Intervista con un esperto: Renate Prinz su DORA, le sfide associate e come le aziende possono affrontarle

Informazioni su Renate Prinz

Renate Prinz è partner di McDermott Will & Emery e fornisce consulenza a banche e fornitori di servizi finanziari, investitori e società industriali in tutte le aree del diritto societario e della regolamentazione finanziaria. Vanta un'esperienza pluriennale nella consulenza agli istituti finanziari in materia di procedure di autorizzazione, conformità normativa e ristrutturazioni aziendali, nonché in materia di transazioni e procedure di controllo della proprietà (BCE e BaFin). Oltre alla tradizionale vigilanza bancaria e finanziaria, Renate Prinz fornisce consulenza anche sulla regolamentazione dei servizi di pagamento e dei cripto-asset, nonché sul riciclaggio di denaro e sulle sanzioni. È autrice di numerose pubblicazioni in materia di diritto societario e di regolamentazione finanziaria, in particolare nell'ambito della regolamentazione delle criptovalute. Oltre all'attività di consulenza, è impegnata in diverse associazioni per la parità e la diversità.

‍

DORA sotto la lente d'ingrandimento 

Come giudica il DORA rispetto ad altre normative come il BAIT, le linee guida dell'EBA o il NIS2?

Risposta RP: Il DORA (Digital Operational Resilience Act) è nuovo, ma molti dei suoi contenuti sono già noti alle aziende del settore finanziario e sono già stati implementati da precedenti normative. La DORA crea ora un quadro normativo standardizzato a livello europeo, il che è molto gradito. In Germania, ad esempio, avevamo già uno standard di sicurezza e requisiti molto elevati per i servizi IT attraverso il BAIT (così come lo ZAIT o il KAIT) e con il MaRisk (requisiti minimi per la gestione del rischio) per l'outsourcing in generale. Ora sono stati aggiunti ulteriori standard e formalità per DORA. Sebbene siano fastidiosi, molti di essi possono essere gestiti nella pratica da operatori di mercato consolidati una volta che lo sforzo iniziale di implementazione, come l'adattamento dei contratti, la creazione di documentazione, registri e processi, sia stato impostato di conseguenza. Ritengo che l'obiettivo di un'elevata resilienza informatica e gli obblighi di segnalazione degli incidenti siano molto validi e importanti in linea di principio, visti gli elevati rischi di attacchi informatici per il mercato finanziario.

‍

‍

Di cosa parliamo esattamente quando parliamo di regolamentazione nel settore dei fornitori di servizi?

Risposta RP: Nel settore dei servizi, la regolamentazione è in gran parte indiretta attraverso il settore finanziario. Ciò significa che gli istituti finanziari stessi sono in linea di principio i destinatari della regolamentazione; tuttavia, sono tenuti a garantire che i servizi che esternalizzano siano conformi alla corretta organizzazione aziendale, possano essere monitorati e che siano rispettate tutte le misure di sicurezza necessarie - dalla sicurezza informatica alla sicurezza contrattuale, ad esempio per quanto riguarda le opzioni di risoluzione. L'autorità di vigilanza finanziaria può anche svolgere indagini dirette sui fornitori di servizi nell'ambito della verifica della conformità a questi requisiti. La DORA prevede anche la categoria dei fornitori di servizi critici, che per la prima volta sono sottoposti a vigilanza diretta.

‍

Secondo lei, quali sono le maggiori sfide per gli istituti finanziari nell'implementazione del DORA?

Risposta RP: Rispetto delle formalità - prima è stato necessario implementare molta documentazione. Gli adeguamenti contrattuali completi con i fornitori di servizi, le classificazioni corrette e la creazione del registro delle informazioni sono semplicemente un sacco di lavoro amministrativo nella pratica, e sebbene gli adeguamenti contrattuali siano obbligatori, sono ben lungi dall'essere accettati da tutti i fornitori di servizi. Tuttavia, anche la revisione pratica dei processi esistenti può essere un compito immane.

‍

Quali sono gli aspetti da tenere in considerazione per l'implementazione di processi conformi al DORA? Ci sono best practice o approcci specifici che consigliereste, ad esempio per la risposta agli incidenti o la gestione di terzi? E quali sono gli errori che le aziende dovrebbero evitare, secondo la sua esperienza?

Risposta RP: Non esiste una pratica migliore per tutti, poiché i requisiti e le sfide variano notevolmente a seconda delle dimensioni dell'azienda. Se un istituto lavora con 50 fornitori di servizi ICT, un altro potrebbe averne solo tre. Sono essenziali persone di contatto chiare, strutture di reporting e pianificazione dell'implementazione. In altre parole, occorre innanzitutto una visione d'insieme: A che punto siamo, quali sono i nostri rischi, che cosa ci porterà alla rovina nel peggiore dei casi, cioè qual è un servizio critico? Su questa base si deve poi impostare il reporting, ad esempio.

‍

‍

Secondo lei, quali sono le lezioni più importanti apprese dall'entrata in vigore della DORA? Dove vede le maggiori difficoltà finora?

Risposta RP: Gli adeguamenti contrattuali con i fornitori di servizi internazionali sono difficili. Anche in questo caso la situazione di negoziazione spesso non è equa, poiché spesso mancano alternative basate nell'UE. I fornitori di servizi IT più piccoli, spesso sopraffatti dal regolamento e dai suoi requisiti, devono talvolta essere sostituiti se gli adeguamenti sono troppo costosi o impossibili. Inoltre, ci sono ancora molte difficoltà effettive per un'attuazione tempestiva. Tuttavia, anche l'autorità di vigilanza ne è consapevole e stiamo assistendo a molte concessioni.

‍

Prevedete ulteriori requisiti normativi in questo settore nei prossimi anni? Se sì, in che misura?

Risposta RP: Se la regolamentazione dei mercati finanziari mi ha insegnato una cosa, è che non c'è fine. Sicuramente ci saranno ulteriori concretizzazioni e miglioramenti nell'ambito del DORA e seguiranno ulteriori regolamentazioni nel settore IT in generale, ne sono certo. Attualmente gli sviluppi procedono molto rapidamente in molti settori e la regolamentazione è spesso in ritardo. Mi auguro che ci siano cambiamenti che rendano la regolamentazione più pratica e i processi più rapidi ed efficienti. La regolamentazione dovrebbe consentire opportunità e creare sicurezza, non rallentare le cose. La BCE sta lentamente lavorando per migliorare questo aspetto. Resta inoltre da vedere quali saranno i progetti della Commissione per un'unione dei mercati dei depositi e dei capitali. Se si concretizzerà, probabilmente assisteremo a qualche cambiamento anche in questo ambito.

‍