Come Prepararsi alla Conformità DORA

Da anni, le istituzioni europee supportano attivamente il settore finanziario nella lotta contro le minacce alle Tecnologie dell’Informazione e della Comunicazione (ICT).

• Ambito
  Il nuovo regolamento, in particolare, si applica a una gamma più ampia di istituzioni finanziarie e ai loro fornitori di servizi di terze parti critici. Non solo include i fornitori ICT tradizionali, ma anche 20 tipologie di entità finanziarie (FR) e una lista più completa di ICT.
• Natura
  A differenza di quanto previsto dalle precedenti linee guida e raccomandazioni dell’EBA e dell’ESMA, il DORA rappresenta una normativa legalmente vincolante. Impone requisiti e scadenze chiare per la conformità, obbligando le entità finanziarie ad agire in modo specifico per migliorare la resilienza ai potenziali rischi di sicurezza.
• Approccio
  Il DORA adotta un approccio più completo, poiché considera l’intero ciclo di vita dei servizi ICT connessi alle istituzioni finanziarie.

Con il cambiamento del panorama finanziario, anche la legislazione deve evolversi. Il DORA ha l’obiettivo di:

• Gestire la crescente dipendenza del settore finanziario dalla tecnologia e dalle aziende tecnologiche.
• Mitigare i rischi di attacchi informatici e incidenti nel settore finanziario, poiché le minacce aumentano continuamente.
• Garantire servizi finanziari stabili e affidabili nell’economia più ampia.

Il DORA si applica a una gamma più ampia di entità finanziarie rispetto alle normative precedenti, includendo banche, assicurazioni e società di investimento di determinate dimensioni. I fornitori di servizi ICT di terze parti sono anch’essi coinvolti, sebbene in modo diverso, visto il loro ruolo cruciale nella cybersicurezza.

Il Digital Operational Resilience Act (DORA) stabilisce diverse responsabilità chiave per le entità finanziarie, al fine di garantire che possano resistere e recuperare da interruzioni legate alle ICT. Le principali responsabilità sono:

1. Gestione del Rischio
   Le entità finanziarie devono stabilire e mantenere solidi framework di resilienza operativa digitale, con politiche complete per gestire i rischi ICT lungo l’intero ciclo di vita dei sistemi ICT.
2. Segnalazione degli incidenti
   Le entità devono segnalare tempestivamente gli incidenti informatici significativi alle autorità competenti, per garantire un flusso di informazioni cruciale nella gestione dei rischi sistemici e nel miglioramento della resilienza complessiva.
3. Test di Resilienza Operativa Digitale
   È obbligatorio eseguire regolarmente test di resilienza digitale, che comprendano valutazioni di vulnerabilità, penetration test e esercizi basati su scenari per valutare l’efficacia delle capacità di prevenzione, rilevamento, risposta e recupero.
4. Gestione del Rischio dei Fornitori Terzi
   Le entità finanziarie devono gestire i rischi associati ai fornitori di servizi ICT di terze parti, includendo una due diligence approfondita prima di stipulare accordi e un monitoraggio continuo delle prestazioni e della conformità dei fornitori.
5. Governance
   Le entità devono implementare un forte framework di governance per supervisionare le attività di gestione del rischio ICT e resilienza, con ruoli e responsabilità chiari e revisioni regolari delle strategie e delle politiche.
   

Il primo passo è creare un elenco dettagliato dei sistemi e dei fornitori ICT che rientrano nel regolamento DORA. Il Digital Operational Resilience Act fornisce una lista chiusa di fornitori per agevolare l’identificazione. Se un fornitore ICT non rientra nelle descrizioni previste, non sono necessarie ulteriori azioni.

Come procedere? Puoi utilizzare uno strumento di Contract Lifecycle Management (CLM) per analizzare i contratti con i fornitori ICT. Questi documenti spesso contengono clausole utili per verificare la conformità al regolamento DORA. In pochi minuti, puoi individuare le clausole pertinenti e creare un elenco dei fornitori ICT potenzialmente coinvolti.

