Decorrerà dal 17 gennaio 2025 l’operatività del Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario (DORA) ed è quindi necessario che i fondi pensione inizino a prendere confidenza con le previsioni della disciplina comunitaria. Il provvedimento definisce obblighi uniformi per tutte le entità finanziarie (compresi gli IORPs) relativamente alla sicurezza dei sistemi informatici e di rete. Tali obblighi riguardano[1],tra l'altro:

• il sistema di gestione dei rischi
• la governance
• gli accordi contrattuali stipulati dalle entità finanziarie con i fornitori terzi di servizi ICT

Il Regolamento è accompagnato dalla Direttiva (UE) 2022/2556 che all’art. 8 riformula l’art. 21, paragrafo 5 della Direttiva 2016/2341 (cfr. D. Lgs. 252/2005, art. 4-bis, comma 5), prevedendo che i sistemi informatici e di rete siano istituiti e gestiti secondo quanto stabilito dal Reg. DORA. Entro il 17 gennaio 2025 Governo e Parlamento dovranno aver adottato le misure necessarie per conformare il D. lgs. 252/2005, alla direttiva (UE) 2022/2556.

Il quadro regolamentare si completerà nelle prossime settimane con l’emanazione degli atti delegati previsti dal Reg. DORA (il 5 aprile in Mefop si discuterà del primo set di RTS emanati dalle ESAs e attualmente al vaglio della Commissione Europea).  

Per quanto riguarda la gestione dei rischi informatici il regolamento prevede che i Fp debbano predisporre un quadro di gestione e controllo interno che ne garantisca una gestione efficace e prudente. La definizione, approvazione e attuazione del suddetto quadro spetta al Cda. In esso rientrano, tra l’altro, attività quali la definizione dei ruoli e delle responsabilità per tutte le funzioni connesse all’ICT, l’approvazione e la messa in atto della strategia di resilienza operativa digitale; l’approvazione della politica di continuità operativa, dei piani di risposta e ripristino e dei piani di audit ICT. I componenti dell’organo di gestione mantengono un adeguato livello di aggiornamento sui rischi ICT anche seguendo corsi di formazione dedicati al tema.

Il sistema di gestione dei rischi comprende il quadro per la gestione dei rischi informatici, da intendersi come il complesso delle strategie, delle politiche, delle procedure, dei protocolli e degli strumenti in materia ICT adottati al fine di proteggere tali risorse (software, hardware, server, infrastrutture e componenti fisiche pertinenti quali locali, ced, aree sensibili). Il quadro per la gestione dei rischi informatici è documentato e riesaminato almeno una volta l’anno. La strategia per la resilienza operative digitale dell’entità è parte integrante del quadro e ne definisce le modalità di attuazione.

La responsabilità della gestione dei rischi informatici è attribuita a una funzione di controllo che è separata e indipendente dalle funzioni di controllo e dalla funzione di revisione interna, secondo il modello delle tre linee di difesa o secondo un modello interno di controllo e risk management.   

Il Regolamento richiede la definizione e l’attuazione di un processo di gestione degli incidenti connessi all’ICT, per individuare, gestire e notificare all’autorità di vigilanza gli eventi di particolare gravità.