Conformità DORA per le entità finanziarie lussemburghesi: cosa devono sapere i team di sicurezza

DORA: il regolamento che cambia tutto per l'IT finanziario

Il Digital Operational Resilience Act (DORA) è la risposta dell'Unione europea a una domanda semplice ma cruciale: il sistema finanziario è in grado di resistere a una grave perturbazione ICT? Dopo anni di incidenti ad alto profilo — interruzioni cloud che hanno paralizzato sistemi di pagamento, attacchi ransomware contro istituti finanziari e compromissioni della catena di fornitura che hanno colpito simultaneamente più entità — i regolatori europei hanno concluso che i quadri normativi esistenti erano insufficienti.

DORA è entrato in vigore il 16 gennaio 2023 e si applica a partire dal 17 gennaio 2025. A differenza di una direttiva (che deve essere recepita nel diritto nazionale), DORA è un regolamento, il che significa che si applica direttamente e uniformemente in tutti gli Stati membri dell'UE, compreso il Lussemburgo. Non vi sono ambiguità riguardo all'applicabilità, non si attendono recepimenti nazionali e non vi è spazio per un'implementazione attenuata.

Per il Lussemburgo, sede del più grande settore dei fondi d'investimento d'Europa e importante centro per i servizi bancari, assicurativi e di pagamento, l'impatto di DORA è profondo. Praticamente ogni entità vigilata dalla CSSF rientra nell'ambito di applicazione.

Il cambiamento fondamentale: DORA trasforma la gestione del rischio ICT da una "buona prassi" facoltativa a una responsabilità imposta dalla legge a livello del Consiglio di amministrazione, dotata di strumenti di enforcement. Il vostro quadro di gestione del rischio ICT non è più soltanto una questione informatica; è un obbligo regolamentare.

Chi rientra nell'ambito di applicazione?

DORA si applica a un'ampia gamma di entità finanziarie, tra cui:

• Enti creditizi (banche)
• Istituti di pagamento e istituti di moneta elettronica
• Imprese di investimento
• Società di gestione (UCITS e AIFM)
• Imprese di assicurazione e riassicurazione
• Fornitori di servizi per le cripto-attività
• Depositari centrali di titoli
• Repository delle operazioni
• Agenzie di rating del credito
• Fornitori di servizi di crowdfunding
• Fornitori terzi critici di servizi ICT (fornitori cloud, operatori di data centre, fornitori di software designati come critici)

Quest'ultima categoria è particolarmente rilevante. DORA estende la vigilanza regolamentare ai fornitori di tecnologia da cui dipendono le entità finanziarie. Se fornite servizi cloud, hosting gestito o software critici a entità finanziarie lussemburghesi, potreste essere designati come fornitori terzi critici di servizi ICT e assoggettati a vigilanza diretta.

I cinque pilastri di DORA

DORA è strutturato attorno a cinque aree fondamentali. I team di sicurezza devono comprendere ciascuna di esse e le relative implicazioni pratiche.

Pilastro 1: quadro di gestione del rischio ICT

Gli articoli da 5 a 16 impongono alle entità finanziarie di implementare un quadro completo di gestione del rischio ICT che comprenda:

• Governance: l'organo di gestione (Consiglio di amministrazione) deve definire, approvare, supervisionare ed essere responsabile del quadro di gestione del rischio ICT. I membri del Consiglio devono mantenere conoscenze adeguate sui rischi ICT, anche attraverso una formazione regolare.
• Strategia di gestione del rischio ICT: una strategia documentata che fissi il livello di tolleranza al rischio, obiettivi chiari e politiche di sicurezza ICT.
• Classificazione degli asset: inventario completo e classificazione degli asset ICT, degli asset informativi e delle loro interdipendenze.
• Protezione e prevenzione: politiche e strumenti per la sicurezza ICT, tra cui la gestione degli accessi, la crittografia, la sicurezza delle reti e la gestione delle vulnerabilità.
• Rilevamento: meccanismi per rilevare attività anomale, inclusi il monitoraggio della sicurezza, gli avvisi e i test regolari.
• Risposta e ripristino: piani di continuità operativa ICT, piani di risposta e ripristino ICT, politiche di backup e procedure di recupero testate regolarmente.
• Apprendimento e miglioramento: revisioni post-incidente, integrazione dell'intelligence sulle minacce e miglioramento continuo del quadro.

Per le entità lussemburghesi già conformi alla Circolare CSSF 20/750 (sul rischio ICT), gran parte di questa struttura è familiare. Tuttavia, DORA è più prescrittivo e introduce requisiti specifici che vanno oltre la circolare esistente.