L’intelligenza artificiale è un alleato prezioso: semplifica e velocizza la ricerca, riducendo il rischio di omissioni. Infine, consulta l’Allegato III degli Implementing Technical Standards (ITS) proposti per DORA. Qui troverai l’elenco completo dei servizi ICT considerati.

DORA identifica una serie di funzioni critiche o importanti che possono influenzare la performance, la stabilità e la continuità dei servizi degli enti finanziari. Queste funzioni, se compromesse, possono impedire il rispetto delle normative obbligatorie.

Come fare? Puoi utilizzare uno strumento di CLM (Contract Lifecycle Management) per analizzare i servizi offerti dai tuoi fornitori ICT e definire l’ambito dei test necessari. Se il CLM dispone di funzionalità avanzate di intelligenza artificiale, il processo sarà più rapido ed efficace. Lo strumento consente di cercare parole chiave rilevanti nei contratti e ottenere risultati immediati.

Per gestire i rischi potenziali, è fondamentale disporre di un sistema di monitoraggio solido. Questo sistema deve permettere di identificare gli incidenti passati e mapparli in modo dettagliato. Devi inoltre garantire un metodo efficace per creare e condividere rapporti sugli incidenti con il consiglio di amministrazione e le autorità di regolamentazione. Test e monitoraggi continui sono obbligatori per mitigare i rischi futuri.

Come fare? La valutazione del rischio si divide in due fasi:

1. Valutazione delle minacce passate e mappatura dettagliata
2. Monitoraggio continuo delle potenziali minacce e delle violazioni della sicurezza

Entrambe le fasi richiedono strumenti avanzati di reportistica e analisi per agevolare i controlli di conformità e auditing. Puoi utilizzare un sistema per la gestione delle entità legali, se dotato di funzionalità di creazione di report. Disporre di un archivio centralizzato semplifica la comunicazione con le autorità di regolamentazione.

Inoltre, è consigliabile adottare tecnologie per il rilevamento in tempo reale delle minacce, essenziali per una protezione continua.

Potresti dover apportare modifiche per garantire la conformità al regolamento DORA. In pratica, questo significa creare un team dedicato e assegnare le risorse necessarie.

Assicurati di:

• Condurre audit esterni per valutare la conformità.
• Rendere operativi, entro l’inizio del 2025, i processi interni relativi a test, monitoraggio e mappatura.

Questi passaggi sono essenziali per rispettare i requisiti normativi e ridurre i rischi legati ai fornitori ICT.

Gli strumenti di legal tech, come le piattaforme di Contract Lifecycle Management (CLM) e Entity Legal Management (ELM), forniscono una supervisione centralizzata. Questi strumenti consentono:

• Il monitoraggio in tempo reale delle attività di conformità,
• Una gestione ottimale dei rischi,
• Una reportistica fluida verso le autorità di regolamentazione.

Queste soluzioni semplificano i processi di conformità e sono fondamentali per le organizzazioni che devono rispettare i requisiti DORA.

I rischi di non adottare strumenti specializzati
Senza queste tecnologie, le organizzazioni finanziarie affrontano rischi significativi, tra cui:

• Gestione frammentata dei dati,
• Processi manuali soggetti a errori,
• Ritardi nel rispondere alle richieste normative.

Adottare strumenti di corporate governance non è solo una scelta strategica, ma una necessità per ridurre inefficienze e rispettare le normative con maggiore sicurezza.

Di seguito, presentiamo tre casi pratici che dimostrano come il LegalTech possa supportare i requisiti DORA.

Il primo passo verso la conformità al DORA consiste nell’identificare i fornitori di servizi ICT che svolgono funzioni critiche o importanti all’interno del tuo ecosistema. Uno strumento di Contract Lifecycle Management (CLM) è essenziale per accelerare il processo di identificazione e gestione delle funzioni critiche o importanti. Questo è particolarmente utile se la piattaforma dispone di funzionalità avanzate basate sull’AI.

