Blog Mefop

Conto alla rovescia per gli adeguamenti DORA: conoscere per fare

Antonello Motroni
08 luglio 2024
TEMI MEFOP
  • Previdenza complementare
  • Gestione del rischio
DESTINATARI
  • Fondi pensione

Decorrerà dal 17 gennaio 2025 l’operatività del Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario (DORA) ed è quindi necessario che i fondi pensione inizino a prendere confidenza con le previsioni della disciplina comunitaria. Il provvedimento definisce obblighi uniformi per tutte le entità finanziarie (compresi gli IORPs) relativamente alla sicurezza dei sistemi informatici e di rete. Tali obblighi riguardano[1],tra l'altro:

 
  • il sistema di gestione dei rischi
  • la governance
  • gli accordi contrattuali stipulati dalle entità finanziarie con i fornitori terzi di servizi ICT

Il Regolamento è accompagnato dalla Direttiva (UE) 2022/2556 che all’art. 8 riformula l’art. 21, paragrafo 5 della Direttiva 2016/2341 (cfr. D. Lgs. 252/2005, art. 4-bis, comma 5), prevedendo che i sistemi informatici e di rete siano istituiti e gestiti secondo quanto stabilito dal Reg. DORA. Entro il 17 gennaio 2025 Governo e Parlamento dovranno aver adottato le misure necessarie per conformare il D. lgs. 252/2005, alla direttiva (UE) 2022/2556.

Il quadro regolamentare si completerà nelle prossime settimane con l’emanazione degli atti delegati previsti dal Reg. DORA. 

Per quanto riguarda la gestione dei rischi informatici il regolamento prevede che i Fp debbano predisporre un quadro di gestione e controllo interno che ne garantisca una gestione efficace e prudente. La definizione, approvazione e attuazione del suddetto quadro spetta al Cda. In esso rientrano, tra l’altro, attività quali la definizione dei ruoli e delle responsabilità per tutte le funzioni connesse all’ICT, l’approvazione e la messa in atto della strategia di resilienza operativa digitale; l’approvazione della politica di continuità operativa, dei piani di risposta e ripristino e dei piani di audit ICT. I componenti dell’organo di gestione mantengono un adeguato livello di aggiornamento sui rischi ICT anche seguendo corsi di formazione dedicati al tema.

Il sistema di gestione dei rischi comprende il quadro per la gestione dei rischi informatici, da intendersi come il complesso delle strategie, delle politiche, delle procedure, dei protocolli e degli strumenti in materia ICT adottati al fine di proteggere tali risorse (software, hardware, server, infrastrutture e componenti fisiche pertinenti quali locali, ced, aree sensibili). Il quadro per la gestione dei rischi informatici è documentato e riesaminato almeno una volta l’anno. La strategia per la resilienza operative digitale dell’entità è parte integrante del quadro e ne definisce le modalità di attuazione.

La responsabilità della gestione dei rischi informatici è attribuita a una funzione di controllo che è separata e indipendente dalle funzioni di controllo e dalla funzione di revisione interna, secondo il modello delle tre linee di difesa o secondo un modello interno di controllo e risk management.   

Il Regolamento richiede la definizione e l’attuazione di un processo di gestione degli incidenti connessi all’ICT, per individuare, gestire e notificare all’autorità di vigilanza gli eventi di particolare gravità.

Uno dei pilastri della resilienza operativa digitale è rappresentato dai test di resilienza, da svolgere con frequenza annuale e secondo un principio di proporzionalità.

Particolare attenzione è dedicata al tema dei rischi informatici derivanti dai fornitori di servizi, con la richiesta di adottare e riesaminare periodicamente la strategia dei rischi informatici derivanti da terzi. La sottoscrizione del contratto di fornitura del servizio ICT è preceduta da una accurata due diligence; sono inoltre previsti obblighi di comunicazione all’autorità di vigilanza sui contratti stipulati.

Come già richiamato in precedenza, la conoscenza e il costante aggiornamento sui rischi connessi alle tecnologie dell’informazione da parte degli organi apicali, dei dipendenti e dei fornitori di servizi ICT rappresentano uno dei pilastri del sistema di gestione dei rischi informatici prefigurato da DORA.

Mefop approfondirà le tematiche del regolamento con un percorso formativo dedicato che prenderà il via il 17 settembre.

Il corso prevedrà tre incontri virtuali di quattro ore ciascuno e le docenze saranno tenute da esperti dei profili operativi e legali connessi alla mitigazione dei rischi informatici.

CORSO: Regolamento DORA

Quando: 17 settembre 2024, 24 settembre 2024, 1° ottobre 2024

N° ore totali: 12

Dove: aula virtuale

Chiusura iscrizioni: 10 settembre 2024

[1] Il regolamento prevede ulteriori profili di intervento ma in questa sede ci si sofferma su quelli di maggiore rilievo per il settore della previdenza integrativa.

 

Antonello Motroni
Mefop

In Mefop dal 2006. Laureato in Economia e Commercio, si occupa di analisi economica e finanziaria ed è co-responsabile della gestione di Previ|DATA. Si occupa dei profili comunitari della previdenza integrativa.