Il Regolamento DORA, applicando un principio già presente in numerose altre normative, sia nazionali sia europee, introduce dei parametri che obbligano l’implementazione una serie di requisiti di sicurezza, solo in presenza di determinate condizioni, tali da attribuire a una funzione lo status di essenziale o importante.
Ben inteso, tali parametri non sono limitativi, nel senso che un’entità finanziaria può estendere l’implementazione di tali requisiti a tutti i suoi processi o, per meglio dire, funzioni.
Indice degli argomenti
DORA, funzioni essenziali o importanti: lettura normativa
In particolare, sono i seguenti sei articoli che citano specificatamente tali funzioni come perimetro di applicazione dei vari requisiti.
Articolo 12
Politiche e procedure di backup – Procedure e metodi di ripristino e recupero
6. Nel determinare gli obiettivi in materia di punti di ripristino e tempi di ripristino di ciascuna funzione, le entità finanziarie tengono conto del fatto che si tratti di una funzione essenziale o importante e del potenziale impatto complessivo sull’efficienza del mercato. Questi obiettivi in materia di tempi garantiscono che i livelli di servizi concordati siano rispettati anche in scenari estremi.
Articolo 15
Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico
e) Specificare ulteriormente i test sui piani di continuità operativa delle TIC di cui all’articolo 11, paragrafo 6, per garantire che tali test tengano debitamente conto degli scenari in cui la qualità dell’esercizio di una funzione essenziale o importante si deteriora a un livello inaccettabile o viene meno, e che considerino adeguatamente il potenziale impatto dell’insolvenza o di altre disfunzioni di pertinenti fornitori terzi di servizi TIC e, se del caso, i rischi politici nelle giurisdizioni dei rispettivi fornitori.
Articolo 16
Quadro semplificato per la gestione dei rischi informatici
3. Tramite il comitato congiunto e in consultazione con l’ENISA, le AEV elaborano progetti di norme tecniche di regolamentazione comuni al fine di:
…
d) specificare ulteriormente le norme riguardanti i test sui piani di continuità operativa e assicurare l’efficacia dei controlli di cui al paragrafo 1, secondo comma, lettera g), e garantire che tali test tengano debitamente conto degli scenari in cui la qualità dell’esercizio di una funzione essenziale o importante si deteriora a un livello inaccettabile o viene meno;
Articolo 28
Principi generali
4. Prima di stipulare un accordo contrattuale per l’utilizzo di servizi TIC, le entità finanziarie:
a) valutano se l’accordo contrattuale riguardi l’utilizzo di servizi TIC a supporto di una funzione essenziale o importante
Articolo 29
Valutazione preliminare del rischio di concentrazione delle TIC a livello di entità
2. Qualora gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti prevedano la possibilità che un fornitore terzo di servizi TIC subappalti a sua volta servizi TIC a supporto di una funzione essenziale o importante ad altri fornitori terzi di servizi TIC, le entità finanziarie vagliano i benefici e i rischi che possono derivare da tale subappalto, in particolare nel caso di un subappaltatore di TIC stabilito in un paese terzo.
Articolo 30
Principali disposizioni contrattuali
2. Gli accordi contrattuali per l’utilizzo di servizi TIC comprendono almeno gli elementi seguenti:
a) la descrizione chiara e completa di tutte le funzioni che il fornitore terzo di servizi TIC deve svolgere e tutti i servizi TIC che deve prestare, comprese l’indicazione dell’eventuale autorizzazione a subappaltare un servizio TIC a sostegno di una funzione essenziale o importante o parti significative di essa e, in caso affermativo, le condizioni di tale subappalto.
Applicare i requisiti di sicurezza a ogni processo e funzione
È evidente che, considerando la finalità di DORA, non dovrebbe essere così rilevante individuare questo tipo di funzioni da parte di un’entità finanziaria, in quanto sarebbe assolutamente opportuno e ragionevole, applicare i requisiti di sicurezza suggeriti da DORA ad ogni processo e funzione.
