DORA. Cos'è il Digital Operational Resilience Act e chi deve adeguarsi?

Il Digital Operational Resilience Act (DORA) è un regolamento destinato a trasformare la gestione del rischio digitale nel settore finanziario dell'Unione Europea (UE). In sostanza, DORA è un insieme di requisiti per le istituzioni finanziarie dell'UE volti a proteggere i loro processi aziendali chiave dai rischi tecnologici e a ridefinire il loro approccio al rischio digitale, alla gestione degli incidenti e alle relazioni con terze parti.

Nello specifico, DORA mira a rafforzare la sicurezza IT di banche, compagnie assicurative, società di investimento e altre organizzazioni del settore finanziario.

Per le aziende finanziarie dell'UE, l'attenzione è rivolta ai Direttori IT e ai dirigenti C-suite (piattaforme cloud) affinché comprendano e si preparino a DORA non solo come requisito normativo, ma come imperativo strategico. Questa urgenza è sottolineata dalle severe conseguenze della non conformità:

1. Sanzioni Finanziarie: ammende fino a 10 milioni di euro, che possono raddoppiare per violazioni gravi o ripetute.
2. Danno alla Fiducia dei Consumatori: la non conformità può portare a una maggiore vulnerabilità agli incidenti informatici, con potenziali violazioni dei dati o interruzioni del servizio. Questi eventi possono danneggiare la reputazione di un'organizzazione, influenzare la fiducia dei consumatori e portare alla perdita di clienti e alla diminuzione della quota di mercato.
3. Responsabilità Penale Personale: Iin casi di grave negligenza o condotta dolosa, i dirigenti senior e i membri del consiglio di amministrazione potrebbero affrontare responsabilità penali personali. Ciò potrebbe includere sanzioni individuali, squalifica professionale e persino la reclusione in casi estremi. Questo rischio personale enfatizza la necessità di un impegno a livello dirigenziale per garantire la conformità a DORA.

La posta in gioco è molto alta e investe soprattutto Direttori IT, dirigenti C-suite e amministratori. È dunque importante che siano edotti sui rischi (e benefici) introdotti dalla normativa, perché affrontino gli obblighi introdotti da DORA non solo come un'imposizione normativa, ma come imperativo strategico per il loro business.

Contesto e Storia

Gli incidenti legati all'ICT all'interno delle istituzioni finanziarie hanno il potenziale di causare significative interruzioni, perdite finanziarie e danni reputazionali.

DORA è una componente chiave della più ampia strategia di finanza digitale che si è prefissata la Commissione Europea. Questa strategia ha i seguenti obiettivi:

• consolidare e aggiornare i requisiti di rischio ICT all'interno del settore finanziario.
• Stabilire un quadro per i fornitori ICT, incluse le piattaforme cloud.
• Creare un meccanismo per la segnalazione degli incidenti, per aumentare la consapevolezza delle minacce informatiche.
• Rafforzare i test di resilienza operativa digitale.

Creando coerenza, questi requisiti in tutta l'UE contribuiranno a migliorare la stabilità e l'integrità complessive degli operatori finanziari.

___

Abbiamo preparato una check-list per aiutarti a comprendere se sei pronto! Scarica la check-list per capire se disponi di quanto è necessario per adeguarti alle nuove normative.

Perché DORA è Importante

DORA rappresenta un cambiamento significativo nella creazione di un approccio uniforme alla gestione del rischio ICT in tutto il settore finanziario dell'UE. Affronta le crescenti preoccupazioni sulle minacce informatiche e le vulnerabilità tecnologiche che potrebbero potenzialmente interrompere l'industria finanziaria.

Gli aspetti chiave di questa iniziativa sono quelli qui elencati.

1. Ambito completo: DORA si applica a una vasta gamma di entità finanziarie, incluse banche, compagnie assicurative, società di investimento e fornitori di servizi finanziari.
2. Armonizzazione: stabilisce requisiti coerenti di gestione del rischio ICT in tutta l'UE, sostituendo l'attuale mosaico di regolamenti nazionali.
3. Supervisione di terze parti: DORA introduce un quadro per supervisionare i fornitori di servizi ICT terzi critici, inclusi i servizi cloud.
4. Segnalazione degli incidenti: impone meccanismi standardizzati di segnalazione per incidenti ICT significativi.
5. Test di resilienza: DORA richiede test regolari di resilienza operativa digitale.

 

Aree Chiave di DORA

 

1. Gestione del rischio ICT

DORA impone un quadro completo di gestione del rischio ICT. Questo include:

• Identificazione e documentazione delle funzioni aziendali, risorse e dipendenze legate all'ICT.
• Valutazione continua del rischio e strategie di mitigazione.
• Implementazione di misure di protezione e prevenzione.
• Sviluppo di capacità di rilevamento.
• Stabilire procedure di risposta e recupero.

2. Segnalazione degli incidenti

Implementazione di processi per monitorare e registrare gli incidenti ICT. Le entità sono tenute a classificare questi incidenti, utilizzando criteri specificati da DORA. Inoltre, devono segnalare gli incidenti maggiori alle autorità competenti entro tempi rigorosi.

