Il DORA e gli RTS, le norme tecniche di regolamentazione
Redazione LexTech Hub
15 mag
Tempo di lettura: 3 min
Data Protection Forum 2025
Regolamento DORA: cosa sono le Norme Tecniche di Regolamentazione (RTS)
Il regolamento DORA introduce un nuovo livello di precisione applicativa nel quadro della resilienza operativa digitale, e lo fa attraverso uno strumento centrale: le Norme Tecniche di Regolamentazione, conosciute come RTS. Si tratta di atti giuridici vincolanti adottati dalla Commissione Europea, su proposta delle autorità europee di vigilanza (EBA, ESMA, EIOPA), che traducono le disposizioni del regolamento in prescrizioni tecniche dettagliate e uniformi, da applicare in modo obbligatorio da parte di tutte le entità soggette. Gli RTS non sono semplici raccomandazioni o buone pratiche: stabiliscono modalità precise con cui devono essere adempiuti gli obblighi previsti dal regolamento. Questo significa che i principi generali contenuti nel DORA, come ad esempio l’obbligo di segnalare incidenti ICT rilevanti o di adottare sistemi efficaci di gestione del rischio tecnologico, vengono resi operativi attraverso indicazioni concrete e verificabili.
Gestione degli incidenti e gestione del rischio ICT
In relazione alla gestione degli incidenti, gli RTS chiariscono i parametri in base ai quali un evento deve essere qualificato come grave e quindi notificato, precisando la natura e la struttura delle informazioni da comunicare, i tempi entro cui farlo e le modalità di interlocuzione con le autorità. Quanto alla gestione del rischio ICT, gli standard tecnici individuano le caratteristiche essenziali che devono avere i presidi aziendali, indicando non solo i requisiti funzionali dei sistemi, ma anche come questi debbano essere integrati nella governance, nei processi decisionali, nelle attività di controllo e nelle politiche interne, in un’ottica di aggiornamento continuo e di coerenza con l’evoluzione del contesto digitale.
Gli RTS intervengono anche sul piano dei test di resilienza, disciplinando le simulazioni avanzate di attacco, i soggetti che possono condurle, i requisiti di indipendenza e certificazione, la scelta dei sistemi da testare e la periodicità delle verifiche, in modo da assicurare un’effettiva capacità di risposta a eventi critici.
L'importanza degli RTS per le imprese
L’importanza degli RTS non si limita agli aspetti tecnici. Essi incidono direttamente sulla struttura organizzativa e decisionale delle imprese, richiedendo l’intervento di figure apicali e l’assunzione di responsabilità da parte degli organi di governo societario. Viene coinvolto infatti
l’intera governance apicale che deve elaborare delle procedure aziendali coerenti nella gestione dei rapporti contrattuali con fornitori di servizi tecnologici e effettivamente essere in grado di dimostrare, in caso di verifica, l’adozione e l’attuazione delle misure previste. Le autorità di vigilanza, infatti, non si limiteranno a valutazioni generiche, ma verificheranno l’aderenza agli standard tecnici con criteri oggettivi e puntuali, potendo intervenire con sanzioni o misure correttive in caso di mancato rispetto.
In questo scenario, quindi la conoscenza e la corretta interpretazione degli RTS diventano fondamentali anche per chi, all’interno dell’impresa, non è direttamente coinvolto negli aspetti tecnologici, ma ha responsabilità gestionali, strategiche o di controllo.
Prepararsi a questo cambiamento non significa semplicemente aggiornare strumenti informatici, ma ripensare l’organizzazione interna, ridefinendone le priorità, formando le risorse e dotandosi di strumenti idonei a presidiare in modo stabile il rischio digitale in modo da operare sul mercato in modo conforme, sicuro e affidabile.
Affronteremo in modo approfondito le tematiche relative al Regolamento DORA il prossimo 06 giugno 2025 dalle ore 09:00 all'Auditorium Fondazione Cassamarca di Treviso durante la seconda edizione del Data Protection Forum. Non mancare: iscriviti subito, i posti sono limitati!
Comments