Articolo 1 – Oggetto

Sintesi Articolo 1

DORA mira a standardizzare i protocolli di sicurezza digitale nelle organizzazioni finanziarie. Stabilisce un insieme completo di requisiti che coprono la gestione del rischio nelle tecnologie dell’informazione e della comunicazione, la segnalazione obbligatoria di incidenti informatici significativi e linee guida per test di resilienza. La legge fornisce anche regole per le entità finanziarie quando interagiscono con fornitori di servizi tecnologici terzi. Inoltre, stabilisce un quadro per la supervisione normativa, assicurando che le autorità competenti possano supervisionare ed applicare efficacemente queste misure di sicurezza digitale. Sebbene il regolamento sia applicabile alle principali organizzazioni finanziarie identificate dalla Direttiva UE 2022/2555 (NIS2), non interferisce esplicitamente con le responsabilità degli Stati membri in aree come la sicurezza pubblica e nazionale.

  1. Al fine di conseguire un livello comune elevato di resilienza operativa digitale, il presente regolamento stabilisce i seguenti obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie:
    • a) obblighi applicabili alle entità finanziarie in materia di:
      • i) gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC);
      • ii) segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica, su base volontaria, delle minacce informatiche significative;
      • iii) segnalazione alle autorità competenti, da parte delle entità finanziarie di cui all’articolo 2, paragrafo 1, lettere da a) a d), di gravi incidenti operativi o relativi alla sicurezza dei pagamenti;
      • iv) test di resilienza operativa digitale;
      • v) condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
      • vi) misure relative alla solida gestione dei rischi informatici derivanti da terzi;
    • b) obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie;
    • c) norme per l’istituzione e l’attuazione di un quadro di sorveglianza per i fornitori terzi critici di servizi TIC, allorché forniscono i loro servizi a entità finanziarie;
    • d) norme sulla cooperazione tra autorità competenti e norme sulla vigilanza e l’applicazione da parte delle autorità competenti in relazione a tutte le materie trattate dal presente regolamento.
  2. Quanto alle entità finanziarie identificate come soggetti essenziali o importanti ai sensi delle norme nazionali che recepiscono l’articolo 3 della direttiva 2022/2555, il presente regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 di tale direttiva.
  3. Il presente regolamento lascia impregiudicata la responsabilità degli Stati membri per quanto riguarda le funzioni essenziali dello Stato concernenti la sicurezza pubblica, la difesa e la sicurezza nazionale conformemente al diritto dell’Unione.

Tutti gli articoli