Pilastro 2: gestione degli incidenti correlati alle ICT

Gli articoli da 17 a 23 istituiscono un quadro armonizzato per la classificazione e la segnalazione degli incidenti:

• Criteri di classificazione: gli incidenti devono essere classificati sulla base di criteri definiti, tra cui il numero di clienti interessati, la durata, l'estensione geografica, le perdite di dati, la criticità dei servizi interessati e l'impatto economico.
• Tempistiche di segnalazione: gli incidenti ICT rilevanti devono essere segnalati all'autorità competente (la CSSF per la maggior parte delle entità lussemburghesi) entro scadenze rigorose:
  • Notifica iniziale: entro 4 ore dalla classificazione dell'incidente come rilevante (e non oltre 24 ore dal rilevamento)
  • Relazione intermedia: entro 72 ore
  • Relazione finale: entro 1 mese
• Notifica volontaria: le entità possono segnalare volontariamente minacce informatiche significative, non soltanto incidenti effettivi.

La scadenza di 4 ore per la notifica iniziale è estremamente impegnativa e significativamente più stringente del preavviso di 24 ore previsto da NIS2. Le entità finanziarie devono disporre di modelli predefiniti, percorsi di escalation chiari e procedure di notifica collaudate per rispettare questo requisito.

Pilastro 3: test della resilienza operativa digitale

Gli articoli da 24 a 27 impongono alle entità finanziarie di condurre test regolari dei propri sistemi e strumenti ICT. È qui che i penetration test e il red teaming diventano requisiti regolamentari, non semplici buone prassi.

Test di base (tutte le entità nell'ambito di applicazione):

• Valutazioni e scansioni delle vulnerabilità
• Valutazioni da fonti aperte (OSINT)
• Valutazioni della sicurezza di rete
• Analisi dei gap
• Verifiche della sicurezza fisica
• Revisioni del codice sorgente (ove fattibile)
• Test basati su scenari
• Test di compatibilità
• Test di prestazione
• Test end-to-end
• Penetration test

Test avanzati (Threat-Led Penetration Testing, TLPT):

Le entità finanziarie di importanza sistemica devono condurre TLPT almeno ogni 3 anni, sulla base del quadro TIBER-EU. Il TLPT è essenzialmente un'esercitazione di red team guidata da intelligence reale sulle minacce specifica per l'entità. Deve essere eseguito da tester esterni qualificati (con eccezioni limitate per i red team interni in condizioni rigorose).

La CSSF, in coordinamento con la BCE per gli enti significativi, designerà le entità che devono condurre i TLPT. Se siete una banca, un'assicurazione o un'infrastruttura di mercato finanziario di importanza sistemica in Lussemburgo, aspettatevi di essere designati.

Pilastro 4: gestione del rischio ICT dei fornitori terzi

Gli articoli da 28 a 44 rappresentano probabilmente l'aspetto più trasformativo di DORA. Essi impongono alle entità finanziarie di:

• Mantenere un registro di tutti gli accordi contrattuali con i fornitori terzi di servizi ICT, classificati per criticità.
• Effettuare una due diligence prima di stipulare accordi di esternalizzazione ICT, inclusa la valutazione delle capacità di gestione del rischio ICT del fornitore.
• Includere clausole contrattuali obbligatorie in tutti i contratti di servizi ICT, relative a: SLA, localizzazione e trattamento dei dati, diritti di audit, obblighi di notifica degli incidenti, strategie di uscita e cooperazione con le autorità di vigilanza.
• Monitorare il rischio di concentrazione: valutare se l'entità dipenda eccessivamente da un unico fornitore ICT e mantenere piani di sostituzione.

Per le società di gestione lussemburghesi e gli amministratori di fondi che si affidano pesantemente a piattaforme tecnologiche esternalizzate, questo pilastro richiede una revisione approfondita dei contratti esistenti e delle relazioni con i fornitori. Molti accordi esistenti dovranno essere modificati per includere le clausole imposte da DORA.

Pilastro 5: condivisione delle informazioni

L'articolo 45 incoraggia (ma non impone) alle entità finanziarie di partecipare a dispositivi affidabili di condivisione dell'intelligence sulle minacce informatiche. In Lussemburgo, la piattaforma MISP di CIRCL costituisce un'eccellente base per questo, e diversi gruppi di condivisione specifici per settore esistono già.

DORA vs. NIS2: comprendere la sovrapposizione

Vi è una notevole confusione riguardo a come DORA e NIS2 interagiscano. Il principio chiave è quello della lex specialis: DORA è il regolamento settoriale per le entità finanziarie e, laddove sia in conflitto con NIS2 o preveda requisiti più specifici, prevale DORA.

