Sulla Gazzetta Ufficiale n. 58 dell’11 marzo 2025 è stato pubblicato il decreto legislativo per l’adeguamento al Regolamento DORA (UE) 2022/2554. Il Regolamento DORA, ovvero il Digital Operational Resilience Act, è un importante tassello nella strategia europea di resilienza e sicurezza informatica. Nato con l’obiettivo di rafforzare e armonizzare i requisiti operativi in ambito cybersecurity nel settore bancario, finanziario e assicurativo, ivi comprese le società di servizi di criptovalute. Per approfondire il tema, abbiamo organizzato il corso di formazione Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni. Inoltre, il volume “Ai Act -Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024” curato da Michele Iaselli si propone di rispondere proprio a queste sfide.
Indice
1. Di che cosa si tratta
Si tratta di un Regolamento, ovvero di una norma europea immediatamente applicabile in tutti gli Stati membri dell’Unione, senza bisogno di alcuna legge di recepimento, nato per garantire che le imprese del settore finanziario e assicurativo siano in grado di affrontare attacchi informatici anche di grave portata, aventi impatto pesante sull’operatività aziendale, attraverso l’implementazione di misure di sicurezza, di gestione del rischio, di governance, cybersecurity e di incident reporting.
Un Regolamento, dunque, che si inserisce nel solco dell’attività legislativa europea volta a contrastare la crescita e la gravità dei cyberattacchi e delle loro conseguenze, per incrementare la resilienza, ovvero la continuità, operativa del settore finanziario di tutti gli Stati appartenenti all’Unione. Lo scopo principale del Regolamento DORA è quello di adottare requisiti di sicurezza standard per prevenire e, se del caso, reagire, a minacce informatiche che non solo si fanno sempre più sofisticate, ma che, qualora colpiscano il bersaglio, possono avere conseguenze di portata dirompente al di là di ogni immaginazione per tutti i cittadini dell’Unione e dell’intero pianeta. Inoltre, il volume “Ai Act -Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024” curato da Michele Iaselli si propone di rispondere proprio a queste sfide.
Ai Act
Quale impatto avrà l’intelligenza artificiale sulla nostra società e soprattutto sul diritto? Il testo esplora questa complessa intersezione, offrendo una guida dettagliata e completa.L’opera approfondisce l’evoluzione dell’AI, dalle sue umili origini nei primi sistemi esperti alle avanzate reti neurali e all’AI generativa di oggi.Analizza in modo critico il panorama normativo europeo, come il recente Regolamento n. 1689/2024, delineando il percorso legislativo e le regolamentazioni che cercano di gestire e governare questa tecnologia in rapida evoluzione.Gli autori affrontano temi fondamentali come l’etica dell’AI, la responsabilità legale, la sicurezza dei dati e la protezione della privacy.Il libro non si limita alla teoria: esplora anche le applicazioni pratiche dell’AI in vari settori, tra cui la giustizia, il settore finanziario, la pubblica amministrazione e la medicina.Attraverso casi di studio e analisi dettagliate, il libro mostra come l’AI stia trasformando questi ambiti e quali questioni giuridiche stiano emergendo.Inoltre, viene esaminato l’impatto dell’AI sul mondo del lavoro, evidenziando come l’automazione e le nuove tecnologie stiano cambiando le dinamiche lavorative e quali siano le implicazioni legali di queste trasformazioni.L’opera vuole essere una lettura essenziale per avvocati, giuristi, professionisti IT e tutti coloro che desiderano comprendere le complesse relazioni tra tecnologia e diritto, offrendo una visione completa e aggiornata, ricca di analisi critiche e riflessioni pratiche, per navigare nel futuro della tecnologia e del diritto con consapevolezza e competenza.Michele IaselliAvvocato, docente di Diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Direttore del comitato scientifico di ANDIP e coordinatore del comitato scientifico di Feder-privacy. Funzionario del Ministero della Difesa ed esperto dell’Ufficio Generale Innovazione Difesa, è membro del Comitato di presidenza dell’ENIA (Ente Nazionale Intelligenza Artificiale).
Michele Iaselli | Maggioli Editore 2024
43.70 €
2. Come è entrato in vigore il Regolamento DORA
Così come già avvenuto per altri noti Regolamenti europei in ambito Data Protection, servizi digitali e in generale regolamentazione della tecnologia, anche il DORA è stato sottoposto ad un periodo di “vacatio” o grace period: gli operatori interessati hanno avuto molti mesi per conformarsi e uniformarsi agli standard richiesti, a decorrere dall’entrata in vigore del Regolamento, che dunque è entrato in vigore il 16 gennaio 2023 e vincolante dal 17 gennaio 2025.
