Chi si aspettava che le norme tecniche emesse per completare il quadro del Regolamento DORA fossero effettivamente innovative, dettagliate e tecnicamente all’avanguardia sarà sicuramente rimasto deluso.
Ci troviamo di fronte a testi di alto livello, che lasciano moltissimo spazio all’interpretazione e rimandano alla valutazione soggettiva del singolo ente coinvolto la scelta in merito a molti aspetti pratici.
DORA, pubblicate nuove norme tecniche e linee guida: ecco come cambia la gestione del rischio
Indice degli argomenti
DORA e i limiti delle certificazioni dei fornitori
È vero che il concetto di responsabilizzazione dei soggetti che devono applicare i requisiti di una normativa è una costante presente in numerosi Regolamenti, a cominciare dal GDPR che, essendo di applicazione generalizzata, ha fatto conoscere a tutti questo principio.
Tuttavia, la differenza fra GDPR e DORA è che gli enti incaricati di tradurre il testo normativo in qualcosa di più pratico e comprensibile ai soggetti che le devono rispettare, hanno operato in modo molto diverso.
L’EDPB pubblica periodicamente linee guida corpose e sufficientemente concrete.
Le ESA viceversa hanno mantenuto in molti RTS un livello molto alto che poco aiuta chi deve poi tradurre in pratica l’applicazione di DORA.
Un aspetto interessante è che molto spesso gli RTS riprendono quasi parola per parola documenti preesistenti, in particolare le normative dell’European Banking Authority (EBA), motivo per cui, chi già era soggetto a tale regolamentazione si trova enormemente avvantaggiato in quanto potenzialmente già conforme al nuovo Regolamento.
In realtà tutto questo non è una grossa novità.
Nel mio libro Manuale di resilienza, fondamenti per l’implementazione di DORA pubblicato nel giugno del 2023 e quindi prima della formalizzazione di qualunque RTS, davo per scontato che questi ultimi non apportassero nessuna innovazione, né al quadro normativo, né a quelli che sono standard e buone pratiche nell’ambito della sicurezza e della resilienza operativa e quindi fornivo indicazioni su come implementare da subito DORA.
DORA: i dettagli delle norme tecniche sulla verifica dei fornitori
Ci sono alcune situazioni nelle quali, invece, gli RTS sono particolarmente chiari e precisi.
Ne sono un esempio le attività relative alla verifica sui fornitori.
Prendiamo, ad esempio, uno dei documenti emessi a metà gennaio di quest’anno e più precisamente l’RTS “Draft Regulatory Technical Standards to specify the detailed content of the policy in relation to the contractual arrangements on the use of ICT services supporting critical or important functions provided by ICT third-party service providers as mandated by Regulation (EU) 2022/2554”.
In particolare, prendiamo in considerazione l’articolo 8, dedicato alle clausole contrattuali con i fornitori ICT che supportano funzioni critiche o importanti.
In questo articolo viene limitato il possibile uso delle certificazioni quale strumento di valutazione delle reali capacità di un fornitore.
L’uso delle certificazioni è condizionato dalla presenza di una serie di condizioni, così come elencate nel comma 3 dello stesso articolo 8, che specifica inoltre che il loro uso di per sé stesso non è sufficiente a fornire garanzie circa le reali capacità del fornitore.
Article 8 – Contractual clauses for the use of ICT services supporting critical or important functions
(1) The policy on the use of ICT services supporting critical or important functions provided by ICT third-party service providers shall specify that the relevant contractual arrangement shall be written and shall include all the elements set out by Article 30(2) and 30(3) of Regulation (EU) 2022/2554. The policy shall also include elements regarding requirements applicable to financial entities as per Article 1 (1)(a) of Regulation (EU) 2022/2554, as well as other relevant Union and national law as appropriate.
(2) The policy referred to in paragraph 1 shall specify that the relevant contractual arrangements shall include information access, inspection, audit, and ICT testing rights. The policy shall foresee that without prejudice to the final responsibility of the financial entity, the financial entity shall use for this purpose:
(a) its own internal audit or an appointed third party;
(b) where appropriate, pooled audits and pooled ICT testing, including threat-led penetration testing, organised jointly with other contracting financial entities or firms that use ICT services of the same ICT third-party service provider, that are performed by them and these contracting financial entities or firms or by a third party appointed by them;
(c) where appropriate, third-party certifications
(d) where appropriate third-party or internal audit reports made available by the ICT third-party service provider.
(3) The financial entity shall not rely solely on certifications under paragraph (2)(c) or reports under paragraph (2) (d) over time and these shall be used only if it:
(a) is satisfied with the audit plan of the ICT service third-party provider for the relevant contractual arrangements;
(b) ensures that the scope of the certifications or audit reports cover the systems and key controls identified by the financial entity and the compliance with relevant regulatory requirements;
(c) thoroughly assesses the content of the certifications or audit reports on an ongoing basis and verify that the reports or certifications are not obsolete;
(d) ensures that key systems and controls are covered in future versions of the certification or audit report;
(e) is satisfied with the aptitude of the certifying or auditing party;
(f) is satisfied that the certifications are issued, and the audits are performed against widely recognised relevant professional standards and include a test of the operational effectiveness of the key controls in place;
(g) has the contractual right to request the expansion of the scope of the certifications or audit reports to other relevant systems and controls; whereby the number and frequency of such requests for scope modification shall be reasonable and legitimate from a risk management perspective; and
(h) retains the contractual right to perform individual and pooled audits at its discretion with regard to the relevant contractual arrangements and execute them in line with the contracted frequency.
