Come noto, il 15 gennaio 2025 diverranno vincolanti le disposizioni operative del Digital Operational Resiliance Act (“DORA”), giusta applicazione del Regolamento UE 2022/2554 (entrato in vigore il 15 gennaio 2023), le quali stabiliscono specifici requisiti cui gli operatori saranno tenuti a conformarsi per la sicurezza delle reti e dei sistemi informativi volti a migliorare la resilienza operativa nel settore finanziario.
Originariamente concepito per garantire che le istituzioni finanziarie (tra le quali si annovera anche il settore dei fondi di investimento alternativi – “FIA” – nel suo complesso) siano in grado di mitigare i rischi legati alle tecnologie dell’informazione e della comunicazione e di gestire le interruzioni, gli adeguamenti richiesti dal DORA non si limitano solo alle criticità tecnologiche, ma fanno emergere vere e proprie problematiche di business. Al centro del disegno del DORA vi è il riconoscimento del ruolo chiave dell’organo con funzione di gestione del FIA (il “GEFIA”) al quale è demandato il compito di garantire la resilienza operativa del FIA e al quale è attribuita la responsabilità ultima della conformità, essendo questi obbligato a definire, approvare, supervisionare e rimanere responsabile del quadro di gestione del rischio ICT del FIA così come dell’implementazione delle misure adeguate a misurare tale rischio.
Nel seguito si offre una panoramica sintetica dei nuovi adempimenti e taluni spunti operativi che gli operatori potranno tenere in considerazione nei processi di adeguamento alla nuova regolamentazione.
Sezione (A). Il framework dei nuovi adempimenti
1. Sul quadro di gestione del rischio
Come anzidetto, il DORA impone l'istituzione di un quadro di gestione del rischio ICT completo e documentato. Segnatamente, il FIA deve assicurarsi di aver sviluppato e implementato:
- Politiche e procedure: sono richieste politiche e procedure complete per consentire ai FIA di identificare, valutare, gestire e monitorare adeguatamente i rischi legati all'ICT. Sono inoltre necessarie politiche e procedure di backup e una politica di continuità operativa ICT completa.
- Misure appropriate: i FIA dovranno adottare misure appropriate, commisurate alle loro attività per monitorare e controllare costantemente la sicurezza e il funzionamento dei sistemi ITC, rilevare attività anomale ICT e mitigare i rischi legati alle ICT. Tali misure possono includere la crittografia, il controllo degli accessi e i sistemi di rilevamento e risposta degli end-point.
- Formazione sulla sicurezza informatica: un'adeguata formazione del personale è essenziale per aumentare la consapevolezza delle minacce digitali e migliorare le capacità di risposta e mitigazione.
- Test di sicurezza informatica: dovrebbero essere effettuati regolarmente test di cybersecurity (i.e. test di penetrazione guidati dalle minacce e valutazioni delle vulnerabilità) per consentire l'identificazione e la correzione continua di problemi sintomo di vulnerabilità. In tal senso, si raccomandano esercizi di simulazione per valutare la preparazione a potenziali interruzioni.
2. Sul c.d. “rischio di terzi”
Riconoscendo le interdipendenze nell'ecosistema finanziario, il DORA sottolinea l'importanza della gestione dei rischi associati ai fornitori terzi di servizi ICT:
o Strategia e obbligo di registro del rischio di terze parti: i FIA dovranno stabilire una strategia per la gestione dei rischi di terzi e mantenere un registro degli accordi con i fornitori di servizi ICT.
o Contratti con i fornitori di servizi ICT: i contratti con i fornitori di servizi ICT dovranno seguire requisiti specifici, comprese le disposizioni per un'efficace supervisione, audit e conformità con i mandati del DORA.
I FIA dovranno altresì rivedere e aggiornare i loro modelli di contratto con i fornitori di servizi ICT e prendere in considerazione la possibilità di riformulare gli stessi con i fornitori di servizi ICT esistenti. Parimenti, i FIA dovranno rivedere le loro procedure di diligenza e di avvio dei fornitori di servizi ICT per assicurare che includano (i) valutazioni del rischio, (ii) due diligence (anche in relazione agli accordi di subappalto dei fornitori di servizi), (iii) processi di selezione, governance, approvazione e monitoraggio, e (iv) strategie di uscita/terminazione.
