1. Introduzione

Il Regolamento (UE) 2022/2554, conosciuto come DORA (Digital Operational Resilience Act), segna una svolta nel panorama normativo europeo in materia di resilienza operativa digitale per il settore finanziario. Entrando in vigore a partire dal 17 gennaio 2025, DORA mira a stabilire un quadro armonizzato per la gestione del rischio ICT all’interno dell’Unione Europea, rafforzando le difese contro le minacce digitali e garantendo una maggiore stabilità del sistema finanziario. Uno dei capisaldi del regolamento riguarda la gestione degli incidenti ICT, che include la loro classificazione, notifica e trattamento. Questo articolo offre una panoramica dettagliata degli obblighi previsti e suggerisce come le imprese possano prepararsi in modo efficace e strutturato.

Secondo il DORA, tutte le entità finanziarie soggette al Regolamento sono tenute ad adottare un quadro interno robusto per la gestione degli incidenti legati alle tecnologie dell'informazione e della comunicazione (articoli 17-20 del Regolamento). Questo quadro deve consentire di rilevare, classificare, analizzare, gestire e documentare ogni tipo di incidente ICT, con l’obiettivo di garantire la continuità dei servizi critici e ridurre l’impatto negativo sulle operazioni. Le entità devono, inoltre, assicurarsi che il processo sia supportato da una governance efficace, da risorse adeguate e da competenze aggiornate. Il Regolamento sottolinea l'importanza di un approccio preventivo e reattivo, integrato nei processi aziendali.

2. La classificazione degli incidenti: criteri e  metodologia 

Per adempiere correttamente agli obblighi di segnalazione, le imprese devono poter valutare e classificare gli incidenti secondo criteri standardizzati e trasparenti. Tale classificazione permette di identificare gli eventi più gravi, che richiedono notifiche tempestive alle autorità di vigilanza. I criteri fondamentali per la classificazione della gravità dell'incidente includono:

• l'interruzione di uno o più servizi critici per l'attività finanziaria. L'interruzione può essere totale o parziale;

• il numero di clienti o utenti impattati direttamente (ad esempio, non riescono ad accedere al proprio conto corrente) o indirettamente (ad esempio, subiscono una perdita di dati a causa di un malfunzionamento del sistema). Più alto è il numero di soggetti impattati, maggiore è la probabilità che l’incidente venga classificato come significativo;

• la durata dell’interruzione, della latenza o del degrado del servizio;

• la perdita di dati personali o sensibili, con conseguenti complicazioni legali (visto che comporta una violazione dei diritti dell'interessato).

Gli incidenti sono tipicamente suddivisi in:

• incidenti ICT significativi, con impatti concreti e misurabili;

• quasi incidenti (near misses), cioè eventi che non hanno generato danni ma che hanno evidenziato vulnerabilità o mancanze potenzialmente gravi.

Le autorità europee di supervisione (EBA, ESMA ed EIOPA) hanno il compito di sviluppare standard tecnici e linee guida per uniformare la metodologia di classificazione tra i diversi soggetti vigilati, assicurando omogeneità nell’attuazione.

3. La segnalazione degli incidenti significativi 

Quando un incidente viene classificato come significativo, DORA impone obblighi specifici di notifica alle autorità competenti, come Banca d’Italia o IVASS (per i soggetti vigilati da questa, come le compagnie assicurative), entro tempi molto stretti. Il processo di segnalazione si articola in tre fasi principali:

• segnalazione iniziale: deve essere inviata entro quattro ore dall'identificazione dell'incidente come significativo. Questa segnalazione, però, non deve avvenire al di là delle 24 ore dal momento in cui l'entità finanziaria è venuta a conoscenza dell'incidente. La segnalazione deve essere inviata all'autorità competente designata dallo Stato membro (in Italia l'autorità competente designata a ricevere tali segnalazioni è la Banca d'Italia);

• aggiornamenti intermedi: forniti durante la fase di gestione e risoluzione, questi aggiornamenti aiutano le autorità a monitorare l’evoluzione della situazione;

• relazione finale: deve contenere una descrizione dettagliata dell’evento, l’analisi delle cause, le misure correttive adottate e le lezioni apprese per prevenire futuri episodi. Deve essere, infine, inviata al termine della gestione dell’incidente all'autorità competente.

4. Come adempiere agli obblighi: una guida operativa 

Per rispettare gli obblighi previsti da DORA in materia di incidenti ICT, le imprese devono adottare un approccio multidisciplinare che coinvolga IT, risk management, compliance, sicurezza informatica e comunicazione. Ecco un elenco di misure operative fondamentali:

• elaborazione di un Incident Response Plan (IRP): documento strategico-operativo che definisce i ruoli, le responsabilità e le azioni da intraprendere in caso di incidente;

• adozione di strumenti tecnologici avanzati: come i sistemi SIEM (Security Information and Event Management), che consentono il monitoraggio continuo, il rilevamento delle minacce e l’analisi dei log;

• gestione strutturata degli incidenti: attraverso un registro centralizzato che documenta ogni fase dell’incidente, dalla rilevazione alla chiusura;

• svolgimento di simulazioni e test periodici: per verificare la prontezza organizzativa e l’efficacia delle procedure di risposta agli incidenti;

• formazione continua del personale: promuovere la cultura della resilienza e garantire che tutti i livelli aziendali siano consapevoli dei rischi e delle loro responsabilità;

• definizione di un team di crisi ICT: con un referente responsabile della segnalazione verso le autorità e del coordinamento delle funzioni aziendali coinvolte;

• revisione e aggiornamento periodico delle policy: affinché siano sempre allineate con l’evoluzione del rischio e dei requisiti regolamentari.

5. Implicazioni organizzative e strategiche 

L'implementazione di DORA non deve essere percepita unicamente come un adempimento normativo, ma come un’occasione per rafforzare strutturalmente l’organizzazione. L’approccio richiesto dal regolamento impone una revisione profonda delle dinamiche tra le funzioni aziendali, promuove una cultura della collaborazione e richiede un investimento continuo in tecnologie e competenze. La resilienza digitale diventa un elemento centrale nella strategia di business, contribuendo a generare valore e a consolidare la fiducia degli stakeholder. Inoltre, un'efficace gestione degli incidenti ICT può ridurre il rischio di sanzioni, tutelare la reputazione aziendale e garantire una risposta tempestiva in scenari di crisi.

6. Conclusione

La gestione degli incidenti ICT secondo DORA non è solo una misura tecnica, ma una componente essenziale della governance aziendale. Le imprese devono dimostrare proattività, tracciabilità e prontezza nel reagire a eventi ICT critici, anche attraverso investimenti in strumenti, processi e competenze.

Non mancare al Data Protection Forum 2025 il prossimo 06 giugno! Affronteremo questo e altri argomenti correlati alla protezione dei dati come il GDPR e la NIS2 con importanti esperti del settore. Appuntamento alle ore 09:00 (accredito dalle 08:00) all'Auditorium Fondazione Cassamarca di Treviso (Piazza delle Istituzioni - Zona Appiani). Clicca sul pulsante qui sotto per prenotare il tuo posto!

Redazione LexTech Hub