Digital Operational Resilience Act (DORA)

In un’epoca caratterizzata da rapidi progressi tecnologici, garantire la resilienza e la sicurezza dei nostri sistemi finanziari è diventato più che mai fondamentale. Il Digital Operational Resilience Act (DORA), il nuovo quadro normativo recentemente introdotto dall’Unione Europea, si pone proprio in questa direzione, con l’obiettivo di rafforzare la cybersecurity e la resilienza operativa nel settore finanziario.

Un’opportunità di progresso

Il DORA si presenta come un potente strumento per armonizzare e rafforzare la resilienza operativa dei soggetti che operano nei mercati finanziari e delle autorità di vigilanza in tutta l’Unione Europea. Nato con l’obiettivo di perseguire continuità, cybersicurezza e stabilità, il nuovo quadro legislativo trascende i confini e promuove la collaborazione ai fini della salvaguardia delle funzioni critiche. Si applica a una vasta gamma di soggetti, tra cui istituti di credito, istituti di pagamento, istituti di moneta elettronica, controparti centrali e fornitori di data service.

Per garantire la conformità al DORA, gli operatori dei mercati finanziari devono conoscere e far propri i pilastri fondamentali della normativa, che si possono sintetizzare in cinque principi chiave:

• Test di resilienza e scenari: secondo le linee guida del DORA, le organizzazioni sono chiamate a svolgere test di resilienza periodici per valutare la propria continuità operativa di fronte a minacce informatiche e legate all’IT. Creando ed eseguendo scenari realistici di stress-testing, vengono svelati vulnerabilità e punti deboli, aprendo la strada all’adozione di misure robuste e proattive.
• Struttura di gestione del rischio ICT: il DORA pone un’enfasi giustificata sulla creazione di un quadro efficace di gestione del rischio dell’Information and Communication Technology (ICT). Grazie alla creazione di strutture di governance, policy e procedure complete, le organizzazioni possono identificare, valutare e mitigare in modo efficace i rischi legati all’ICT, promuovendo così la resilienza.
• Segnalazione e comunicazione degli incidenti: la comunicazione tempestiva e trasparente è al centro della filosofia del DORA. Le organizzazioni sono tenute a segnalare tempestivamente gli incidenti significativi alle autorità di vigilanza competenti. Promuovendo un dialogo aperto, il settore finanziario può rispondere, coordinarsi e adattarsi in modo efficiente alle sfide poste da potenziali interruzioni.
• Gestione del rischio di terzi: il DORA riconosce il ruolo vitale svolto dai fornitori di servizi terzi, che richiede un solido approccio alla gestione del rischio. Impegnandosi con prudenza, le organizzazioni dovrebbero condurre la due diligence quando selezionano e collaborano con terze parti, con particolare attenzione ai fornitori di servizi cloud. Applicando i controlli necessari, i rischi associati a tali partnership possono essere efficacemente mitigati.
• Capacità di sicurezza informatica: riconoscendo l’evoluzione del panorama delle minacce, il DORA impone alle organizzazioni di rafforzare le proprie capacità di cybersecurity. Adottando un atteggiamento proattivo e adottando misure solide come meccanismi di autenticazione forti, protocolli di crittografia e sistemi di monitoraggio attenti, è possibile salvaguardare sistemi critici e dati di grande valore dagli attacchi dei criminali informatici.

Adeguarsi al nuovo quadro normativo

Per gli operatori dei mercati finanziari adeguarsi al DORA significa adottare misure concrete e tangibili.

• La prima è la valutazione del rischio, necessaria a portare alla luce potenziali vulnerabilità e aree di non conformità: valutare le misure di cybersecurity esistenti, i piani di risposta agli incidenti e le capacità di resilienza operativa rispetto ai requisiti del DORA è il primo passo per dirsi compliant con la normativa.
• Occorre poi sviluppare e documentare policy e procedure complete che incarnino lo spirito del DORA. Questi strumenti dovrebbero riguardare aree quali la segnalazione degli incidenti, la gestione del rischio di terze parti, la gestione del rischio ICT e i test di resilienza.
• È importante anche rafforzare i test di resilienza, stabilendo un programma di test rigoroso, con scenari realistici che valutino la resilienza operativa delle funzioni critiche. Rivedere e adattare in modo regolare il programma di test, per adeguarsi alle minacce emergenti e alle best practice del settore, garantisce che l’organizzazione rimanga ben preparata in caso di attacco.
• Infine, occorre rafforzare le misure di sicurezza informatica, implementando attivamente misure avanzate di cybersecurity, come l’autenticazione a più fattori, i sistemi di rilevamento delle intrusioni e i protocolli di crittografia.
• Inoltre, è bene garantire aggiornamenti e patch regolari a software e sistemi, in modo da mitigare efficacemente le vulnerabilità note e migliorare la postura di sicurezza complessiva.

Tutto ciò permette di predisporre piani di risposta agli incidenti efficaci e completi, che indichino chiaramente i passi da compiere in caso di incidenti di sicurezza o interruzioni di attività. Promuovendo una comunicazione continua, procedure di escalation precise e definendo ruoli e responsabilità, le organizzazioni possono ridurre i rischi e consentire una risposta rapida ed efficace.

Il Digital Operational Resilience Act rappresenta in questo senso un’opportunità senza precedenti per rafforzare la sicurezza e la stabilità dei nostri sistemi finanziari.

Conformandosi in modo proattivo alle sue disposizioni, gli operatori dei mercati finanziari possono aprire la strada a un futuro di resilienza: test di resilienza, solidi quadri di gestione del rischio, piani di risposta agli incidenti efficaci e canali di comunicazione aperti permettono alle organizzazioni di essere più preparate, in modo da rafforzare i sistemi finanziari e salvaguardare il benessere del nostro mondo interconnesso.

Fonte foto Pixabay_geralt

di Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI - vectra.ai

Contenuti correlati

• 
  I quattro trend nel futuro della supply chain secondo Remira Italia

  Investire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere le supply chain più resilienti, garantire l’integrità e la coerenza dei dati: queste le quattro tendenze identificate da Remira Italia, azienda specializzata nell’offerta...
• 
  Mancano 5 milioni di esperti di cybersecurity – e adesso?

  ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...
• 
  Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia

  La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...
• 
  Nell’ultimo numero di KEYnote, la rivista di Wibu-Systems: proteggere i modelli di AI e ML

  L’ultimo numero della rivista KEYnote, la pubblicazione semestrale presentata dagli specialisti di protezione e licensing di Wibu-Systems, è appena stata rilasciata ed è disponibile in vari formati digitali di facile lettura. L’edizione Autunno/Inverno copre una vasta gamma...
• 
  Omron Europe ottiene la certificazione IEC 62443-4-1

  Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...
• 
  Advantech lancia il servizio di certificazione IEC 62443

  Advantech lancia il servizio di certificazione IEC 62443, pensato per le esigenze di certificazione delle apparecchiature di edge computing in conformità alla norma IEC 62443 e agli standard correlati. Advantech offre una soluzione completa per aumentare la...
• 
  Il passaporto digitale dei prodotti

  Il DPP è uno strumento informatico che accompagnerà ogni tipo di prodotto per facilitarne la tracciabilità e favorirne il corretto utilizzo, manutenzione, riciclo o smaltimento. Diverrà gradualmente obbligatorio per qualunque tipo di prodotto commercializzato nell’Unione Europea Il...
• 
  PMI sotto attacco: la direttiva NIS2 apre una nuova fase per la cybersecurity

  La direttiva NIS2 (Network and Information Security Directive) rappresenta l’occasione per introdurre una nuova consapevolezza nei consigli di amministrazione delle aziende, nell’ottica di elaborare una strategia di cybersecurity a lungo termine e incentivare la competitività garantendo la...
• 
  Nuovo controller nella piattaforma di automazione Yaskawa in SPS

  In occasione di SPS Norimberga, Yaskawa continua l’espansione della sua piattaforma di automazione ‘iCube Control’, presentando il controller serie iC9226 in funzione. Il controller iC9226 funziona con il chip industriale Triton di Yaskawa e può controllare fino...
• 
  Certificazione UL dei cavi per il mercato nordamericano con LAPP

  Il mercato nordamericano, e quello statunitense in particolare, sono mercati fondamentali per i produttori italiani di macchinari industriali, le cui soluzioni sono particolarmente apprezzate per qualità, alto livello di personalizzazione e attenzione ai dettagli. Avere successo in...