La rapida trasformazione digitale e l’interconnessione della società hanno ormai occupato una posizione centrale nella vita di tutti i giorni. Questo ha comportato un’espansione del panorama delle minacce informatiche, con nuove sfide che richiedono risposte adeguate, coordinate e innovative in tutti gli Stati Europei. L’impatto degli incidenti sulle infrastrutture digitali, il livello di sofisticatezza e la loro frequenza sono notevolmente aumentati negli ultimi cinque anni. Oggi, perciò, essi rappresentano una grave minaccia per il funzionamento dei sistemi informatici e di rete, in grado di impedire l’esercizio delle attività economiche.
Per tali ragioni, il nuovo quadro legislativo in materia di cybersicurezza si è arricchito di regole per la tutela dei sistemi e dei servizi online, promuovendo misure normative riguardanti la protezione delle infrastrutture ICT e degli attori essenziali. In questa rivoluzione copernicana, dove ognuno di noi è potenzialmente un destinatario diretto o indiretto di un attacco cibernetico, uno degli obiettivi del legislatore è quello della gestione del rischio sistemico.
La tematica della gestione del rischio sistemico affronta come specifiche aziende (ad esempio banche o entità finanziarie) possono comportare, a seguito di un incidente informatico, un livello di perturbazione di un settore (ad esempio finanziario) che potrebbe comportare gravi conseguenze negative per il buon funzionamento del mercato interno e per il funzionamento dell’economia reale.
Nel mondo finanziario, infatti, l’obiettivo ultimo della politica macroprudenziale è contribuire a salvaguardare la stabilità del sistema finanziario nel suo insieme attraverso la riduzione dell’accumulo di rischi sistemici. Perciò, data la capacità degli incidenti informatici, di perturbare le operazioni e i servizi finanziari (specialmente quelli critici), il legislatore ha realizzato un pacchetto di regole volte a costituire una tutela contro la potenziale vulnerabilità sistemica.
Cybersecurity: il regolamento DORA e la direttiva NIS 2
Gli interventi più importanti nel panorama europeo sono costituiti da due importanti provvedimenti: il regolamento DORA e la direttiva NIS 2. Il primo prefigge alle entità finanziarie di conseguire un livello elevato di resilienza operativa digitale fissando obblighi uniformi in relazione alla sicurezza dei sistemi informatici e di rete.
Per resilienza operativa digitale si intende la capacità degli operatori (entità finanziarie e fornitori di servizi ICT) di continuare ad offrire specifici risultati nonostante il verificarsi di incidenti e di violazioni all’infrastruttura ICT. Essa è uno strumento di integrità, solidità e affidabilità degli operatori nonché un veicolo di consapevolezza dei rischi informatici e di sicurezza, ma anche uno strumento di garanzia a tutela dei consumatori.
La direttiva NIS 2, invece, si rivolge ad una platea di attori più ampia rispetto al regolamento DORA e stabilisce misure volte a garantire un livello comune elevato di cybersicurezza nell’Unione Europea in modo da migliorare il funzionamento del mercato interno.
Perciò, nonostante il Regolamento DORA si ponga come lex specialis rispetto alla direttiva NIS 2, entrambe perseguono il medesimo obiettivo, ovvero la volontà di realizzare un efficiente framework di sicurezza informatica volto a garantire la tutela del sistema informativo delle imprese.
Alla ricerca del nesso tra cybersecurity e sostenibilità
Orbene, alla luce dell’evoluzione normativa, qual è il legame tra cybersecurity e sostenibilità?
Il World Economic Forum, nell’articolo Cybersecurity is an environmental, social and governance issue. Here’s why (World Economic Forum) termina con la seguente citazione: “Un quadro standard per misurare il rischio informatico aiuterebbe le organizzazioni e le autorità di regolamentazione a comprenderlo e gestirlo come parte della loro strategia ESG. Aziende come Apple, Amazon, Microsoft e Netflix hanno una maggiore portata nel numero di clienti coinvolti e nelle entrate annuali rispetto a interi paesi come Canada, Brasile e Russia”.
Con il regolamento DORA la Commissione Europea ha stabilito un collegamento esplicito tra la Data Security ed il Rischio Sistemico degli intermediari finanziari. Il considerando n. 3 del regolamento DORA afferma infatti che: “… l’attuale elevato livello di interconnessione tra entità finanziarie, …, potrebbe costituire una potenziale vulnerabilità sistemica dal momento che incidenti informatici localizzati potrebbero rapidamente diffondersi da una qualunque delle circa 22 000 entità finanziarie dell’Unione all’intero sistema finanziario, … e possono provocare conseguenze avverse per la stabilità del sistema finanziario dell’Unione, dando luogo … a una generale perdita di fiducia nei mercati finanziari”.
Data Security e Rischio Sistemico: due temi ESG che si interconnettono
Il DORA formalizza il legame tra la Data Security e il Rischio Sistemico, due temi ESG che interagiscono tra di loro e si estendono oltre il proprio ambito specifico. Il Rischio Sistemico indebolisce i sistemi economici e tecnologici, interessando grandi gruppi bancari, assicurazioni e imprese energetiche. La Data Security riguarda invece la protezione e la gestione del rischio legato ad aziende fornitori di servizi hi-tech (ad esempio i gestori dei sistemi di pagamento).
Dunque, la mancanza di adeguati controlli interni può causare un blocco dell’intero sistema finanziario e comportare la perdita di fiducia da parte del pubblico. Il regolamento DORA stabilisce un livello minimo di procedure e controlli per proteggere il sistema finanziario ed economico nella sua interezza. Pertanto, la Data Security oggi rappresenta una questione di sostenibilità per tutti gli intermediari finanziari potendo influire sulla loro redditività.