3. A chi si applica
I destinatari del Regolamento sono quasi tutti gli operatori del settore finanziario, dunque non solo i grandi player tradizionali (banche, assicurazioni, società di gestione del risparmio, società di intermediazione mobiliare, imprese di investimento in generale), ma anche i nuovi attori del mercato finanziario, quali società di servizi in ambito criptovalute e loro fornitori di servizi critici essenziali, come ad esempio i fornitori del cloud.
4. Quali sono i punti cardine del Regolamento DORA
Quattro sono i punti cardine del regolamento DORA:
1) Necessità di Governance e organizzazione interna (Art. 5)
I soggetti interessati dal Regolamento dovranno costituire al proprio interno un dipartimento di governance del rischio in grado di garantire un monitoraggio costante dei rischi IT, la predisposizione delle misure di sicurezza e la gestione di eventuali incidenti in tempo rapido, al fine di garantire un elevato livello di resilienza operativa digitale.
2) Obbligo di gestire il Risk management (Artt. 6-16)
Sarà obbligatorio formulare un quadro di gestione del rischio solido, completo e ben documentato, con evidenza di quali sono state le scelte compiute in termini di strumenti IT, identificazione degli entry point di rischio, e adozione di procedure di prevenzione e protezione.
3) Esigenza di creare procedure per Incident management e reporting (Artt. 17-23)
Il Regolamento prevede l’obbligo di scrivere ed applicare procedure per garantire la business continuity e il disaster recovery, di dotarsi di personale idoneamente ed accuratamente formato, pronto a rilevare vulnerabilità, minacce, incidenti e attacchi informatici e valutare le conseguenze, nonché prevedere piani di comunicazione nei confronti degli stakeholder.
4) Gestione dei fornitori di servizi critici ICT (Artt. 28-44)
Le Autorità di vigilanza in ambito finanziario avranno specifici poteri di sorveglianza non solo nei confronti dei diretti interessati all’applicabilità del regolamento, ma anche verso i fornitori di servizi critici, quali ad esempio il servizio di cloud.
Potrebbero interessarti anche:
5. Che cosa fare per essere in regola
Anche per questo Regolamento vale il principio dell’approccio basato sul rischio ed il concetto di accountability: saranno le aziende stesse destinatarie delle normative, con l’adozione di un approccio proattivo e consapevole, a stabilire quali saranno le azioni da porre in essere all’interno del framework stabilito da DORA.
L’impianto, comunque, sembra ricalcare quello già in essere per il Regolamento Europeo per la Protezione dei Dati Personali (GDPR 679/2016), ovvero iniziare con una gap analysis dell’ICT risk management framework, procedere con la revisione della struttura di governance interna e le misure di gestione dei rischi e incidenti ICT già adottate, per verificare il grado di preparazione e consapevolezza aziendale rispetto al nuovo impianto normativo e valutare se quanto finora adottato risponda adeguatamente al dettato normativo, in termini di risorse, strategie e procedure di risposta agli incidenti.
Se la risposta sarà no, occorrerà prevedere piani di aggiornamento e adeguamento, che sarà la stessa azienda a valutare come adeguati secondo il proprio profilo di rischio e di assessment iniziale.
6. Il decreto italiano per l’adeguamento
Il regolamento assegna specifiche responsabilità alle autorità nazionali competenti. In particolare, la Banca d’Italia, la Consob, l’IVASS e la COVIP sono state designate per garantire l’applicazione delle disposizioni del DORA nei confronti dei rispettivi soggetti vigilati. Questo quadro normativo prevede sanzioni amministrative pecuniarie per gli enti finanziari che non rispettano gli obblighi imposti, con multe che possono raggiungere fino al 10% del fatturato annuo. Inoltre, sono previste sanzioni specifiche per gli amministratori e i sindaci delle entità inadempienti, inclusa l’interdizione temporanea dall’esercizio delle funzioni. L’obiettivo principale di queste misure è garantire che le entità finanziarie adottino adeguate strategie di gestione del rischio informatico, assicurando la continuità e la sicurezza dei servizi finanziari nel contesto digitale attuale.
Formazione in materia per professionisti
Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
La Direttiva NIS 2 (Direttiva UE 2022/2555) ha l’obiettivo di rafforzare il quadro normativo della cybersecurity, estendendo le misure di sicurezza informatica ad un maggior numero di settori strategici e imponendo obblighi stringenti e sanzioni più severe ai soggetti interessati.
Durante il corso verranno esaminati approfonditamente tutti gli obblighi e i relativi step di adeguamento: quali sono i soggetti obbligati? Come creare un piano di risposta agli incidenti? Cosa fare in caso di attacco informatico? Quali sono i ruoli e le responsabilità nella compliance alla NIS 2?
I partecipanti acquisiranno competenze utili per implementare la conformità alla NIS 2 attraverso una check-list pratica e case studies.
>>>Per info ed iscrizioni<<<
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento