Dora: la risposta normativa al contesto tecnologico

La nuova resilienza del settore finanziario

 

 

La Commissione Europea, conscia delle nuove sfide, ha proposto il “Digital Operational Resilience Act” (DORA), un nuovo quadro legislativo dedicato al settore finanziario verso una maggiore resilienza operativa digitale.

Dora entrerà a regime a partire dal gennaio 2025 ed è attualmente uno dei principali pilastri della nuova strategia Europea di innovazione del panorama finanziario per accompagnare verso la digitalizzazione gli enti finanziari.

Richiedi informazioni

La trasformazione digitale ha apportato significativi cambiamenti e vantaggi in termini di efficienza e innovazione nell’erogazione dei servizi nel mercato.

Gli enti finanziari hanno trovato beneficio nelle tecnologie dell’informazione e della comunicazione (ICT), ma al contempo, sono esposte a nuovi peculiari rischi di carattere informatico.

La Commissione Europea, conscia delle nuove sfide, ha approvato a gennaio 2023 il regolamento “Digital Operational Resilience Act” (DORA), un nuovo quadro legislativo dedicato al settore finanziario avente come obiettivo primario quello di migliorarne la resilienza operativa digitale.

Il regolamento DORA entrerà a regime a partire dal gennaio 2025 ed è attualmente uno dei principali pilastri della nuova strategia Europea di innovazione del panorama finanziario per accompagnare verso la digitalizzazione gli enti finanziari. Un cambio di paradigma importante rispetto ai precedenti modelli, idealizzato per rafforzare i requisiti e gli standard di sicurezza ICT.

Gli obiettivi per gli istituti finanziari

I requisiti chiave sono suddivisi principalmente nelle seguenti 5 aree:

  1. ICT Risk Management
    • Identificare il panorama dei rischi ICT predisponendo un quadro completo per la loro gestione.
    • Implementare un sistema di gestione della sicurezza delle informazioni ben strutturato e riconosciuto a livello internazionale.
  2. Classificazione e segnalazione degli incidenti ICT
    • Migliorare i processi di gestione e classificazione degli incidenti ICT, sviluppando maggiormente capacità di monitoraggio, gestione e follow-up degli stessi
    • Segnalare gli incidenti più gravi all'autorità competente in linea con quanto definito nella proposta del regolamento.
  3. Gestione del rischio ICT di terze parti
    • Considerare il rischio ICT delle terze parti come una componente integrante del quadro di gestione del rischio ICT complessivo dell’organizzazione
    • Adottare, rivedere e monitorare regolarmente la strategia sul rischio ICT di terze parti
    • Mantenere un registro delle informazioni che illustri tutti gli accordi contrattuali con i fornitori di servizi ICT di terze parti, includendo tutte le specifiche disposizioni contrattuali
  4. Test di resilienza operativa digitale
    • Implementare un programma di test di resilienza operativa digitale e basato sul rischio, prevedendo su tutti i sistemi ritenuti critici dall’organizzazione l'esecuzione annuale di test appropriati come valutazioni e scansioni delle vulnerabilità, analisi open-source, valutazioni della sicurezza della rete
    • Alcune entità finanziarie sono tenute ad eseguire advanced threat led penetration testing (TLPT) ogni tre anni
  5. Condivisione di informazioni tra entità finanziarie
    • Condividere reciprocamente informazioni e intelligence sulle minacce informatiche, per migliorare la resilienza operativa digitale delle entità finanziarie

Framework di assessment DORA

Exprivia, quale fornitore di servizi ICT, grazie alle competenze in ambito CyberSecurity, ha già avviato specifiche attività di consulenza per supportare gli enti finanziari verso un percorso di compliance al regolamento DORA ed è in grado di ricoprire tutte le aree di quest’ultimo con iniziative specifiche.

Dora: la risposta normativa al contesto tecnologico 

 

Figura 1: Il Program Management di Exprivia è strutturato per coordinare e seguire le aree delineate dalla normativa DORA, che entrerà in vigore da Gennaio 2025.

Il team di CyberSecurity di Exprivia, coordinerà tutte le iniziative DORA supportando gli enti finanziari attraverso tre principali fasi:

Un servizio di CyberSecurity Assessment, che permetterà, grazie a un apposito tool, di effettuare una rapida analisi di conformità al regolamento DORA per individuare eventuali gap da colmare rispetto alle aree del regolamento.

Un servizio di Gap Analysis, che basandosi sull’Assessment effettuato nella prima fase permetterà di identificare in maniera approfondita le vulnerabilità e i rischi presenti all’interno dell’organizzazione. In questa fase verrà effettuato uno studio accurato e verrà fornito all’organizzazione un report completo contenente raccomandazioni e best practice utili a colmare i gap individuati.

Un servizio di Remediation, che supporterà gli enti finanziari nel colmare gli eventuali gap individuati nelle fasi precedenti, con apposite tecnologie e servizi di CyberSecurity.