È innegabile, tuttavia, che l’approccio all’implementazione di DORA da parte delle entità finanziarie sia, nella maggior parte dei casi, puramente normativo.
In altre parole, anche se DORA nasce con l’intento di aumentare la resilienza delle entità finanziarie, e quindi per garantire la loro sopravvivenza in caso di eventi avversi (a differenza, ad esempio, del GDPR, dove l’oggetto di tutela non sono i soggetti che trattano i dati, nel nostro caso le entità finanziarie, ma i soggetti i cui dati sono trattati), la visione delle entità finanziarie è spesso miope e tesa a minimizzare gli adempimenti richiesti a quanto strettamente necessario.
Un approccio molto comune, in realtà, a tutti i settori, dove spesso gli investimenti e il tempo spesi per limitare il perimetro di applicazione di uno specifico adempimento sono largamente superiori a quelli derivanti dall’applicazione dell’adempimento stesso a tutti i propri processi.
In considerazione del fatto che questo anomalo tipo di approccio è comunque il più diffuso, è importante capire quale sia la corretta definizione di funzione essenziale o importante.
DORA ne riporta una specifica definizione nell’articolo 3:
«funzione essenziale o importante»: una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento, da parte dell’entità finanziaria, delle condizioni e degli obblighi inerenti alla sua autorizzazione o di altri obblighi previsti dalla normativa applicabile in materia di servizi finanziari;
Norme italiane e UE che specificano il concetto di funzione
In realtà, DORA non specifica cosa intenda per funzione e quindi, al riguardo, è utile rifarsi a definizioni che sono presenti in altre normative, quali la Circolare 285 di Banca d’Italia o, come DORA stesso cita nel considerando 70, la Direttiva 2014/59/UE.
Circolare 285 di Banca d’Italia
— “funzione aziendale”: l’insieme dei compiti e delle responsabilità assegnate per l’espletamento di una determinata fase dell’attività aziendale. Sulla base della rilevanza della fase svolta, la funzione è incardinata presso una specifica unità organizzativa;
— “funzione essenziale o importante”: una funzione per la quale risulta verificata al-meno una delle seguenti condizioni:
i. un’anomalia nella sua esecuzione o la sua mancata esecuzione possono compro-mettere gravemente:
a. i risultati finanziari, la solidità o la continuità dell’attività della banca; ovvero
b. la capacità della banca di conformarsi nel continuo alle condizioni e agli obblighi derivanti dalla sua autorizzazione o agli obblighi previsti dalla disciplina di vigilanza;
ii. riguarda funzioni relative ad attività sottoposte a riserva di legge, nella misura in cui la prestazione di tali attività richiede l’autorizzazione da parte di un’autorità di vigilanza;
iii. riguarda compiti operativi delle funzioni aziendali di controllo, a meno che la valutazione dell’essenzialità e dell’importanza della funzione svolta dalla banca non stabilisca che la mancata o inadeguata esecuzione di questi compiti operativi non avrebbe impatti negativi sull’efficacia delle funzioni aziendali di controllo.
Regolamento DORA
Considerando 70. La definizione di «funzione essenziale o importante» di cui al presente regolamento comprende le «funzioni essenziali» definite all’articolo 2, paragrafo 1, punto 35), della direttiva 2014/59/UE del Parlamento europeo e del Consiglio (20).
Di conseguenza, le funzioni ritenute essenziali ai sensi della direttiva 2014/59/UE sono incluse nella definizione di funzioni essenziali ai sensi del presente regolamento.
Direttiva 2014/59/UE
35) «funzioni essenziali»: attività, servizi o operazioni la cui interruzione porterebbe verosimilmente, in uno o più Stati membri, all’interruzione di servizi essenziali per l’economia reale o potrebbe compromettere la stabilità finanziaria a motivo della dimensione, della quota di mercato, delle interconnessioni esterne ed interne, della complessità o delle attività transfrontaliere di un ente o gruppo, con particolare riguardo alla sostituibilità di tali attività, servizi o operazioni.
