Entrato in vigore il 17 gennaio 2025, il Digital Operational Resilience Act (DORA) istituisce un quadro normativo completo per garantire che le entità finanziarie nell’UE, insieme ai loro fornitori ICT, posseggano una resilienza operativa digitale solida. La formazione del personale e del board emerge come componente chiave, trasversale a molte previsioni del regolamento.

Già all’art. 5, rubricato “Governance e organizzazione”, si trova un riferimento specifico (art. 5, par.2 lett. g) dove, nell’ambito dell’attuazione del quadro per la gestione dei rischi informatici, prevede l’obbligo per l’organo di gestione di allocare e riesaminare periodicamente budget adeguati per promuovere programmi di sensibilizzazione sulla sicurezza ICT, formazione sulla resilienza operativa digitale e per lo sviluppo delle competenze ICT di tutto il personale. Un investimento pecuniario continuo garantisce che non si tratti di una mera attività a fini normativi, ma di una strategia concreta di miglioramento.

Inoltre, l’impianto normativo del regolamento DORA presuppone un organo di gestione proattivo che promuova una formazione continua anche per il top management (art. 5, par. 4). I membri dell’organo di gestione devono infatti tenersi regolarmente aggiornati sui rischi informatici cui il fondo risulta esposto per comprendere e valutare l’impatto operativo. A tal proposito deve essere programmata e seguita una formazione specifica e commisurata al rischio. La consapevolezza richiesta dalla normativa eurounitaria è elemento imprescindibile per decisioni informate e tempestive.

Più in generale una formazione a tutti i livelli, che riguardi sia dipendenti che alti dirigenti, è prevista all’art. 13, par. 6 del Regolamento DORA secondo cui le entità finanziarie sono tenute a:

• elaborare programmi di sensibilizzazione sulla security awareness e formazione sulla resilienza operativa digitale;
• rendere tali programmi parte integrante obbligatoria dei percorsi formativi del personale;
• calibrare la complessità dei contenuti in base ai ruoli (dai ruoli operativi a quelli di senior management);
• eventuale inclusione in tali programmi formativi dei fornitori terzi di servizi ICT.

Proprio in merito al coinvolgimento dei fornitori terzi va ricordato che il regolamento DORA (art. 30, par. 2 lett. i) richiede che i contratti con i fornitori ICT includano clausole relative alla partecipazione obbligatoria alle attività di formazione e sensibilizzazione. Si evidenzia così l’importanza di una resilienza condivisa lungo l’intera catena dei soggetti che concorrono a determinare il valore dei servizi offerti a potenziali aderenti, iscritti e beneficiari.

Nel contesto del Regolamento DORA, la formazione non è solo un obbligo normativo ma una leva strategica volta a rafforzare la cultura organizzativa ed elevare la sicurezza digitale del fondo pensione. I dipendenti diventano protagonisti attivi nella prevenzione dei rischi e nel supportare concretamente la business continuity in caso di minacce o incidenti. Training aggiornati mantengono il compliance framework attuale. La formazione dei membri del CdA garantisce decisioni consapevoli e tempestive da parte del vertice per creare un sistema coeso di difesa che può coinvolgere anche i fornitori riducendo le aree di vulnerabilità e migliorando nel complesso la resilienza operativa digitale interna ed esterna.

La formazione diventa così pilastro centrale della capacità del fondo di prevenire, reagire e ripristinare le operazioni in caso di crisi digitale al fine di perseguire sempre l’obiettivo principale dell’ente: garantire e tutelare in modo efficace e tempestivo gli interessi degli aderenti e dei beneficiari delle prestazioni.

Si ricorda a tal proposito l’opportunità di partecipare al corso DORA organizzato da Mefop. Si tratta di 3 giorni di formazione on line, dalle 9.30 alle 13.30, nei giorni 16, 23 e 30 settembre.