***
1. Avvocato Rabazzi, come valuta l’impatto del regolamento DORA sulle imprese italiane? Quali sono i principali cambiamenti che le aziende dovranno affrontare in termini di resilienza digitale e operatività continua per garantire che possano affrontare interruzioni o minacce senza compromettere la sicurezza dei dati?
Il regolamento DORA (Digital Operational Resilience Act) 2022/2554 costituisce una svolta importante nella gestione della resilienza operativa digitale per le entità finanziarie all’interno dell’Unione Europea. Una volta pienamente attuato, rappresenterà un punto di riferimento per garantire la continuità operativa delle aziende anche in caso di incidenti critici, attacchi informatici o malfunzionamenti tecnologici. Per le imprese italiane, l’introduzione di DORA comporta sfide significative, ma anche l’opportunità di migliorare le infrastrutture digitali e rafforzare la sicurezza informatica.
La normativa introduce un approccio sistematico e centralizzato nella gestione dei rischi digitali, imponendo obblighi stringenti come la segnalazione tempestiva degli incidenti alle autorità competenti. Questo meccanismo mira a prevenire che vulnerabilità isolate possano propagarsi attraverso l’intero settore finanziario, un ecosistema strettamente interconnesso. Le aziende sono tenute a sviluppare politiche interne solide per identificare, mitigare e prevenire rischi, adottando tecnologie avanzate quali sistemi di monitoraggio in tempo reale e penetration test, utili per simulare attacchi informatici e verificare la solidità delle misure di sicurezza implementate.
DORA pone inoltre particolare attenzione ai fornitori esterni di servizi IT, imponendo alle aziende obblighi contrattuali specifici, tra cui clausole per audit e controlli periodici da parte dei committenti. Questo è essenziale per garantire che l’intera catena di fornitura (c.d. supply chain) sia conforme agli standard di sicurezza previsti dal regolamento.
Per le Aziende del settore, l’adeguamento a DORA rappresenta una sfida, principalmente a causa delle risorse economiche e tecnologiche che richiede, avendo un impatto più forte soprattutto per le strutture non riconducibili alle grandi imprese, che spesso dispongono di infrastrutture già consolidate. Tuttavia, il regolamento introduce misure proporzionate per mitigare questi ostacoli, ispirandosi al principio di accountability del GDPR. L’attuazione di DORA non solo contribuirà a rafforzare la resilienza dell’intero sistema finanziario europeo, ma offrirà alle aziende un vantaggio competitivo, migliorando la fiducia di investitori e clienti e consolidando la loro posizione nel mercato globale.
2. GDPR e DORA richiedono alle aziende di garantire sia la protezione dei dati che la resilienza operativa. Come va impostata la strategia per rendere le aziende adempienti e virtuose? In che misura vanno considerati gli investimenti in quest’area?
Il regolamento DORA, integrandosi con il GDPR, amplia le misure di protezione, spostando il focus sulla sicurezza delle infrastrutture IT e sulla continuità operativa. I due regolamenti condividono obiettivi comuni, come la protezione dei dati e la prevenzione di attacchi informatici, ma con ambiti specifici: il GDPR si concentra sulla riservatezza delle informazioni personali (art. 32), mentre DORA punta a garantire che i sistemi IT restino operativi anche durante attacchi o malfunzionamenti.
Le aziende devono adottare una strategia integrata che consideri sia la data protection sia la resilienza operativa digitale. Questa strategia si traduce in policies e processi interni che partono da una governance aziendale solida, con organi di gestione che supervisionino i rischi informatici. Fondamentale è la promozione di una cultura aziendale attenta alla sicurezza, poiché il fattore umano rappresenta uno dei principali punti di debolezza. Ad esempio, una formazione mirata può evitare incidenti dovuti a phishing o errori umani, che spesso compromettono anche i sistemi più avanzati.
Dal punto di vista tecnologico, le aziende devono investire in soluzioni come la crittografia, il monitoraggio in tempo reale e piattaforme di gestione dei log. Devono poi creare dei piani di controllo periodico, per mettere alla prova la resistenza dei sistemi e intervenire sulle vulnerabilità rilevate. Tali strumenti consentono di rilevare e prevenire anomalie prima che diventino problemi concreti. La combinazione di misure tecniche e organizzative – inclusa la formazione del personale – è la chiave per garantire conformità normativa e sicurezza. Sebbene gli investimenti iniziali possano essere onerosi, i benefici superano i costi: prevenire incidenti significa evitare perdite economiche, danni reputazionali e sanzioni normative.
3. Un approccio proattivo alla sicurezza informatica e alla resilienza operativa, come previsto da DORA, può contribuire alla sostenibilità a lungo termine delle imprese. Quali vantaggi competitivi possono ottenere le aziende che adottano queste misure di sicurezza e operatività sostenibili?
Adottare un approccio proattivo alla sicurezza informatica e alla resilienza operativa non è solo una necessità per prevenire rischi, ma anche un’opportunità per ottenere vantaggi competitivi significativi. In un mercato sempre più interconnesso, la capacità di resistere a incidenti informatici e garantire continuità operativa diventa un elemento distintivo che rafforza la fiducia di stakeholder, clienti e investitori.
La resilienza operativa, oltre a garantire stabilità e continuità, incide positivamente sulla reputazione aziendale, influenzando le decisioni di partner commerciali e investitori, sempre più attenti alla sicurezza e alla sostenibilità. Dimostrare solidità in situazioni di stress, come attacchi o sovraccarichi, riduce i costi legati a interruzioni di servizio, sanzioni normative e perdite di dati sensibili, contribuendo a una gestione più efficiente delle risorse.
Dal punto di vista della sostenibilità, una governance resiliente è una governance sostenibile. Le aziende che adottano le misure previste da DORA, come il monitoraggio continuo e la condivisione delle informazioni su minacce informatiche, rafforzano l’intero ecosistema digitale, creando un ambiente più sicuro per tutti gli operatori del settore. Questo approccio consente non solo di adattarsi ai cambiamenti, ma di prosperare nel lungo termine, integrando sicurezza, efficienza e sostenibilità in un unico modello operativo.