o Fornitori di servizi ICT critici: il DORA introduce il concetto di "fornitori terzi di servizi ICT critici", che saranno soggetti alla supervisione diretta dell'Autorità di vigilanza europea competente. I fornitori di servizi ICT critici saranno individuati dal Comitato congiunto delle autorità di vigilanza europee, sulla base di determinati criteri, tra cui:
1) impatto sistematico previsto sulla stabilità; la continuità o la qualità dei servizi finanziari nell’ipotesi in cui il fornitore dovesse subire un guasto operativo su larga scala nella fornitura;
2) carattere sistematico o importanza delle istituzioni finanziarie che fanno affidamento su di esso;
3) grado di dipendenza di tali istituzioni finanziarie dai servizi del fornitore in relazione alle funzioni critiche o importanti di tali istituzioni;
4) grado di sostituibilità del fornitore;
I fornitori di servizi ICT possono anche optare per la sorveglianza se non sono stati designati (c.d. opt-in). I fornitori di servizi ICT critici (designati o opt-in), in tal caso, sarebbero soggetti a obblighi aggiuntivi, tra cui l'obbligo di istituire una filiale nell'UE, la tenuta dei registri, la rendicontazione e il pagamento di commissioni di sorveglianza.
I FIA devono considerare se uno dei suoi fornitori di servizi ICT possa essere classificato come "critico" e come ciò possa influire sui servizi ricevuti . I FIA possono trovarsi in violazione del DORA se continuano a utilizzare i fornitori di servizi esistenti che sono designati come fornitori di servizi ICT critici (o che hanno scelto di esserlo) e che non rispettano i loro obblighi DORA.
A loro volta, i fornitori di servizi ICT dovranno valutare la propria appartenenza alla categoria dei fornitori definiti “critici” e, in caso positivo, analizzare le azioni da intraprendere per soddisfare le nuove esigenze di supervisione da parte delle Autorità europee di vigilanza (i.e. ABE, EIOPA, ESMA).
Da ultimo, sarà importante per tutti gli operatori del mercato monitorare le posizioni e le indicazioni che saranno adottate dalle Autorità europee di vigilanza, tra cui, in particolare, la definizione dei criteri in base ai quali determinate imprese saranno tenute a effettuare c.d. “threat led penetration test” almeno una volta ogni tre anni.
3. Sulla gestione, classificazione, segnalazione e revisione degli incidenti
Il DORA delinea un approccio strutturato per i FIA per la gestione degli eventi legati all'ICT, tra cui l'identificazione, la gestione e la notifica degli incidenti legati all'ICT. Gli incidenti "gravi" dovranno essere notificati alle Autorità competenti "senza indugio” (cfr. art 19 del DORA) quando il FIA ne viene a conoscenza, utilizzando i modelli di segnalazione obbligatori. In alcuni casi potranno essere richieste anche notifiche ai clienti. I FIA dovranno quindi rivedere i propri piani di risposta agli incidenti di cybersecurity /alle violazioni dei dati personali e aggiornarli per garantire che contengano i processi e le procedure richieste.
4. Sulla condivisione delle informazioni
Il DORA consente e incentiva la condivisione di informazioni tra gli istituti finanziari per migliorare la conformità e la resilienza collettiva contro le minacce digitali, a condizione che tali istituti notifichino alle autorità competenti la loro partecipazione agli accordi di condivisione delle informazioni.
Sezione (B). Spunti operativi e suggerimenti. Cosa devono fare i FIA?
1. Team di implementazione e governance del DORA
Prima facie, si raccomanda la pronta individuazione di un team di implementazione del DORA interfunzionale, supervisionato dall’organo con funzione di gestione del GEFIA, per valutare l’impatto delle nuove regole sull’operatività di ciascun FIA, condurre un’analisi delle lacune rispetto al quadro ICT esistente e così assicurare la conformità ai requisiti del DORA .
L’identificazione di eventuali lacune, invero, consentirà ai FIA di sviluppare un action plan personalizzato e realistico per affrontare le complessità emergenti dalla nuova regolamentazione e garantire che il FIA sia equipaggiato per adottare per misure necessarie per assicurare la piena conformità del DORA .
