Il Digital Operational Resilience Act (DORA) è un regolamento che mira a rafforzare la resilienza digitale all'interno dell'Unione Europea, stabilendo un quadro uniforme per la gestione dei rischi legati all'IT. Sebbene inizialmente incentrata sul settore finanziario, la DORA ha implicazioni anche per altri settori critici come l'energia e le telecomunicazioni, imponendo standard rigorosi per la cybersecurity.
Che cos'è il DORA (Digital Operational Resilience Act)?
Origine e obiettivi della normativa
Nel contesto del DORA, "DOR" è l'acronimo di "resilienza operativa digitale", che si riferisce alla capacità di un'organizzazione di mantenere e ripristinare le proprie operazioni digitali essenziali a fronte di interruzioni, attacchi informatici o guasti tecnologici, garantendo così la continuità e la sicurezza dei propri servizi.
Il suo obiettivo è garantire che tutti gli attori del sistema finanziario dispongano dell'assicurazione necessaria per ridurre gli attacchi informatici e altri rischi legati alle tecnologie dell'informazione e della comunicazione (TIC), mantenere le funzioni critiche in caso di gravi interruzioni e promuovere la fiducia nella loro capacità di far fronte agli shock operativi.
Ambito di applicazione e soggetti interessati
Sebbene il DORA sia stato originariamente concepito per il settore finanziario, il suo campo di applicazione è vasto. Copre un'ampia gamma di entità finanziarie, tra cui :
- Istituti di credito
- Imprese di investimento
- Fornitori di servizi di pagamento
- Società di assicurazione e riassicurazione
- Gestori di fondi di investimento alternativi
- Fornitori di servizi di cripto-asset
Inoltre, il DORA si applica anche ai fornitori terzi critici di servizi ICT per queste entità finanziarie, riconoscendo l'importanza della catena di fornitura per la resilienza operativa complessiva.
Programma di attuazione
Il calendario di attuazione del DORA è progressivo, per consentire alle entità interessate di adattarsi ai nuovi requisiti:
- Dicembre 2022: Adozione finale della DORA da parte del Parlamento europeo
- Gennaio 2023: entrata in vigore della DORA
- Gennaio 2025: data prevista per l'applicazione effettiva del DORA
Il periodo di due anni tra l'entrata in vigore e l'effettiva applicazione ha lo scopo di dare alle aziende il tempo necessario per conformarsi ai nuovi requisiti.
I principali pilastri di DORA
Il DORA si basa su quattro pilastri fondamentali, progettati per rafforzare la resilienza operativa digitale delle entità interessate:
Gestione del rischio ICT
Il DORA richiede che le entità mettano in atto un solido quadro di gestione del rischio ICT. Questo include:
- Identificare e classificare le risorse informative
- Protezione e prevenzione da potenziali minacce
- Rilevamento di anomalie e incidenti di sicurezza, che richiede la presenza di un SOC.
- Impostazione dei processi di risposta e recupero
Le aziende dovranno dimostrare di aver compreso a fondo i propri rischi digitali e di aver messo in atto strategie efficaci per gestirli.
Test di resilienza operativa digitale
Il DORA introduce l'obbligo di effettuare regolarmente test di resilienza operativa digitale. Questi test possono includere
- Analisi della vulnerabilità
- Test di penetrazione
- Esercizi di simulazione di crisi
- Test di disaster recovery
L'obiettivo è verificare la capacità delle entità di mantenere le loro operazioni critiche a fronte di gravi interruzioni.
Gestione e segnalazione degli incidenti
Un altro aspetto del DORA è il miglioramento dei processi di gestione e segnalazione degli incidenti. Le entità dovranno :
- Implementare procedure per la rilevazione e la gestione degli incidenti legati alle TIC.
- Classificare gli incidenti in base alla loro gravità
- Segnalare gli incidenti più gravi alle autorità competenti entro scadenze rigorose.
- Condividere le informazioni sulle minacce e le vulnerabilità con gli altri operatori del settore.
Questo approccio mira a migliorare la reattività agli incidenti e a incoraggiare la condivisione delle informazioni all'interno del settore.
Le autorità responsabili di ricevere le notifiche di incidenti gravi sono le Autorità di vigilanza europee (ESA):
- L'Autorità bancaria europea (EBA)
- L'Autorità europea degli strumenti finanziari e dei mercati (ESMA)
- L'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA)
Gestione dei rischi associati a terze parti e a fornitori di servizi ICT
Riconoscendo la crescente dipendenza dai fornitori di servizi cloud e da altri fornitori ICT, il DORA impone anche requisiti rigorosi per la gestione dei rischi di terzi. Questi includono:
- Valutazione rigorosa del rischio prima di impegnarsi con un fornitore
- La definizione di contratti dettagliati che coprono gli aspetti di sicurezza e resilienza
- Monitoraggio continuo delle prestazioni e della conformità dei fornitori
- Pianificazione di strategie di uscita in caso di fallimento di un fornitore critico.
Implicazioni del DORA per le imprese
Nuovi requisiti di governance e gestione del rischio
Il DORA impone nuovi requisiti significativi in termini di governance e gestione del rischio:
- Maggiore responsabilità del Consiglio di amministrazione e della direzione nella supervisione dei rischi ICT
- La necessità di politiche e procedure documentate per la gestione del rischio digitale
- Obbligo di effettuare valutazioni periodiche dei rischi e di aggiornare le strategie di gestione dei rischi.
Le aziende dovranno integrare la resilienza operativa digitale nella loro strategia generale e nella cultura aziendale.
La necessità di rafforzare le capacità di sicurezza informatica
Per conformarsi al DORA, molte aziende dovranno rafforzare in modo significativo le proprie capacità di sicurezza informatica:
- Investimenti in tecnologie all'avanguardia per il rilevamento e la prevenzione delle minacce
- Formazione continua del personale sui temi della sicurezza informatica
- Creare team dedicati alla gestione degli incidenti e alla risposta alle crisi. Questo può essere fatto attraverso un SOC o un CERT in outsourcing.
- Sviluppo di competenze interne nell'analisi del rischio digitale
Impatto sulle relazioni con i fornitori di servizi cloud
Il DORA avrà un impatto significativo sul modo in cui le aziende gestiscono i loro rapporti con i fornitori di servizi cloud e altri fornitori ICT:
- La necessità di effettuare valutazioni più approfondite dei fornitori prima di assumere un impegno
- Necessità di contratti più dettagliati che coprano gli aspetti di sicurezza, resilienza e conformità
- Obbligo di istituire processi di monitoraggio continuo dei fornitori
- Necessità di sviluppare solide strategie di uscita per i servizi critici
Le aziende dovranno adottare un approccio più proattivo e rigoroso alla gestione dei loro fornitori di servizi ICT, assicurandosi che soddisfino gli elevati standard imposti dal DORA.
Il DORA rappresenta quindi un cambiamento significativo nel modo in cui le imprese europee, in particolare nel settore finanziario, affrontano la resilienza operativa digitale. DORA offre anche l'opportunità di rafforzare la cybersecurity, migliorare la fiducia dei clienti e contribuire alla creazione di un ecosistema digitale più resiliente in Europa.
Grazie alla sua solida esperienza nei progetti di conformità e ai suoi consulenti certificati, Cloud Temple può aiutarvi a raggiungere la conformità DORA. Contatta i nostri team