DORA: Dal 1° gennaio 2027 gli Intermediari Finanziari (ex art. 106 TUB) saranno assoggettati al nuovo Regolamento UE sulla Resilienza Operativa Digitale
La Commissione XIV della Camera approva il decreto di adeguamento al Regolamento DORA
Lo scorso 6 febbraio 2025, la Commissione XIV Politiche dell’Unione Europea della Camera dei Deputati ha espresso parere favorevole in merito allo schema di decreto legislativo che adegua la normativa nazionale alle disposizioni del Regolamento (UE) 2022/2554 (DORA) e recepisce la Direttiva (UE) 2022/2556.
Tra i soggetti impattati dalla nuova regolamentazione vi sono gli intermediari finanziari iscritti nell’elenco previsto dall’articolo 106 del Testo Unico Bancario (TUB), così come definiti dall’articolo 1, comma 1, lettera g) del TUB. Secondo lo schema di decreto legislativo, tali soggetti saranno formalmente assoggettati al Regolamento DORA a partire dal 1° gennaio 2027.
Quali obblighi derivano dal Regolamento DORA per gli intermediari finanziari?
Gli intermediari finanziari dovranno rispettare specifiche disposizioni del Regolamento DORA, in particolare quelle previste dai seguenti articoli:
1. Governance e Gestione del Rischio TIC
- Articolo 4 – Obblighi generali di gestione del rischio ICT: introduzione di un sistema di gestione del rischio TIC integrato nella governance aziendale.
- Articolo 16, paragrafi 1 e 2 – Strategia di resilienza operativa digitale: implementazione di una strategia specifica per la resilienza operativa digitale.
- Articolo 17 – Gestione dei rischi dei fornitori terzi di servizi TIC: definizione di processi per la gestione del rischio derivante da outsourcing TIC.
2. Testing e Audit
- Articolo 18, paragrafi 1 e 2 – Test sulla resilienza operativa digitale: obbligo di effettuare test periodici di vulnerabilità e di resilienza.
- Articolo 25, paragrafo 1 – Testing per microimprese: esecuzione di test in modalità semplificata per gli intermediari finanziari che rientrano nella definizione di microimprese.
3. Incident Reporting e Sicurezza
- Articolo 19, paragrafi 1, 2, 3, 4 e 5 – Segnalazione degli incidenti TIC: obbligo di notificare gravi incidenti ICT alle autorità di vigilanza.
- Articolo 22, paragrafo 1 – Analisi degli incidenti TIC: implementazione di procedure per l’analisi post-incidenti e azioni correttive.
4. Esternalizzazione e Relazioni con Fornitori TIC
- Articolo 24 – Obblighi per le entità finanziarie in materia di gestione del rischio ICT.
- Articolo 28, paragrafi 1, 3, 4, 5, 6, 7 e 8 – Contratti con fornitori terzi di servizi TIC: introduzione di requisiti contrattuali minimi con i fornitori.
- Articolo 29 – Registro dei fornitori terzi critici: obbligo di mantenere un registro aggiornato delle relazioni contrattuali con fornitori TIC.
5. Poteri di Vigilanza e Sanzioni
- Articolo 30, paragrafi 1, 2, 3 e 4 – Vigilanza delle autorità competenti: obbligo di sottoporsi a controlli da parte di Banca d’Italia e Consob.
- Articolo 31, paragrafo 12 – Cooperazione tra autorità di vigilanza: collaborazione con altre autorità nazionali e sovranazionali.
Impatto per gli Intermediari Finanziari
L’adeguamento a DORA comporterà per gli intermediari finanziari significativi cambiamenti operativi, tra cui:
- aumento degli investimenti in cybersecurity e risk management TIC,
- maggiore compliance e obblighi di reporting verso le autorità,
- necessità di implementare nuove procedure per il monitoraggio e la gestione dei fornitori TIC,
- introduzione di test e simulazioni per valutare la resilienza operativa digitale,
- potenziamento delle capacità di risposta agli incidenti informatici.
Prossimi Passi
Gli obblighi per gli intermediari finanziari diventeranno applicabili dal 1° gennaio 2027. Sarà quindi fondamentale che gli intermediari inizino fin da ora ad adottare le misure necessarie per conformarsi alle nuove disposizioni, per evitare sanzioni e garantire la continuità operativa.
DOCUMENTAZIONE
SCHEMA DEL DECRETO LEGISLATIVO RECANTE DISPOSIZIONI PER L’ADEGUANTO A DORA