Parto con un evento che nulla a che fare con DORA, ma che ben rispecchia la situazione: ogni volta che c’è una nuova normativa da implementare ecco che compaiono dal nulla esperti della materia.
Pensiamo al documento di indirizzo emesso dall’Autorità Garante sui metadati della posta elettronica, impropriamente definita e-mail dei dipendenti. È dai tempi della richiesta massiva di cancellazione dei dati trattati da Google Analytics che non assistevo a uno scambio così fitto di comunicazioni e pareri, appunto, di “esperti” in ambito privacy.
È vero che il documento del Garante è poco elegante e soprattutto poco strutturato e, a dire il vero qualche perplessità l’ho avuta anch’io, ma pensare che l’Autorità Garante potesse mettere in discussione un articolo del Codice civile presidiato penalmente[1] che prescrive che le lettere (mail comprese) inviate e ricevute devono essere conservate per dieci anni mi sembra troppo (e, infatti, il Garante non l’ha fatto, visto che ha parlato solo di metadati).
Con DORA sembra di essere ritornati ai tempi del GDPR e quindi ecco alcuni pochi semplici consigli.
Gestione di fornitori e outsourcer: limiti e pregi del Regolamento DORA
Indice degli argomenti
Implementare DORA: il ricorso a consulenti esterni
Il primo consiglio in merito alla corretta implementazione del Regolamento DORA riguarda il ricorso a consulenti esterni.
Ho visto numerose presentazioni che illustravano una serie di requisiti e prescrizioni previste da DORA che, francamente, non ho mai trovato citati nella normativa.
Considerando che frequento da un po’ di tempo DORA e che la stesura del mio ultimo libro, contrariamente alle mie abitudini, mi è costata due anni di lavoro, penso di conoscerla abbastanza bene.
I miei consigli al riguardo sono questi.
Il primo, più ovvio e banale, che ripeto ai miei allievi a ogni corso su qualunque argomento è: “leggete il testo della normativa”; non fidatevi di quello che vi raccontano perché in ogni caso è un’interpretazione del vostro interlocutore (consulente o docente che sia).
Questo è anche il motivo per cui nei miei corsi, o nei miei articoli, riporto sempre il testo della normativa; non dovete necessariamente fidarmi di me e quindi leggete il testo della normativa che vi rappresento e fatevi una vostra opinione.
Il secondo consiglio riguarda la necessità che i vostri consulenti diano evidenza delle loro affermazioni.
Se avete dubbi richiedete espressamente in quale parte del testo della normativa viene citato quel particolare requisito.
Al riguardo, non è sufficiente che venga citato il numero dell’articolo; deve essere evidenziato il testo specifico della normativa che richiede espressamente quanto affermato.
Oltre a queste indicazioni vi è anche un altro aspetto che a mio avviso è troppo spesso trascurato e che può avere conseguenze poco piacevoli, sia in termini sanzionatori, sia in termini reputazionali.
Come più volte ho affermato, DORA non è particolarmente innovativa, in quanto i suoi principi sono presenti in normative settoriali precedenti, tuttora in vigore, o in standard e buone pratiche.
Quello che DORA fa è armonizzare il contenuto di tali normative ed estenderne il perimetro di applicazione.
Gli RTS enfatizzano questo concetto in quanto citano molto spesso come fonte i documenti di EBA e di altre autorità; ad esempio, in ambito sicurezza:
- EBA Guidelines on ICT and security risk management (2019);
- EIOPA Guidelines on ICT security and governance (2020);
- Direttiva NIS 2;
- FSB CIRR toolkit;
- The G7 Fundamental Elements of Cyber security in the financial sector;
- CPMI-IOSCO Guidance on cyber resilience for financial market infrastructures;
- BCBS principles for operational resilience and sound management of operational risk;
ovvero, gli RTS citano standard e buone pratiche.
Sempre in ambito sicurezza ad esempio:
- NIST cybersecurity framework components;
- ISO-IEC 27000 family standards.
L’approccio corretto all’implementazione di DORA
Quindi qual è il potenziale problema?
Un approccio corretto all’implementazione della normativa dovrebbe consistere nella esecuzione di una doppia gap analysis.
La prima dovrebbe riguardare una valutazione del gap esistente fra le normative alla quale è attualmente soggetta la specifica entità finanziaria e quanto richiesto da DORA.
Il delta in questo caso è molto variabile, in quanto il perimetro di DORA è molto ampio e le varie entità finanziarie sono soggette a normative molto diverse le une dalle altre.
La seconda gap analysis riguarda il delta fra quanto è effettivamente implementato nella propria realtà rispetto a quanto richiesto da DORA.
Perché è consigliabile eseguire anche il primo tipo di gap analysis e non è opportuno limitarsi al secondo.
Il rischio, analogamente a quanto è spesso accaduto con il GDPR, è che vengano presentati come gap da colmare requisiti normativi ai quali in realtà si era già soggetti.
Nell’ambito GDPR uno dei casi più eclatanti nel quale sono incappati la maggior parte dei titolari (e anche associazioni di alto livello) è stata il presentare nel proprio piano di adeguamento, anche nel corso di convegni, la determinazione dei tempi di conservazione dei dati personali.
In realtà, l’attuale articolo 5 del GDPR, salvo un re-wording, è del tutto analogo a quanto presente del D.lgs. 675/96 e quindi l’obbligo di conservare i dati personali per il tempo strettamente necessario è un requisito normativo in vigore ormai da 27 anni.
Presentare come adeguamento al GDPR la determinazione dei tempi di conservazione, ha quindi evidenziato come tutti questi titolari non abbiano mai rispettato tale requisito nei precedenti 20 anni.
Forse, dal punto di vista sanzionatorio, ormai siamo oltre il limite di applicabilità, ma sicuramente dal punto di vista reputazionale questi titolari hanno evidenziato che, a parte la manchevole conoscenza della normativa, avevano una scarsa considerazione dei diritti e delle libertà dei soggetti di cui trattavano i dati.
Conclucione
Il rischio con DORA è analogo.
Dichiarare nei propri progetti di adeguamento iniziative che in realtà non dovrebbero esistere, in quanto il requisito era già presente nella normativa che l’entità finanziaria doveva seguire, crea una evidenza oggettiva di mancato rispetto della stessa.
Considerando che tali normative sono tutt’ora vigenti, in caso di una visita ispettiva, si rende molto facile la vita all’Autorità di vigilanza di competenza, che potrà sanzionare l’entità finanziaria visto che è lei stessa che ha documentato la sua non conformità.
In sintesi, quindi è opportuno, prima di mettere a terra progetti più o meno complessi e costosi di adeguamento, valutare attentamente quanto espresso nei paragrafi precedenti.
NOTE
- Art. 2220 Codice Civile – Conservazione delle scritture contabili ↑