2. Mappatura e analisi delle lacune
Il team dedicato dovrebbe effettuare una mappatura completa delle attività digitali, dei sistemi, delle dipendenze e dei contratti con fornitori di servizi terzi per identificare lo stato attuale di resilienza operativa di ciascun FIA. Dovrebbe poi essere eseguita un'analisi delle lacune per identificare le aree in cui le pratiche attuali non soddisfano i requisiti della DORA. I FIA possono cercare di sfruttare i parallelismi con gli standard di cybersecurity esistenti a cui si conformano - ad esempio, NIST o ISO 27001 - e potrebbero incaricare consulenti specializzati e legali che li supportino nel condurre la valutazione delle lacune e a consigliare come i requisiti del DORA si applicano nel contesto delle attività di ciascun FIA.
I FIA dovrebbero considerare le seguenti fasi quando conducono un'analisi delle lacune:
a) ambito dei requisiti del quadro normativo DORA: identificare i requisiti di conformità previsti dal DORA e capire come si applicano a ciascuna entità della struttura del gruppo e al gruppo nel suo complesso;
b) mappare le procedure e i processi interni: é necessario effettuare una mappatura completa delle attività digitali, dei sistemi, delle dipendenze e dei contratti con i fornitori di servizi ICT per identificare l'attuale stato di resilienza operativa dei FIA rispetto agli standard richiesti dal DORA, compresi gli standard tecnici (RTS e gli ITS).
3. Quadro di gestione del rischio ICT
Esaminare l'insieme delle politiche e delle procedure ICT esistenti è il primo passo per fornire una panoramica del quadro di gestione del rischio formalizzato del FIA, compresa la governance - ad esempio, se le funzioni di controllo del FIA riferiscono direttamente all'organo di gestione e ne fornisce consulenza. Peraltro, appare apprezzabile la circostanza di identificare se il FIA ha formalizzato la sua:
i. visione del rischio ICT: lavorare con le parti interessate per documentare i livelli di tolleranza approvati per il rischio ICT e le strategie implementate per gestire tale rischio;
ii. politiche e procedure sulla gestione e sul funzionamento degli asset ICT, con l'obiettivo di garantire la sicurezza delle reti contro le intrusioni e l'uso improprio dei dati, e di preservare la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati;
iii. politiche sull'uso della crittografia e dei controlli crittografici;
iv. procedure per identificare e gestire i requisiti di capacità dei sistemi ICT, consentendo un monitoraggio e un'ottimizzazione continui;
v. procedure per la gestione delle vulnerabilità e delle patch, la sicurezza dei dati e dei sistemi, la registrazione e la sicurezza della rete;
vi. politiche sulla gestione dei progetti e delle modifiche alle ICT, compresi gli elementi necessari per garantire una gestione efficace, le pratiche e le metodologie relative all'acquisizione, allo sviluppo e alla manutenzione dei sistemi ICT e alle loro modifiche; e
vii. politiche di sicurezza fisica e ambientale. Considerate se queste sono state progettate in base al panorama di minacce identificato, alla classificazione e al profilo di rischio delle risorse ICT utilizzate dal Fondo.
Inoltre, nonostante le politiche e le procedure siano informative, il processo di mappatura dovrebbe utilizzare sessioni di lavoro con gli stakeholder per identificare il confronto tra tali politiche e procedure e la realtà operativa. Inoltre, i workshop con gli stakeholder possono aiutare a capire se il quadro formalizzato esistente viene applicato in modo coerente e omogeneo. Le eccezioni dovrebbero essere registrate, con le relative conseguenze in caso di non conformità.
4. Misure organizzative
Sarà opportuno esaminare in modo critico le procedure di inserimento del personale per determinare se i nuovi assunti sono a conoscenza delle politiche e delle procedure pertinenti e se sono adeguatamente informati sulle loro responsabilità in materia di ICT e sui canali di segnalazione. In aggiunta, occorrerà esaminare la gestione delle identità e i controlli degli accessi per verificare se alle persone vengono assegnati diritti d'uso appropriati, in tutte le fasi del loro impiego, compresa la revoca di tutti i diritti dopo la cessazione del rapporto di lavoro.
5. Formazione del personale e di terzi
Assume una rilevanza specifica l’esame dell’attività formativa sulle ICT condotta da tutto il personale, compreso il management, funzionari, dipendenti e appaltatori, per identificare il livello di consapevolezza della cybersecurity all'interno dell'organizzazione, e determinare se sono incorporati elementi specifici di formazione sulla consapevolezza della sicurezza delle ICT e sulla resilienza operativa digitale.
