Che cos’è il regolamento DORA?
Il regolamento DORA (Digital Operational Resilience Act) è una normativa dell’Unione Europea che mira a rafforzare la resilienza operativa digitale nelle aziende e nelle organizzazioni del settore finanziario, proteggendo le infrastrutture critiche da minacce informatiche.
DORA prevede che tutte le entità finanziarie e i loro fornitori di servizi ICT (l’insieme dei metodi e delle tecniche utilizzate nella trasmissione, ricezione ed elaborazione di dati e informazioni, come fornitori di cloud service e data center) adottino misure per prevenire e gestire rischi legati alla sicurezza informatica, promuovendo un ambiente stabile e sicuro per il settore finanziario europeo.
Il regolamento DORA è stato presentato per la prima volta dalla Commissione Europea nel settembre 2020, nell’ambito di un ampio pacchetto per la finanza digitale. Successivamente, il regolamento è stato approvato formalmente dal Consiglio dell’Unione Europea e dal Parlamento Europeo nel novembre 2022. Le entità finanziarie e i fornitori di servizi ICT esterni hanno tempo fino al 17 gennaio 2025 per conformarsi pienamente ai requisiti previsti da DORA prima della sua attuazione ufficiale.
Quali sono i requisiti e gli obiettivi del regolamento DORA?
Il regolamento punta a garantire che le istituzioni finanziarie siano dotate di solide strategie di sicurezza informatica, in grado di resistere agli attacchi informatici e di recuperare rapidamente in caso di incidente.
I requisiti del regolamento DORA saranno applicati in modo proporzionale: le entità minori non saranno quindi obbligate a rispettare gli stessi standard delle grandi istituzioni finanziarie. Sebbene gli standard tecnici specifici siano ancora in fase di definizione, la normativa DORA attuale fornisce già alcune indicazioni sui requisiti generali, offrendo un quadro di riferimento per l’adeguamento delle diverse entità.
Gestione del rischio ICT
Il regolamento DORA assegna all’organo amministrativo di ciascuna entità la responsabilità diretta della gestione ICT. Membri del CdA, dirigenti e altri senior manager devono elaborare strategie efficaci di gestione del rischio ICT, contribuire alla loro attuazione e restare costantemente aggiornati sui rischi emergenti in ambito digitale. In caso di mancato rispetto delle normative, possono essere ritenuti personalmente responsabili per le violazioni commesse dall’entità.
Le aziende soggette al regolamento DORA dovranno sviluppare framework completi per la gestione del rischio ICT, realizzando una mappatura accurata dei loro sistemi ICT, identificando e classificando le funzioni e gli asset critici e documentando le dipendenze tra risorse, sistemi, processi e fornitori. Dovranno inoltre effettuare valutazioni continue dei rischi sui loro sistemi ICT, identificare e classificare le minacce informatiche e documentare le misure di mitigazione adottate per affrontare i rischi rilevati.
Nell’ambito del processo di valutazione del rischio ICT, le entità dovranno eseguire analisi dell’impatto aziendale per comprendere come specifici scenari di rischio e gravi interruzioni potrebbero influenzare l’operatività. I risultati di queste analisi serviranno per definire livelli di tolleranza al rischio e aggiornare l’infrastruttura ICT in modo coerente.
Inoltre, le aziende dovranno implementare adeguate misure di cybersecurity, tra cui politiche per la gestione delle identità e degli accessi, gestione delle patch e controlli tecnici avanzati.
Le aziende dovranno anche predisporre piani di continuità operativa e disaster recovery per fronteggiare vari scenari di rischio informatico, inclusi malfunzionamenti dei servizi ICT, disastri naturali e attacchi cyber, prevedendo misure di backup e ripristino dei dati, processi per il recupero dei sistemi e strategie di comunicazione con clienti, partner e autorità competenti.
Test di resilienza operativa
Le aziende dovranno testare regolarmente i propri sistemi ICT per verificarne la resilienza e individuare eventuali vulnerabilità. I risultati di questi test, insieme ai piani per correggere le debolezze riscontrate, dovranno essere comunicati alle autorità competenti per la loro convalida.
Almeno una volta all’anno, le aziende saranno tenute a eseguire test di base, come valutazioni delle vulnerabilità e simulazioni basate su scenari di rischio.
Le entità finanziarie considerate critiche per il sistema dovranno inoltre sottoporsi, ogni tre anni, a test di penetrazione basati su minacce (TLPT), coinvolgendo anche i loro fornitori ICT critici.
Gestione dei terzi
Le società finanziarie dovranno assumere un ruolo proattivo nella gestione del rischio legato ai fornitori ICT di terze parti. Quando esternalizzano funzioni critiche o importanti, saranno obbligate a stipulare accordi specifici che includano strategie di uscita, audit e obiettivi prestazionali relativi a accessibilità, integrità e sicurezza.