3. Risposta e recupero

La normativa pone un'enfasi significativa sulle capacità di risposta e recupero. La qualità di questa capacità passa per delle attività da integrare, laddove non presenti, nelle procedure aziendali. Eccone una breve panoramica.

a) Piani di Risposta agli Incidenti

• Sviluppare, documentare e implementare piani completi per rispondere e recuperare da incidenti legati all'ICT.
• Questi piani dovrebbero dettagliare le procedure per la rapida rilevazione, analisi, contenimento e mitigazione degli incidenti.

b) Continuità Aziendale

• Mantenere politiche di continuità aziendale e piani di ripristino in caso di disastro.
• È obbligatorio testare regolarmente questi piani per garantirne l'efficacia.

c) Procedure di Backup

• DORA impone backup regolari dei sistemi e dei dati critici.
• I requisiti specifici includono frequenza di backup definita, archiviazione sicura fuori sede e test regolari dei processi di ripristino dei backup.

d) Obiettivi di Tempo di Recupero (RTO)

• Stabilire e testare regolarmente la capacità di ripristinare i sistemi entro tempi definiti.
• Minimizzare le interruzioni operative e garantire un rapido recupero dagli incidenti.

e) Protocolli di Comunicazione

• Devono essere stabilite procedure chiare per la comunicazione interna ed esterna durante gli incidenti.
• Garantire una risposta tempestiva ed efficace, inclusa la notifica alle autorità e agli stakeholder pertinenti.

f) Analisi Post-Incidente

• Dopo incidenti significativi, le organizzazioni devono condurre analisi approfondite delle cause radice.
• Le lezioni apprese dovrebbero essere incorporate per migliorare i quadri di gestione del rischio.

4. Test di resilienza operativa digitale

Oltre a quanto abbiamo sinora visto, DORA introduce un quadro armonizzato anche per testare la resilienza operativa digitale. Obbliga percià ad eseguire dei test:

• test di base come valutazioni di vulnerabilità e scansioni di sicurezza di rete per tutte le entità.
• Test avanzati, inclusi test di penetrazione guidati dalle minacce (TLPT) per entità significative.

5. Gestione del Rischio ICT di Terze Parti

Con la crescente dipendenza da fornitori di servizi terzi, DORA crea:

• i principi da includere negli accordi con i fornitori di servizi ICT terzi.
• Un nuovo quadro di supervisione per i fornitori di servizi ICT terzi critici.

6. Condivisione delle Informazioni

Lo scambio di informazioni e intelligence sulle minacce informatiche tra le entità finanziarie per migliorare la resilienza collettiva.

To manage third-party risk effectively, financial institutions mus make significant efforts on two fronts: ensuring comprehensive oversight of all ICT service providers and their associated risk and proactively managing the dgital risk associated with critical ICT third-party service providers (Per gestire efficacemente il rischio associato a terze parti, le istituzioni finanziarie devono compiere sforzi significativi su due fronti: garantire una supervisione completa di tutti i fornitori di servizi ICT e dei rischi ad essi associati, e gestire proattivamente il rischio digitale legato ai fornitori di servizi ICT terzi critici.)

(Fonte: McKinsey & Company)

Ambito e Applicazione

DORA si applica a una vasta gamma di soggetti del mondo finanziario operanti nell'UE, tra cui:

• Istituti di credito
• Istituti di pagamento
• Istituti di moneta elettronica
• Imprese di investimento
• Sedi di negoziazione
• Imprese di assicurazione e riassicurazione
• Agenzie di rating del credito
• Revisori legali e imprese di revisione contabile
• Amministratori di indici di riferimento critici
• Prestatori di servizi di informazione sui conti
• Fornitori di servizi per le cripto-attività
• Depositari centrali di titoli
• Fornitori di servizi di comunicazione dati
• Fornitori di servizi terzi

Azioni per la Conformità

Per soddisfare i requisiti di DORA, CIO, CTO, Direttori IT e altri responsabili IT chiave dovrebbero concentrarsi sulle seguenti azioni.

1. Valutare i quadri attuali: valutare i processi esistenti di gestione del rischio ICT rispetto ai requisiti per identificare le lacune.
2. Migliorare la gestione del rischio ICT: implementare processi per identificare, proteggere, rilevare, rispondere e recuperare da interruzioni legate all'ICT.
3. Sviluppare meccanismi di segnalazione degli incidenti: stabilire sistemi e procedure per rilevare e segnalare incidenti ICT maggiori entro i tempi richiesti.
4. Condurre test di resilienza: Implementare un programma di test di resilienza regolari, incluse valutazioni di vulnerabilità e test di penetrazione.
5. Rivedere i contratti con terze parti: valutare e aggiornare gli accordi con i fornitori di servizi ICT per garantire che soddisfino i requisiti.
6. Prepararsi per gli audit: essere pronti per potenziali audit normativi mantenendo una documentazione completa delle pratiche di gestione del rischio ICT.
7. Implementare misure di continuità aziendale e protezione dei dati: sviluppare e testare regolarmente piani di continuità aziendale e di ripristino in caso di disastro, stabilire procedure di backup sicure, migliorare la protezione dei dati, creare protocolli di comunicazione di crisi e condurre formazione del personale secondo i requisiti degli Articoli 10 e 11.

Scadenze e Conformità

DORA è entrato in vigore il 16 gennaio 2023. Tuttavia, le entità finanziarie hanno tempo fino al 17 gennaio 2025 per garantire la piena conformità. Questa finestra di due anni è cruciale per le organizzazioni per valutare i loro sistemi attuali, implementare i cambiamenti necessari e prepararsi per il nuovo ambiente normativo.

L'Importanza di Agire Ora

Anche se il 2025 sembra lontano, la portata e la profondità dei cambiamenti richiesti da DORA necessitano di un'azione tempestiva. Iniziare a prepararsi sin da subito consentirà di:

• distribuire il costo della conformità su un periodo più lungo.
• Ottenere un vantaggio competitivo dimostrando una forte resilienza digitale.
• Evitare corse dell'ultimo minuto e potenziali sanzioni per non conformità.
• Contribuire alla stabilità e affidabilità complessive del sistema finanziario dell'UE.

Per ulteriori informazioni:

•    DORA in Atlassian Cloud: An Expert Approach to Compliance
•    Your guide to meeting business continuity and resilience requirements in EU regulation