Come sfruttarlo al meglio.

• Capacità di ricerca avanzate:
  Utilizza il motore di ricerca della piattaforma per individuare contratti contenenti clausole specifiche, come i diritti di audit o gli accordi con subappaltatori, elementi fondamentali per la conformità a DORA.
• Filtraggio dei contratti:
  Crea filtri per isolare accordi pertinenti, come licenze software o contratti SaaS. Puoi affinare ulteriormente la ricerca aggiungendo parametri per individuare clausole sui subappaltatori.
• Estrazione di clausole con AI:
  Anche quando le clausole non sono pre-etichettate, l’AI può individuare termini rilevanti, come quelli relativi a normative specifiche di un paese.

In pochi minuti, puoi:

• Generare un elenco dei fornitori ICT,
• Analizzare le loro clausole di conformità,
• Esportare i dati per ulteriori revisioni.

Inoltre, le librerie di clausole AI consentono di archiviare in modo centralizzato tutti i termini contrattuali rilevanti per DORA. Questo garantisce precisione e accesso rapido alle informazioni in caso di necessità.

DORA impone la segnalazione tempestiva di tutti gli incidenti legati all’ICT, indipendentemente dalla loro gravità. Gli incidenti maggiori devono essere segnalati entro 24 ore dalla loro classificazione come critici. I report devono essere dettagliati e includere:

• Le cause principali,
• I sistemi coinvolti,
• Le parti interessate.

Una piattaforma di Entity Legal Management (ELM) può semplificare questo processo, garantendo un monitoraggio efficiente e una comunicazione efficace con gli stakeholder.

Come sfruttare al meglio una piattaforma ELM:

• Dashboard personalizzabili:
  Monitora, documenta e gestisci gli incidenti ICT tramite pannelli dedicati e adattabili alle tue esigenze.
• Campi pronti per la regolamentazione:
  Cattura tutte le informazioni richieste da DORA, incluse le date di rilevamento, le istituzioni coinvolte e la classificazione degli incidenti.
• Log delle attività:
  Mantieni un registro aggiornato in tempo reale per monitorare i progressi degli incidenti e documentare ogni azione intrapresa.
• Report integrati:
  Genera report completi e facilmente condivisibili con le autorità di regolamentazione o i comitati interni.

La governance è fondamentale per garantire la conformità al DORA. Gli enti finanziari devono formalizzare strutture di supervisione e stabilire metodi chiari di comunicazione tra tutte le parti coinvolte.Un software per il consiglio di amministrazione può facilitare il monitoraggio delle attività legate a DORA e garantire la tracciabilità completa degli audit.

Come sfruttare al meglio il software per il consiglio di amministrazione:

• Comitati dedicati a DORA: Crea comitati con template predefiniti per le agende, il tracciamento delle presenze e i registri decisionali.
• Monitoraggio degli incidenti: Presenta aggiornamenti in tempo reale sugli incidenti, revisiona i report chiave e documenta le decisioni prese dai comitati.
• Sincronizzazione con il consiglio: Allinea le attività dei comitati DORA con le discussioni a livello di consiglio, collegando decisioni, agende e piani strategici.
• Verbali e piani d’azione: Registra i verbali delle riunioni, le decisioni prese e i compiti assegnati, archiviandoli per futuri riferimenti e verifiche.

DORA introduce nuove sfide regolatorie per enti finanziari e fornitori ICT. Con l’evoluzione delle normative, anche le tecnologie di supporto alla conformità devono progredire. Per i team legali e i dirigenti aziendali, adottare gli strumenti giusti è essenziale per rispettare i requisiti normativi, risparmiare tempo e concentrare le energie sulla strategia e sull’allineamento tra risorse interne ed esterne.

DiliTrust Governance offre il supporto necessario per affrontare i requisiti di conformità con efficienza. Prenota una dimostrazione con i nostri esperti.