6. Segnalazione degli incidenti
Esaminare le procedure di identificazione, segnalazione, gestione e rimedio degli incidenti é attività fondamentale per gli adeguamenti al DORA. In particolare:
√ considerare il modo in cui gli incidenti legati alle ICT vengono identificati e segnalati internamente e se, una volta segnalati, tali incidenti vengono classificati e gestiti in modo appropriato;
√ identificare le risposte agli incidenti e i percorsi di escalation, che dovrebbero includere il coinvolgimento dell’organo con funzione di supervisione strategica e le procedure per coinvolgere stakeholder esterni (i.e. esperti di cybersecurity o consulenti legali), se necessario;
√ determinare se le procedure esistenti consentono di effettuare le notifiche appropriate alle Autorità di vigilanza e ai clienti interessati entro i tempi rigorosi previsti dalle leggi applicabili. Inoltre, si consideri il modo in cui gli incidenti vengono documentati, la revisione successiva all'incidente e le modalità di implementazione degli insegnamenti.
7. Continuità operativa e disaster recovery
Occorre rivedere le politiche di continuità operativa e di disaster recovery dell'ICT del FIA, compresi l'ambito di applicazione, i tempi (compresi i tempi massimi di recupero), i criteri di attivazione, la governance e l'organizzazione; del pari, sarà opportuno valutare il modo in cui tali politiche vengono testate (ad esempio, attraverso esercitazioni e simulazioni) e il modo in cui vengono risolti gli eventuali problemi individuati.
8. Valutazioni di sicurezza informatica
Sarà altrettanto necessario esaminare le procedure di verifica della cybersecurity (comprese le valutazioni di vulnerabilità e i test di penetrazione) e i processi di registrazione e correzione dei problemi identificati, valutare l'ambito e la frequenza dei test per determinare la copertura adeguata e considerare il modo in cui vengono assegnate le priorità ai problemi identificati e il modo in cui viene assegnata e dotata di risorse la responsabilità della risoluzione dei problemi.
9. Gestione del rischio dei fornitori ICT
Occorre identificare i fornitori ICT esistenti e assicurarsi che le valutazioni del rischio siano state documentate come parte dell'onboarding del fornitore e aggiornate in base al monitoraggio continuo. Del pari, è importante collaborare con le parti interessate per determinare le modalità di esecuzione di tali valutazioni del rischio e per comprendere la tolleranza e le strategie del FIA per la gestione del rischio - ad esempio, limitando l'affidamento attraverso la diversificazione dei fornitori - in particolare in relazione a qualsiasi fornitore di servizi ICT critici, così come valutare i rischi noti e potenziali rispetto alla tolleranza al rischio determinata dal FIA e alle politiche esistenti per assicurare l'allineamento delle pratiche con eventuali processi formalizzati di gestione dei fornitori. Da ultimo, è importante raccogliere e rivedere i contratti esistenti con i fornitori di servizi ICT e determinare se sia necessario un esercizio di riformulazione per tenere conto delle disposizioni specifiche richieste dal DORA.
10. Identificare le lacune
Confrontando i requisiti richiesti dal DORA applicabili con i risultati dell'esercizio di mappatura, il FIA può identificare e valutare le lacune esistenti. Alcune aree potrebbero richiedere pochi aggiustamenti, mentre altre potrebbero richiedere aggiornamenti significativi. Alcune aree (ad esempio, i registri dei rischi dei fornitori di servizi ICT) potrebbero non far parte delle pratiche attuali.
Osservazioni conclusive
Il DORA richiede che i FIA sviluppino e implementino una tabella di marcia completa – dando priorità alle funzioni aziendali chiave e ai requisiti normativi – per assicurare che gli stessi siano conformi al DORA prima della sua data di entrata in vigore e continuino a monitorare l'efficacia delle strategie implementate, anche attraverso la mappatura dei rischi ICT nel tempo e l'analisi della frequenza, dei tipi, dell'entità e dell'evoluzione degli incidenti legati all'ICT. Oltre a implementare procedure per monitorare i progressi dell'implementazione e convalidare la chiusura delle lacune, i FIA dovranno dunque continuare a monitorare le attività digitali, i sistemi, le dipendenze e i rapporti con i fornitori di servizi ICT anche dopo l'implementazione, per garantire che la resilienza operativa rimanga conforme.
Come anzidetto, il DORA non è solo un problema di tecnologia dell'informazione, è un problema di business. È fondamentale garantire l'impegno e la responsabilità dell'attuazione da parte delle parti interessate (i.e. funzioni ICT, sistema dei controlli interni, etc.), compreso l'organo con funzione di gestione.