(4) The policy referred to in paragraph 1 shall ensure that material changes to the relevant contractual agreement shall be formalised in a written document, dated, and signed by all parties and shall specify the renewal process for contractual arrangements.
Quindi, anche se molti fornitori rendono disponibili sul proprio sito audit di terze parti e certificazioni, questi elementi non sono una garanzia sufficiente sulla quale un’entità finanziaria può fare affidamento.
Le regole EBA in materia di audit e certificazione
In realtà questa impostazione non è innovativa, in quanto rispecchia il contenuto di quanto già previsto da EBA nel suo documento Orientamenti in materia di esternalizzazione:
EBA – Audit e certificazione
91. Fatta salva la loro responsabilità ultima per quanto riguarda gli accordi di esternalizzazione, gli enti e gli istituti di pagamento possono avvalersi di:
a. verifiche congiunte di audit organizzate insieme ad altri clienti dello stesso fornitore di servizi ed eseguite da essi e da tali clienti o da un soggetto terzo da questi nominato, al fine di utilizzare in modo più efficiente le risorse di audit e ridurre gli oneri organizzativi sia per i clienti sia per il fornitore di servizi;
b. certificazioni di soggetti terzi e relazioni di soggetti terzi o dell’audit interno messe a disposizione dal fornitore di servizi.
92. Per l’esternalizzazione di funzioni essenziali o importanti, gli enti e gli istituti di pagamento dovrebbero valutare se le certificazioni e le relazioni di terzi di cui al paragrafo 91, lettera b), sono adeguate e sufficienti per ottemperare ai loro obblighi normativi e non dovrebbero basarsi esclusivamente su tali relazioni nel tempo.
93. Gli enti e gli istituti di pagamento dovrebbero utilizzare il metodo di cui al paragrafo 91, lettera b), solo se:
a. considerano adeguato il piano di audit per la funzione esternalizzata;
b. assicurano che l’ambito della certificazione o della relazione di audit comprenda i sistemi (ossia i processi, le applicazioni, l’infrastruttura, i centri dati ecc.) e i controlli essenziali individuati dall’ente o dall’istituto di pagamento e la conformità agli obblighi normativi pertinenti;
c. sottopongono a valutazione accurata il contenuto delle certificazioni o delle relazioni di audit su base continuativa e verificano che le certificazioni o le relazioni non siano obsolete;
d. assicurano che i controlli e i sistemi essenziali siano compresi anche nelle versioni successive della certificazione o della relazione di audit;
e. considerano idoneo il soggetto che esegue la certificazione o la verifica di audit (per quanto riguarda, ad esempio, la rotazione delle società di certificazione o di audit, le qualifiche, le competenze, la riesecuzione/verifica relativa alle risultanze contenute nel fascicolo dell’audit);
f. assicurano che le certificazioni siano rilasciate e che le verifiche di audit siano espletate sulla base di standard professionali ampiamente riconosciuti e che comprendano anche una verifica dell’efficacia operativa dei controlli essenziali in essere;
g. hanno il diritto contrattuale di chiedere l’ampliamento dell’ambito delle certificazioni o delle relazioni di audit per includervi altri sistemi e controlli; il numero e la frequenza di tali richieste di modifica dell’ambito dovrebbero essere ragionevoli e giustificati in un’ottica di gestione dei rischi; e h. mantengono il diritto contrattuale di eseguire a loro discrezione singole verifiche di audit con riferimento all’esternalizzazione di funzioni essenziali o importanti.
La differenza sostanziale fra queste due normative
Qual è, dunque, la differenza sostanziale tra queste due normative?
DORA è un Regolamento emesso dal Parlamento europeo, che si applica agli enti finanziari (circa 20 diverse categorie di tipologie di enti) ed ai loro fornitori.
EBA è una normativa emesso da un’autorità di vigilanza e si applica solo ai soggetti vigilati dalla stessa.
Quindi la differenza sostanziale è che DORA aumenta notevolmente la platea di soggetti che non possono considerare le certificazioni dei loro fornitori come uno strumento di garanzia assoluto.
È evidente che questo, come tutti gli altri adempimenti di DORA, si ripercuote su un numero molto più ampio dei soggetti direttamente coinvolti (circa 20000 secondo lo stesso DORA) in quanto che, i fornitori dei fornitori, anche se non devono rispettare DORA, saranno chiamati indirettamente a rispettarne i requisiti, pena la loro esclusione dal mercato.
Un aspetto, quest’ultimo, che ancora non è chiaro alla maggior parte dei soggetti interessati, ma il tempo stringe.
Conclusioni
Ormai manca meno di un anno alla piena efficacia di DORA e il reale impatto di tale regolamento è ignorato dalla maggior parte dei soggetti indirettamente coinvolti, analogamente a quanto sta accadendo con la direttiva Corporate Sustainability Reporting Directive, sulla sostenibilità.
Il rischio che molte piccole imprese finiscano fuori mercato è quindi tutt’altro che trascurabile.
