La legge sulla resilienza operativa digitale è un regolamento
che mira a rafforzare la resilienza
le operazioni digitali del settore finanziario all'interno
dell'Unione europea, che istituisce un quadro
approccio uniforme alla gestione del rischio
Tecnologie dell'informazione e della comunicazione
(TIC).
Sarà direttamente applicabile in tutti gli Stati membri
membri dell'UE a partire dal 17 gennaio 2025, senza
richiedono un recepimento nazionale.
Di fronte ai crescenti pericoli posti dalla digitalizzazione della
settore finanziario, la Commissione europea ha lanciato
l'iniziativa DORA nel settembre 2020. Questo fa parte di un
strategia globale per rafforzare la finanza digitale
in Europa, rispondendo alla crescente vulnerabilità di
sistemi digitali.
La DORA è una "lex specialis" che specifica, completa e
premio superiore a NIS 2 per il settore finanziario per la gestione di
rischi informatici. Deve
entrerà in vigore nel gennaio 2025.
| I PILLARI | CHE IMPATTO AVRÀ SUI GIOCATORI COINVOLTI? |
|---|---|
| Gestione del rischio TIC | Il DORA richiede alle entità di stabilire un solido quadro di gestione del rischio ICT, che comprende l'identificazione delle risorse, la protezione dalle minacce, la gestione del rischio e l'identificazione dei rischi. processi di rilevamento e risposta agli incidenti. Le aziende devono dimostrare la loro padronanza dei rischi digitali e avere strategie in atto per gestione. |
| Test di resilienza digitale operativo | Il DORA rende obbligatori i test di resilienza periodici comprese le analisi di vulnerabilità, l'analisi dell'impatto della test di penetrazione, simulazioni di crisi e test di recupero. Questi Le valutazioni hanno lo scopo di confermare la capacità delle entità di continuare a svolgere le loro attività critiche durante le grandi interruzioni. |
| Gestione degli incidenti e di reporting | La DORA chiede di migliorare la gestione degli incidenti con procedure per rilevamento e classificazione in base alla gravità. Le entità devono segnalare rapidamente alle autorità gli incidenti più gravi e condividere le informazioni con le autorità. informazioni sulle minacce con gli altri giocatori, favorendo così un più efficace una migliore reattività del settore. |
| Gestione del rischio terzi e fornitori Servizi ICT | A fronte della dipendenza dai fornitori di ICT e dai servizi cloud, DORA sta creando una gestione rigorosa dei rischi di terzi. Ciò include la valutazione preventiva contratti di sicurezza dettagliati e monitoraggio continuo performance e strategie di uscita per i fornitori critici. |
"Ispirato ai principi di gestione della norma ISO 27001 e a complemento della direttiva NIS 2, il regolamento DORA si concentra sulla resilienza operativa dell'intero settore finanziario di fronte alle perturbazioni digitali, in particolare in caso di crisi informatica. Sottolinea l'importanza che le organizzazioni sviluppino una capacità proattiva di anticipazione, risposta e adattamento, al fine di garantire la continuità operativa."
Il DORA si applica a 21 tipi di entità
istituzioni finanziarie come
istituti di credito, imprese di investimento e assicurazioni,
gestori di fondi e investimenti
cripto-asset.
I regolamenti si estendono anche a
fornitori terzi critici di servizi ICT per
queste entità, come i fornitori di servizi
piattaforme di cloud e cybersecurity
analisi dei dati o anche
fornitori di infrastrutture e reti
recensioni.