Documento di indirizzo di EBA
Passando ad un’altra autorità di Vigilanza, la definizione di funzione essenziale o importante si ritrova anche nel documento di EBA Orientamenti in materia di esternalizzazione, che recita:
29. Gli enti e gli istituti di pagamento dovrebbero sempre considerare una funzione come essenziale o importante nelle seguenti situazioni16:
a. se un’anomalia nella sua esecuzione o la sua mancata esecuzione comprometterebbero gravemente:
i. il rispetto nel continuo delle condizioni della loro autorizzazione o degli altri obblighi previsti dalla direttiva 2013/36/UE, dal regolamento (UE) n. 575/2013, dalla direttiva 2014/65/UE, dalla direttiva (UE) 2015/2366 e dalla direttiva 2009/110/CE e dei loro obblighi normativi;
ii. i risultati finanziari; o
iii. la solidità o la continuità delle attività bancarie o dei servizi di pagamento svolti;
b. quando sono esternalizzati compiti operativi delle funzioni di controllo interno, a meno che la valutazione non stabilisca che la mancata esecuzione della funzione esternalizzata o un’esecuzione inadeguata della stessa non avrebbe un impatto negativo sull’efficacia della funzione di controllo interno;
c. quando intendono esternalizzare le funzioni relative ad attività bancarie o a servizi di pagamento in misura tale da richiedere l’autorizzazione17 di un’autorità competente, come indicato nella sezione 12.1.
La nota di Banca d’Italia
Considerando l’interpretabilità (voluta) della definizione nelle normative, è utile rifarsi ad una specifica nota di Banca d’Italia, che elenca in modo più puntuale, anche se esemplificativo, quelle che possono essere le funzioni operative importanti:
…
Rientra nella responsabilità delle banche l’individuazione delle funzioni aziendali per le quali sussistono le condizioni previste dalla normativa e che quindi si qualificano come funzioni operative importanti. A titolo meramente esemplificativo, rientrano tra le funzioni operative importanti le funzioni di back office, il servizio archivio digitale e/o cartaceo, il recupero crediti, il sistema informativo, la delega di gestione di proprie attività, il trasporto valori, le segnalazioni di vigilanza.
Mantenere la conformità alle altre normative
Un aspetto che non va assolutamente trascurato è che la definizione introdotta da DORA non è sostitutiva di quella presente in altre normative tutt’ora vigenti e analogamente questo vale per le misure di sicurezza richieste da DORA.
Quindi, salvo che dopo la piena efficacia di DORA, non vengano modificate le definizioni che delle funzioni essenziali o importanti danno le altre normative, sarà necessario mantenere, nel proprio perimetro di attenzione, tutte le funzioni individuate in base a tutte le normative ancora in vigore.
Ad esempio, non va dimenticato che DORA si occupa solo dei servizi digitali mentre, ad esempio, Banca d’Italia o le altre normative di EBA, EIOPA, ESMA e via dicendo, considerano anche i processi che vengono agiti al di fuori del sistema informativo.
Nell’elenco prima riportato, ad esempio, Banca d’Italia comprende fra le funzioni importanti (e quindi, per intenderci, che entrano nel piano di BC), il servizio archivio cartaceo o il trasporto valori.
Conclusioni
Attenzione, quindi, a non cadere nell’errore di rivedere il proprio perimetro del piano di continuità operativa, escludendo processi prima ricompresi, per una errata convinzione di doversi adeguare a DORA, anche perché DORA, non si occupa della continuità operativa di una entità finanziaria, ma solo dalla continuità operativa delle componenti ICT. Quindi, attenzione a non rendere la propria organizzazione dora centrica, perché in questo caso il rischio è di non essere più conformi rispetto a molte altre normative tutt’ora in vigore.
