DORA e quadro di gestione rischio ICT semplificato: Q&A ESMA

ESMA ha pubblicato la Q&A 2219, in ambito Regolamento (UE) 2022/2554 (DORA), relativamente al quadro di gestione del rischio ICT delle microimprese e degli enti finanziari soggetti al quadro di gestione del rischio ICT semplificato.

Del quadro di gestione del rischio ICT degli intermediari se ne discuterà nel corso del seminario organizzato dalla nostra rivista il giorno 20 febbraio 2025, “DORA: le richieste Banca d’Italia sulla gestione del rischio ICT“, consultabile al seguente link.

In particolare, le questioni poste all’attenzione dell’Autorità sono le seguenti:

• Frequenza dell’audit interno per le microimprese e gli enti finanziari soggetti al quadro di gestione del rischio semplificato

Il considerando 43 del Regolamento DORA stabilisce che le microimprese e gli enti finanziari di cui all’art. 16, par. 1, non siano tenuti a condurre audit interni periodici del loro quadro di gestione del rischio ICT: ciò parrebbe in contrasto con l’art. 28, paragrafo 5, del Regolamento delegato (UE) 2024/1774, che invece prevede l’obbligo di effettuare un audit interno del sistema di gestione del rischio ICT in linea con il piano di audit dell’ente soggetto al quadro di gestione del rischio semplificato.

Secondo ESMA il considerando 43 non è in contrasto con l’articolo citato: il testo del considerando 43 suggerisce infatti che le microimprese e gli enti finanziari soggetti al quadro di gestione del rischio semplificato di cui all’articolo 16, paragrafo 1, della DORA non sono obbligate a condurre regolarmente audit interni delle loro quadro di gestione del rischio ICT: ciò significa che non c’è alcun mandato per queste entità di eseguire il suddetto audit interno con una specifica periodicità.

Tuttavia, ciò non esclude la necessità di condurre audit interni secondo quanto ritenuto necessario dal piano di audit dell’ente finanziario: la responsabilità di determinare la frequenza appropriata e i fattori scatenanti degli audit spetta infatti all’ente.

• Requisiti dei test ICT per le microimprese e le entità finanziarie – scenari di attacco informatico

L’art. 11, par. 6 del Regolamento DORA esclude le microimprese dall’obbligo di includere scenari di attacco informatico nei test del loro piano di continuità operativa e di ripristino delle ITC; ciò parrebbe in contrasto con l’art. 39, par. 1, del Regolamento delegato (UE) 2024/1774, che impone l’inclusione di scenari di attacco informatico nei piani di test per le entità finanziarie di cui all’art. 16, par. 1, del Regolamento DORA.

Per ESMA, tuttavia, non vi è contraddizione tra gli articoli citati: l’art. 11, par. 6, del Regolamento DORA, in particolare, esclude esplicitamente le microimprese dall’obbligo di includere scenari di attacco informatico nei test del loro piano di continuità operativa e di ripristino delle TIC; questa esclusione si applica esclusivamente alle microimprese e non alle entità finanziarie di cui all’art. 16, par. 1 del Regolamento, che distingue chiaramente tra le microimprese e le entità finanziarie di cui all’art. 16, garantendo che queste ultime siano comunque tenute a includere scenari di attacco informatico nei loro piani di test, come previsto dall’art. 39, par. 1, del Regolamento delegato.

• Analisi dei rischi delle microimprese ed entità finanziarie, sui sistemi ICT legacy

Il considerando 43 del Regolamento DORA specifica che le microimprese e le entità finanziarie di cui all’art. 16, par. 1, non sono tenute a condurre regolarmente analisi dei rischi sui sistemi ICT legacy (ovvero i sistemi informatici o applicazioni con tecnologie, sistemi o software che, a causa della loro obsolescenza, mancano di funzionalità e supporto moderni); ciò parrebbe in contrasto con l’art. 34, par. 1, lett. e), del Regolamento delegato (UE) 2024/1774, che prevede che i soggetti finanziari di cui all’art. 16, par. 1, debbano gestire i rischi connessi alle risorse ICT obsolete o non supportate, e legacy.

Per ESMA, tuttavia, non vi è contraddizione tra il considerando 43 e l’art. 34 citato: il considerando 43 specifica che le microimprese e gli enti finanziari di cui all’art. 16, par. 1, non sono tenuti a condurre regolarmente analisi dei rischi sui sistemi ICT legacy; ciò significa che non vi è alcun mandato per queste entità di eseguire analisi dei rischi con una specifica periodicità.

Tuttavia, ciò non implica che i rischi associati ai sistemi legacy non debbano essere gestiti affatto: l’art. 34, semplicemente, non specifica la frequenza richiesta per queste analisi dei rischi.