In pratica, ciò significa che:

• Le entità finanziarie nell'ambito di applicazione di DORA sono esentate dai requisiti di cybersicurezza di NIS2 (ma non da altri obblighi di NIS2, come il dovere di segnalare alle autorità competenti)
• I requisiti di segnalazione degli incidenti di DORA (notifica iniziale entro 4 ore) sono più stringenti di quelli di NIS2 (preavviso entro 24 ore)
• I requisiti di test di DORA sono più completi dell'obbligo generale di test di sicurezza previsto da NIS2

Tuttavia, le entità finanziarie non dovrebbero ignorare completamente NIS2. Se un'entità finanziaria fornisce anche servizi coperti da NIS2 (ad esempio, se una banca gestisce anche un data centre per terzi), entrambi i regolamenti potrebbero applicarsi a diverse parti dell'attività.

Passi pratici per le entità lussemburghesi

Passo 1: analisi dei gap (mesi 1-2)

Mappate il vostro attuale quadro di gestione del rischio ICT rispetto ai requisiti di DORA. Se già rispettate la Circolare CSSF 20/750, disponete di una base di partenza, ma aspettatevi lacune in aree quali la preparazione al TLPT, il registro dei fornitori terzi ICT e la specificità dei vostri test di continuità operativa.

Passo 2: inventario e classificazione degli asset ICT (mesi 2-3)

Costruite o aggiornate un inventario completo di tutti gli asset ICT, degli asset informativi e delle loro interdipendenze. DORA richiede di comprendere non solo cosa si possiede, ma anche come i sistemi dipendano gli uni dagli altri e dai servizi di terzi.

Passo 3: revisione dei contratti con i fornitori terzi (mesi 3-6)

Esaminate tutti i contratti con i fornitori di servizi ICT per verificare la presenza delle clausole imposte da DORA. Privilegiate i fornitori ICT critici e importanti. Questo sarà probabilmente il passo più dispendioso in termini di tempo, poiché la rinegoziazione dei contratti con i principali fornitori (piattaforme cloud, sistemi bancari centrali) può richiedere mesi.

Passo 4: potenziamento della risposta agli incidenti (mesi 3-4)

Aggiornate il vostro quadro di classificazione degli incidenti per allinearlo ai criteri di DORA. Preparate modelli di notifica per la CSSF. Verificate la vostra capacità di rispettare la scadenza di 4 ore per la notifica iniziale tramite un esercizio tabletop.

Passo 5: progettazione del programma di test (mesi 4-6)

Progettate un programma di test della resilienza operativa digitale che copra tutti i requisiti dell'articolo 25 di DORA. Pianificate penetration test, valutazioni delle vulnerabilità e test basati su scenari. Se potreste essere designati per un TLPT, iniziate presto a coinvolgere fornitori TIBER-EU qualificati e team di intelligence sulle minacce.

Passo 6: coinvolgimento e formazione del Consiglio di amministrazione (continuativo)

DORA pone una responsabilità esplicita sull'organo di gestione. Assicuratevi che i membri del Consiglio ricevano una formazione sui rischi ICT, comprendano i requisiti di DORA e approvino il quadro di gestione del rischio ICT. Dovrebbe essere instaurata una rendicontazione regolare al Consiglio sul rischio ICT, se non già in essere.

Le aspettative della CSSF

La CSSF è stata proattiva nel comunicare le proprie aspettative in materia di conformità DORA. Le entità finanziarie lussemburghesi dovrebbero monitorare le pubblicazioni della CSSF, partecipare ai briefing di settore e consultare i propri referenti presso la CSSF per le domande sull'implementazione.

Tra le aree su cui la CSSF ha segnalato una particolare attenzione figurano:

• Il rischio di concentrazione ICT dei fornitori terzi nel settore dei fondi, dove diversi grandi fornitori di piattaforme servono una quota significativa del mercato
• Gli accordi di esternalizzazione cloud, facendo leva sulle indicazioni esistenti della CSSF in materia di cloud computing
• La qualità della segnalazione degli incidenti, con particolare attenzione all'analisi delle cause profonde nelle relazioni finali
• La responsabilità del Consiglio di amministrazione per le decisioni di gestione del rischio ICT

La via da seguire

DORA rappresenta un cambiamento fondamentale nel modo in cui il settore finanziario europeo affronta la resilienza ICT. Per le entità lussemburghesi, la sfida è reale ma gestibile, in particolare per le organizzazioni che hanno già investito nella conformità alla Circolare CSSF 20/750 e nella certificazione ISO 27001.

La chiave è iniziare ora, dare priorità ai gap ad alto rischio e costruire un programma di conformità sostenibile piuttosto che un esercizio dell'ultimo minuto. Le entità che trattano DORA come un'opportunità per migliorare concretamente la propria resilienza operativa saranno meglio posizionate rispetto a quelle che lo percepiscono come un onere di conformità.