ESMA Q&A N. 2219: DORA – Chiarimenti sul quadro di gestione del rischio ICT semplificato
Nel dicembre 2024, l’ESMA (European Securities and Markets Authority) ha pubblicato il Q&A N. 2219, fornendo chiarimenti essenziali in merito agli obblighi previsti dal Digital Operational Resilience Act (DORA) per le microimprese e gli enti finanziari spggetto al quadro di gestione del rischio semplificato di cui all’articolo 16, paragrafo 1 della DORA. La Q&A risponde a dubbi interpretativi relativi alla frequenza degli audit interni, ai test ICT per scenari di cyber-attacco e alla gestione dei rischi legati ai sistemi ICT legacy, in un contesto di rischio semplificato.
1. Frequenza degli Audit Interni per Microimprese e Enti Finanziari di cui all’Art. 16, Par. 1
Secondo l’articolo 28 del Regolamento delegato (UE) 2024/1774, gli enti finanziari soggetti al DORA sono obbligati a condurre audit interni sul sistema di gestione del rischio ICT. Tuttavia, il considerando 43 del DORA stabilisce che le microimprese e gli enti finanziari di cui all’art. 16, par. 1 non sono tenuti a condurre audit interni periodici. Questo potrebbe sembrare un contrasto con quanto previsto nel Regolamento delegato. Tuttavia, l’ESMA ha chiarito che non c’è conflitto: le microimprese e gli enti finanziari spggetto al quadro di gestione del rischio semplificato non sono obbligati a condurre audit con una periodicità fissa, ma devono farlo se lo ritengono necessario nel piano di audit interno. La decisione sulla frequenza e sulla necessità di audit interni spetta quindi alla singola entità.
2. Scenari di Cyber-attacco nei Test ICT: Obblighi per Microimprese e Enti Finanziari di cui all’Art. 16, Par. 1
Un altro aspetto trattato riguarda i test ICT nei piani di continuità operativa. L’articolo 11 del DORA esclude le microimprese dall’obbligo di includere scenari di attacco informatico nei loro test di continuità operativa. Tuttavia, il Regolamento delegato (UE) 2024/1774 impone agli enti finanziari di cui all’art. 16, par. 1 di includere tali scenari nei loro test, una disposizione che potrebbe sembrare contraddittoria. ESMA ha chiarito che questa esclusione si applica esclusivamente alle microimprese, mentre gli enti finanziari di cui all’art. 16, par. 1 devono continuare a integrare scenari di cyber-attacco nei loro piani di test, come previsto dall’articolo 39 del Regolamento delegato.
3. Gestione dei Rischi dei Sistemi ICT Legacy: Esclusione per Microimprese, Obbligo per Enti Finanziari di cui all’Art. 16, Par. 1
Il Regolamento DORA prevede che gli enti finanziari gestiscano i rischi associati a sistemi ICT legacy, ossia quelli basati su tecnologie obsolete e non supportate. Il considerando 43 stabilisce che le microimprese e gli enti finanziari di cui all’art. 16, par. 1 non sono obbligati a condurre analisi periodiche dei rischi sui sistemi legacy. Anche in questo caso, l’ESMA ha confermato che non esiste un obbligo di periodicità per tali analisi. Tuttavia, le microimprese, come gli enti finanziari di cui all’art. 16, par. 1, sono tenuti a gestire adeguatamente i rischi associati ai sistemi legacy, anche se non è richiesta una frequenza obbligatoria per l’analisi.
Conclusioni
Questi chiarimenti dell’ESMA forniscono importanti indicazioni per le microimprese e gli enti finanziari di cui all’art. 16, par. 1 che operano nel contesto del DORA, garantendo una comprensione più chiara degli obblighi previsti dal Regolamento. Sebbene le microimprese godano di un trattamento semplificato in termini di frequenza degli audit, test ICT e analisi dei rischi legacy, è fondamentale che esse continuino a gestire i rischi in modo efficace, adattando le pratiche alle proprie dimensioni e necessità operative.