Gli istituti finanziari saranno anche tenuti a mappare le dipendenze ICT verso fornitori terzi, garantendo che le funzioni critiche e importanti non siano eccessivamente concentrate presso un unico fornitore o un ristretto gruppo di fornitori, ridicendo così il rischio di interruzioni operative e migliorando la resilienza complessiva dell’infrastruttura ICT.
Segnalazione degli incidenti
Le aziende dovranno implementare sistemi per monitorare, gestire, registrare, classificare e segnalare gli incidenti relativi all’ICT. A seconda della gravità dell’evento, potrebbe essere richiesto loro di segnalare l’incidente sia alle autorità di regolamentazione che ai clienti e partner coinvolti. In caso di incidenti critici, le entità devono produrre tre diversi rapporti:
- un rapporto iniziale per notificare l’incidente alle autorità;
- un rapporto intermedio sui progressi nella risoluzione;
- un rapporto finale che analizzi le cause principali dell’incidente.
Condivisione delle informazioni
Le aziende dovranno istituire processi di apprendimento dagli incidenti ICT, sia interni che esterni, per migliorare la loro resilienza. Il regolamento DORA incoraggia inoltre la partecipazione ad accordi volontari di condivisione della threat intelligence, promuovendo lo scambio di informazioni utili per prevenire e affrontare minacce informatiche comuni. Tuttavia, tutte le informazioni condivise devono essere protette secondo le normative vigenti, come il Regolamento generale sulla protezione dei dati (GDPR), garantendo che dati sensibili, come quelli personali, siano trattati in conformità con le linee guida sulla privacy.
Come la consulenza di Ciquadro Management può aiutarti a conformarti al Regolamento DORA
Valutazione del rischio ICT
Ciquadro Management offre un servizio di valutazione approfondita del rischio ICT, aiutando la tua azienda a mappare i propri sistemi, identificare asset critici e classificarne le dipendenze. Attraverso questa analisi, è possibile implementare le misure di sicurezza necessarie per mitigare le minacce informatiche e garantire una gestione efficace del rischio.
[H3] Test di resilienza operativa e cybersecurity
Con la nostra consulenza la tua azienda avrà supporto nell’esecuzione di test regolari sui propri sistemi ICT, inclusi test di vulnerabilità e penetrazione (TLPT), per individuare eventuali falle nella sicurezza e nell’implementazione di soluzioni come SIEM (software per le informazioni sulla sicurezza e gestione degli eventi) e SOAR (strumenti per l’orchestrazione della sicurezza, automazione e risposta), migliorando la capacità di risposta e la protezione dell’infrastruttura aziendale.
Gestione del rischio dei fornitori ICT
Ciquadro Management aiuta la tua azienda a monitorare e gestire i fornitori ICT critici, assicurandosi che i contratti includano le clausole necessarie per la conformità al regolamento DORA. Inoltre, supportiamo le entità nella mappatura delle dipendenze dai fornitori, riducendo il rischio di eccessiva concentrazione presso un unico fornitore.
Piani di continuità e disaster recovery
Ciquadro Management progetta e implementa piani di continuità operativa e di disaster recovery per far fronte a interruzioni dei servizi ICT, disastri naturali o attacchi informatici. Questi piani includono soluzioni di backup, ripristino dei dati e strategie di comunicazione per garantire una risposta rapida ed efficiente a ogni incidente.
Conformità e segnalazione degli incidenti
Il team di Ciquadro supporta la tua azienda nel creare processi di monitoraggio e segnalazione degli incidenti ICT, assicurando che tutte le notifiche siano inviate tempestivamente alle autorità competenti, in conformità con i requisiti di DORA.
Apprendimento e condivisione della threat intelligence
Aiutiamo le entità a sviluppare processi di apprendimento basati sugli incidenti interni ed esterni. Inoltre, promuoviamo la partecipazione a network di condivisione della threat intelligence, garantendo al contempo il rispetto delle normative sulla protezione dei dati.
I vantaggi della consulenza DORA con Ciquadro Management
Affidarsi a Ciquadro Management per la consulenza sul regolamento DORA significa ottenere una guida verso la conformità con sicurezza e competenza. Con la nostra consulenza, avrai la certezza di proteggere la tua azienda dalle minacce digitali, migliorando al contempo l’efficienza operativa.
Semplifichiamo i processi, aiutandoti a mantenere il controllo sui rischi e a superare le sfide con soluzioni che garantiscono i più alti standard di sicurezza informatica. Grazie a un approccio proattivo e strategico, Ciquadro Management ti assicura un futuro digitale più sicuro e competitivo.
Contattaci per una consulenza personalizzata sul regolamento DORA
Se vuoi scoprire come Ciquadro Management può supportarti nella conformità al regolamento DORA e proteggere la tua azienda dai rischi informatici, contattaci senza esitazione. I nostri esperti sono a tua disposizione per creare una soluzione personalizzata in base alle tue esigenze.