Contributo Regolamento DORA
Il 27 dicembre 2022 sono stati pubblicati nella Gazzetta Ufficiale dell’Unione Europea (qui il link ) il Regolamento UE 2022/2554 del 14 dicembre 2022, chiamato anche Regolamento D.O.R.A. (Digital Operational Resilience Act) e la direttiva NIS2 (Network and Information Security), n. 2022/2555.
Tali atti sono il risultato della recente politica dell’Unione che, negli ultimi anni, ha posto tra i propri obiettivi quello di uniformare le discipline dei singoli Stati membri in materia di cybersecurity.
Questo procedimento di armonizzazione è iniziato con la pubblicazione della Direttiva NIS1, sulla sicurezza delle reti e dei sistemi informativi dell’Unione (Direttiva NISUE 2016/1148).
La Direttiva in questione, recepita in Italia con il D.Lgs. n. 65 del 18 maggio 2018, si applica agli Operatori dei servizi essenziali (OES) stabiliti nell’UE, nonché ai Fornitori dei servizi digitali (FSD) che offrono servizi a persone all’interno dell’UE (che abbiano almeno 50 dipendenti ed un fatturato annuo superiore a 10 milioni di euro), ed ha la finalità di raggiungere un elevato sistema di sicurezza delle reti dei sistemi di informazione, in tutti gli Stati membri.
Per raggiungere tale scopo si prevedevano:
- Adozione di misure tecniche e organizzative;
- Risk assesement;
- Misure di prevenzione o di minimizzazione dell’impatto;
- Comunicazione all’autorità, senza ingiustificati ritardi, di eventuali incidenti;
Le sanzioni previste possono arrivare fino a 150 mila euro, e per adeguarsi a tali prescrizioni i soggetti interessati devono attuare un programma di cyber-resilienza, attraverso l’adozione di sistemi di gestione integrata (ISO 27001 e 22301).
La Direttiva NIS2, le cui norme diventeranno vincolanti a partire dal 18 ottobre 2024, rappresenta una specificazione della NIS1, apparsa eccessivamente generica e rivolta ad un alveo ristretto di soggetti.
Da questo punto di vista, dunque, la NIS2 innanzitutto ampia la platea di soggetti interessati, estendendo la disciplina contenuta nella Direttiva a settori che prima erano esclusi, quali ad esempio quello dei servizi sanitari, dei servizi digitali e dei servizi di produzione, trasformazione e distribuzione di cibo ed altri; inoltre, non ci sono indicazioni sulle dimensioni delle imprese, potendovi rientrare, potenzialmente, anche le piccole e medie imprese.
Inoltre, nel prevedere la necessità, per gli Stati membri di adottare “misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi”, la nuova Direttiva fornisce ora un elenco dettagliato di misure tecniche, operative e organizzative minime.
L’obbligo di notifica già previsto nella NIS1 viene determinato in 24 ore per l’invio di un “early warning” ed in 72 ore per l’invio di una relazione dettagliata.
Aumentano anche le sanzioni previste, che possono arrivare fino a 10milioni di euro o al 2% del fatturato globale annuo in caso di società essenziali, o a 7 milioni di euro o al,1,7% in caso di società importanti.
Sempre il 27 dicembre 2022 è stato pubblicato anche il Regolamento D.O.R.A., che diventerà vincolante a partire dal 17 gennaio 2025, e che verrà applicato a tutti gli operatori del settore finanziario (Es. banche, imprese di investimento, assicurazioni, aziende di cripto-asset, fornitori di
servizi cloud ecc…).
Ricalcando il solco tracciato dalle direttive NIS, il Regolamento cristallizza la necessità, per i soggetti interessati:
- Di dotarsi di una Governance interna in materia di cybersecurity, con obblighi a carico dell’organo di gestione
- Di dotarsi di un programma di gestione del rischio
- Di dotarsi di un programma di gestione degli incidenti
- Particolarmente importanti, sul piano pratico, sono le previsioni degli artt. 28-44 che si occupano
della gestione dei rapporti con i soggetti terzi, fornitori di servizi ICT.
Da questo punto di vista, aumentano infatti i poteri di sorveglianza delle autorità di vigilanza finanziaria e vengono delineate delle linee guida negli assetti contrattuali, che regolino le varie fasi del rapporto, a partire dalla stipula.
Sarà quindi necessaria una valutazione del rischio anche in relazione a tali soggetti terzi, provvedendo eventualmente alla rinegoziazione del contratto, al fine di renderlo conforme al Regolamento.
Queste novità assumono grande rilevanza sul piano dei rapporti con gli utenti finali, specialmente nelle ipotesi di truffe informatiche (es. phishing), dal momento che i soggetti fornitori saranno gravati dall’onere di dimostrare di aver adottato una governance interna adeguata ed in linea con le prescrizioni europee, non essendo più sufficiente il fatto di avere genericamente adottato “adeguate misure tecniche e organizzative”.
Ancora una volta, emerge la necessità, per gli attori economici di dotarsi di una compliance aggiornata ma, soprattutto, integrata, dal momento che un assetto che tuteli l’ente dai rischi informatici, lo renderà più facilmente compilant anche in relazione agli oneri in materia di privacy, potendosi integrare con successo anche con il modello 231.
Lo studio legale Schiaffino & Partners è a disposizione per effettuare consulenze aziendali ai fini della predisposizione e dell’adozione dei diversi modelli organizzativi.