ADEGUAMENTO NORMATIVO ALLA DIRETTIVA DORA: NUOVE DISPOSIZIONI PER LA RESILIENZA OPERATIVA DIGITALE NEL SETTORE FINANZIARIO

Il Decreto Legislativo 10 marzo 2025, n. 23, pubblicato in Gazzetta Ufficiale il 11 marzo 2025, ha introdotto disposizioni di adeguamento della normativa nazionale al Regolamento (UE) 2022/2554 (DORA) e alla Direttiva (UE) 2022/2556 (c.d. Direttiva DORA), riguardante la resilienza operativa digitale nel settore finanziario. Il Decreto stabilisce che le Autorità competenti per il rispetto degli obblighi DORA sono Banca d’Italia, Consob, IVASS e COVIP, con specifici poteri di vigilanza e monitoraggio su incidenti informatici. Tra le novità, gli operatori del settore bancario e delle infrastrutture dei mercati finanziari devono notificare anche al CSIRT Italia gli incidenti informatici. Inoltre, il Decreto stabilisce sanzioni amministrative per violazioni riguardanti governance e responsabilità del management, con sanzioni che vanno da 30.000 Euro fino al 10% del fatturato dell’ente, a seconda della gravità dell’infrazione. Le condotte dei soggetti apicali, che incidono sull’organizzazione aziendale o sui profili di rischio, sono punite con sanzioni da 5.000 Euro fino a 5 milioni, con la possibilità di interdizione temporanea dalle funzioni di amministrazione, direzione e controllo.