORA, invece, più verticalmente, colma una lacuna nella legislazione europea nel settore finanziario e, per quanto tenda a garantire che l’attuale quadro giuridico non ponga ostacoli all’uso di nuovi strumenti finanziari digitali, richiede tuttavia che tali nuove tecnologie e prodotti rientrino nell’ambito di applicazione della regolamentazione finanziaria ed accordi di gestione del rischio operativo delle imprese attive nell’UE. Vengono così stabiliti requisiti uniformi per la sicurezza della rete e dei sistemi informativi di aziende e organizzazioni che operano nel settore finanziario, nonché di terze parti critiche che forniscono loro servizi relativi alle TIC (Information Communication Technologies), come piattaforme cloud o servizi di analisi dei dati.
Il nuovo quadro normativo non escluderà l’applicazione della Direttiva sulla sicurezza delle reti e delle informazioni (NIS), su cui peraltro si fonda, e prevederà un’esenzione del rapporto di specialità applicativa soprattutto con riguardo a quegli enti finanziari titolari di diverse autorizzazioni che operano in diversi mercati all’interno dell’UE.
Una rete di sorveglianza congiunta
Nell’ambito del nuovo quadro normativo europeo omogeneo, tutte le aziende avranno come obiettivo prioritario quello di prevenire e mitigare le minacce informatiche e, a tal fine, dovranno valutare la loro capacità di resistere, rispondere e ripristinare tutti i processi primari, rispondendo a tutte le tipologie di interruzione e minacce legate alle TIC, nell’ambito di appositi standard tecnici che a, regime, andranno sviluppati dalle Autorità europee di vigilanza per tutti gli istituti di servizi finanziari, dal settore bancario alle assicurazioni, al risparmio gestito con la supervisione di conformità delle singole autorità nazionali competenti.
Quasi tutti gli enti finanziari saranno soggetti alle nuove regole e, in base all’accordo provvisorio, i fornitori di servizi TIC critici di paesi terzi per entità finanziarie nell’UE dovranno costituire una filiale all’interno dell’UE in modo che la supervisione possa essere adeguatamente attuata.
Inoltre, al fine di rafforzare anche il quadro di sorveglianza, si è convenuto che il nuovo Regolamento andrà a costituire una rete di sorveglianza congiunta che, a regime, renderà più efficace il coordinamento tra le autorità europee di vigilanza competenti, come l’Autorità bancaria europea (ABE), l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA).
Nell’accordo provvisorio viene altresì previsto che le attività di security testing saranno effettuate in modalità di funzionamento e sarà anche possibile includere durante i test le autorità di più Stati membri, mentre il ricorso a revisori interni sarà possibile solo in un numero di circostanze strettamente limitate, fatte salve condizioni di salvaguardia.
L’accordo provvisorio richiede adesso la formale approvazione del Consiglio europeo e del Parlamento europeo come passaggio propedeutico alla procedura di adozione formale.
