Intervista di esperti: Renate Prinz su DORA, le sfide associate e come le aziende possono affrontarle

Informazioni su Renate Prinz

Renate Prinz è partner di McDermott Will & Emery e fornisce consulenza a banche e fornitori di servizi finanziari, investitori e società industriali in tutti i settori della regolamentazione finanziaria e del diritto societario. Ha molti anni di esperienza nella consulenza agli istituti finanziari sulle procedure di licenza, sulla conformità normativa e sulle ristrutturazioni aziendali, nonché sulle transazioni e sulle procedure di controllo della proprietà (BCE e BaFin). Oltre alla tradizionale supervisione bancaria e finanziaria, Renate Prinz fornisce anche consulenza sulla regolamentazione dei servizi di pagamento e delle criptovalute, nonché sul riciclaggio di denaro e sulle sanzioni. È autrice di numerose pubblicazioni in materia di diritto regolamentare societario e finanziario, in particolare nell'area della cripto-regolamentazione. Oltre al suo lavoro di consulenza, è coinvolta in varie associazioni per l'uguaglianza e la diversità.

‍

DORA sotto la lente d'ingrandimento

Come giudichi DORA rispetto ad altre normative come BAIT, linee guida EBA o NIS2?

Risposta RP: Il DORA (Digital Operational Resilience Act) è nuovo, ma molti dei contenuti sono già noti alle aziende del settore finanziario e sono già stati implementati attraverso una normativa precedente. DORA crea ora un quadro uniforme in tutta l'UE, il che è molto gradito. In Germania, ad esempio, avevamo già uno standard di sicurezza e requisiti molto elevati per i servizi IT tramite BAIT (così come ZAIT o KAIT) e con MaRISK (requisiti minimi per la gestione del rischio) per l'outsourcing in generale. Ora sono stati aggiunti ulteriori standard e formalità per DORA. Sebbene siano fastidiosi, molti di essi possono essere gestiti in pratica da operatori di mercato affermati una volta che gli sforzi iniziali di implementazione, come l'adattamento dei contratti, la creazione di documentazione, registri e processi, siano stati impostati di conseguenza. Ritengo che l'obiettivo di un'elevata resilienza informatica e degli obblighi di segnalazione degli incidenti sia molto valido e importante in linea di principio, visti gli elevati rischi di attacchi informatici per il mercato finanziario.

‍

‍

Di cosa parliamo esattamente quando parliamo di regolamentazione nel settore dei fornitori di servizi?

Risposta RP: Nel settore dei servizi, la regolamentazione è in gran parte indiretta tramite il settore finanziario. Ciò significa che gli istituti finanziari stessi sono in linea di principio i destinatari della regolamentazione; tuttavia, sono obbligati a garantire che i servizi che esternalizzano siano conformi alla corretta organizzazione aziendale, possano essere monitorati e che tutte le misure di sicurezza necessarie, dalla sicurezza informatica alla sicurezza contrattuale, ad esempio per quanto riguarda le opzioni di risoluzione, siano rispettate. L'autorità di vigilanza finanziaria può anche svolgere indagini dirette sui fornitori di servizi nell'ambito del suo esame della conformità a tali requisiti. Sotto DORA, c'è anche la classe dei fornitori di servizi critici, che ora sono supervisionati direttamente per la prima volta.

‍

A suo avviso, quali sono le maggiori sfide per gli istituti finanziari nell'implementazione di DORA?

Risposta RP: Rispetto delle formalità: prima è stato necessario implementare molta documentazione. Gli adeguamenti contrattuali completi con i fornitori di servizi, le classificazioni corrette e la creazione del registro delle informazioni sono semplicemente un notevole lavoro amministrativo nella pratica e, sebbene gli adeguamenti contrattuali siano obbligatori, sono ben lungi dall'essere accettati da tutti i fornitori di servizi. Tuttavia, anche la revisione pratica dei processi esistenti può rivelarsi un compito immane.

‍

Cosa occorre realmente considerare per quanto riguarda l'implementazione di processi conformi a DORA? Esistono best practice o approcci specifici che consiglieresti, ad esempio per la risposta agli incidenti o la gestione di terze parti? E quali errori dovrebbero evitare le aziende secondo la tua esperienza?

Risposta RP: Non esiste una best practice per tutti, poiché i requisiti e le sfide variano notevolmente a seconda delle dimensioni dell'azienda. Se un istituto lavora con 50 fornitori di servizi ICT, il successivo può averne solo tre. Persone di riferimento chiare, strutture di rendicontazione e pianificazione dell'implementazione sono essenziali. In altre parole, occorre innanzitutto avere una visione d'insieme: a che punto siamo, quali sono i nostri rischi, cosa ci farà crollare nel peggiore dei casi, vale a dire cos'è un servizio critico? La rendicontazione, ad esempio, deve quindi essere impostata su questa base.

‍

‍

Secondo te, quali sono le lezioni più importanti apprese dall'entrata in vigore di DORA? Dove vede le maggiori difficoltà finora?

Risposta RP: Gli adeguamenti contrattuali con i fornitori di servizi internazionali sono difficili. Anche in questo caso la situazione negoziale spesso non è equa, poiché spesso mancano alternative con sede nell'UE. I fornitori di servizi IT più piccoli, spesso sopraffatti dalla regolamentazione e dai relativi requisiti, a volte devono essere sostituiti se gli adeguamenti sono troppo costosi o impossibili. Inoltre, sussistono ancora molte difficoltà effettive legate all'implementazione tempestiva. Tuttavia, anche l'autorità di vigilanza ne è consapevole e al riguardo stiamo assistendo a molte concessioni.

‍

Prevedete ulteriori requisiti normativi in questo settore nei prossimi anni? In caso affermativo, in che misura?

Risposta RP: Se la regolamentazione dei mercati finanziari mi ha insegnato una cosa, è che non c'è fine. Ci saranno sicuramente ulteriori chiarimenti e miglioramenti nell'area di DORA, a cui seguiranno ulteriori normative nel settore IT in generale, ne sono sicuro. Attualmente gli sviluppi stanno progredendo molto rapidamente in molte aree e la regolamentazione è spesso in ritardo. Mi auguro che vi siano anche cambiamenti che rendano la regolamentazione più pratica e i processi più rapidi ed efficienti. La regolamentazione dovrebbe creare opportunità e creare sicurezza, non rallentare le cose. La BCE sta ora lentamente lavorando per migliorare la situazione. Resta inoltre da vedere cosa comporteranno i piani della Commissione per un'unione dei depositi e dei mercati dei capitali. Se arriverà, è probabile che vedremo alcuni cambiamenti in questo settore.

‍