La fornitura di servizi TIC (Tecnologie della Comunicazione e dell’Informazione) da parte di operatori terzi alle entità finanziarie riveste oggi un ruolo fondamentale all’interno del sistema finanziario dell’Unione europea: l’eventuale interruzione della fornitura di tali servizi non solo compromette gli interessi delle entità clienti, ma rappresenta un potenziale rischio sistemico per la stabilità finanziaria del mercato interno.
Alla luce di tale dipendenza, e con l’intento di rafforzare la resilienza operativa digitale delle entità finanziarie, il Regolamento DORA introduce un dettagliato quadro di sorveglianza dei fornitori terzi critici di servizi TIC, sviluppando una rete di controllo comune agli Stati membri UE e armonizzando le pratiche di vigilanza dei rischi informatici.
A detta struttura di controllo il legislatore europeo affianca, inoltre, un sistema sanzionatorio dall’effetto dissuasivo, proporzionato alle eventuali violazioni della normativa in parola.
Comunicazione e condivisione delle informazioni sui rischi cyber: cosa prevede il Regolamento DORA
Indice degli argomenti
Quadro di sorveglianza: designazione dei fornitori terzi critici di servizi TIC
Il sistema di sorveglianza postula, anzitutto, l’individuazione dei fornitori terzi di servizi TIC considerati critici che, in quanto tali, sono destinatari del meccanismo di controllo demandato alle Autorità di vigilanza europee.
Dette Autorità procedono alla designazione dei fornitori critici in virtù di criteri qualitativi e quantitativi, volti a stabilire quanto il settore finanziario comunitario dipenda da tali fornitori.
Tra gli indici rilevanti ai fini della valutazione, l’art. 31, co.2 del Regolamento considera:
- l’impatto che un’eventuale “disfunzione operativa” del fornitore terzo di servizi TIC avrebbe a livello sistemico sulla stabilità della fornitura stessa;
- la dipendenza delle entità finanziarie dal fornitore, avendo particolare riguardo alle funzioni essenziali o importanti;
- la reperibilità di fornitori terzi di servizi TIC alternativi all’interno del mercato di riferimento, nonché gli switching costs derivanti dal cambio di fornitore.
Ultimata la valutazione, le Autorità di vigilanza europee notificano al fornitore terzo di servizi TIC la sua designazione in termini di soggetto “critico” e la data a partire dalla quale verrà sottoposto al regime di sorveglianza.
A questo punto, spetta al fornitore designato comunicare alle rispettive entità finanziarie clienti la criticità allo stesso attribuita.
Le Autorità di vigilanza europee provvedono, inoltre, a stilare, pubblicare e aggiornare annualmente l’elenco dei fornitori terzi critici di servizi TIC.
Compiti e poteri delle Autorità europee di vigilanza
L’efficacia del quadro di sorveglianza dipende, in primo luogo, dalla cooperazione tra il fornitore terzo critico di servizi TIC e l’autorità di sorveglianza capofila, in quanto quest’ultima rappresenta il principale punto di riferimento dei fornitori terzi. In particolare, l’autorità verifica che i fornitori critici siano dotati dei meccanismi necessari ai fini della gestione dei rischi informatici che potrebbero colpire le entità finanziarie, specialmente nelle ipotesi in cui i servizi vengono forniti a supporto di funzioni essenziali o importanti delle entità clienti.
Detta verifica ha ad oggetto diversi meccanismi e procedure tra cui, a titolo esemplificativo:
- i requisiti che assicurano la qualità dei servizi TIC forniti alle entità finanziarie;
- le procedure di gestione dei rischi informatici in grado di garantire la fornitura dei servizi TIC senza soluzione di continuità;
- la capacità di segnalare, gestire e risolvere prontamente eventuali incidenti informatici;
- gli audit in materia di TIC[1].
Per poter effettuare la valutazione dei fornitori terzi critici di servizi TIC, l’autorità di sorveglianza può imporre ai fornitori interessati di trasmettere le informazioni necessarie (art. 37), svolgere indagini generali esaminando, ad esempio, registri, procedure e materiali considerati rilevanti (art. 38), ovvero procedere tramite ispezioni tanto presso i locali dei fornitori terzi critici quanto extra loco (art. 39).
Completata la valutazione, l’autorità adotta un piano di sorveglianza individuale, motivato ed elaborato su misura per ciascun fornitore terzo critico di servizi TIC, in cui si specificano l’esito delle verifiche eseguite, gli obiettivi annuali e i provvedimenti in materia di sorveglianza a cui il fornitore interessato sarà chiamato ad allinearsi.
Regime sanzionatorio
La collaborazione tra l’autorità di sorveglianza e il fornitore critico è di vitale importanza per garantire l’efficacia del sistema di controllo: qualora, ad esempio, il fornitore critico si rifiutasse di trasmettere le informazioni necessarie all’autorità, sarebbe impossibile per quest’ultima adempiere ai propri doveri di sorveglianza. Alla luce di tale interdipendenza, il Regolamento DORA introduce un apposito regime sanzionatorio.
Fatto salvo il diritto degli Stati membri di perseguire eventuali violazioni del Regolamento tramite sanzioni penali[2], l’art. 50 legittima l’autorità competente ad imporre una serie di sanzioni amministrative o misure di riparazione che esplichino, ad esempio, una funzione inibitoria imponendo l’interruzione della condotta in essere.
I provvedimenti dell’autorità devono essere motivati ed assicurare al destinatario degli stessi il diritto di ricorso.
Con riguardo al regime sanzionatorio l’art. 51, infine, precisa che la portata delle sanzioni o delle misure imposte deve essere proporzionata alle circostanze che caratterizzano la violazione occorsa, quali, ad esempio, la gravità e la durata della stessa o le eventuali previe condotte inadempienti tenute dalla persona fisica o giuridica responsabile.
NOTE
