Digital Operational Resilience Act (DORA)

In un’epoca caratterizzata da rapidi progressi tecnologici, garantire la resilienza e la sicurezza dei nostri sistemi finanziari è diventato più che mai fondamentale. Il Digital Operational Resilience Act (DORA), il nuovo quadro normativo recentemente introdotto dall’Unione Europea, si pone proprio in questa direzione, con l’obiettivo di rafforzare la cybersecurity e la resilienza operativa nel settore finanziario.

Un’opportunità di progresso

Il DORA si presenta come un potente strumento per armonizzare e rafforzare la resilienza operativa dei soggetti che operano nei mercati finanziari e delle autorità di vigilanza in tutta l’Unione Europea. Nato con l’obiettivo di perseguire continuità, cybersicurezza e stabilità, il nuovo quadro legislativo trascende i confini e promuove la collaborazione ai fini della salvaguardia delle funzioni critiche. Si applica a una vasta gamma di soggetti, tra cui istituti di credito, istituti di pagamento, istituti di moneta elettronica, controparti centrali e fornitori di data service.

Per garantire la conformità al DORA, gli operatori dei mercati finanziari devono conoscere e far propri i pilastri fondamentali della normativa, che si possono sintetizzare in cinque principi chiave:

• Test di resilienza e scenari: secondo le linee guida del DORA, le organizzazioni sono chiamate a svolgere test di resilienza periodici per valutare la propria continuità operativa di fronte a minacce informatiche e legate all’IT. Creando ed eseguendo scenari realistici di stress-testing, vengono svelati vulnerabilità e punti deboli, aprendo la strada all’adozione di misure robuste e proattive.
• Struttura di gestione del rischio ICT: il DORA pone un’enfasi giustificata sulla creazione di un quadro efficace di gestione del rischio dell’Information and Communication Technology (ICT). Grazie alla creazione di strutture di governance, policy e procedure complete, le organizzazioni possono identificare, valutare e mitigare in modo efficace i rischi legati all’ICT, promuovendo così la resilienza.
• Segnalazione e comunicazione degli incidenti: la comunicazione tempestiva e trasparente è al centro della filosofia del DORA. Le organizzazioni sono tenute a segnalare tempestivamente gli incidenti significativi alle autorità di vigilanza competenti. Promuovendo un dialogo aperto, il settore finanziario può rispondere, coordinarsi e adattarsi in modo efficiente alle sfide poste da potenziali interruzioni.
• Gestione del rischio di terzi: il DORA riconosce il ruolo vitale svolto dai fornitori di servizi terzi, che richiede un solido approccio alla gestione del rischio. Impegnandosi con prudenza, le organizzazioni dovrebbero condurre la due diligence quando selezionano e collaborano con terze parti, con particolare attenzione ai fornitori di servizi cloud. Applicando i controlli necessari, i rischi associati a tali partnership possono essere efficacemente mitigati.
• Capacità di sicurezza informatica: riconoscendo l’evoluzione del panorama delle minacce, il DORA impone alle organizzazioni di rafforzare le proprie capacità di cybersecurity. Adottando un atteggiamento proattivo e adottando misure solide come meccanismi di autenticazione forti, protocolli di crittografia e sistemi di monitoraggio attenti, è possibile salvaguardare sistemi critici e dati di grande valore dagli attacchi dei criminali informatici.

Adeguarsi al nuovo quadro normativo

Per gli operatori dei mercati finanziari adeguarsi al DORA significa adottare misure concrete e tangibili.

• La prima è la valutazione del rischio, necessaria a portare alla luce potenziali vulnerabilità e aree di non conformità: valutare le misure di cybersecurity esistenti, i piani di risposta agli incidenti e le capacità di resilienza operativa rispetto ai requisiti del DORA è il primo passo per dirsi compliant con la normativa.
• Occorre poi sviluppare e documentare policy e procedure complete che incarnino lo spirito del DORA. Questi strumenti dovrebbero riguardare aree quali la segnalazione degli incidenti, la gestione del rischio di terze parti, la gestione del rischio ICT e i test di resilienza.
• È importante anche rafforzare i test di resilienza, stabilendo un programma di test rigoroso, con scenari realistici che valutino la resilienza operativa delle funzioni critiche. Rivedere e adattare in modo regolare il programma di test, per adeguarsi alle minacce emergenti e alle best practice del settore, garantisce che l’organizzazione rimanga ben preparata in caso di attacco.
• Infine, occorre rafforzare le misure di sicurezza informatica, implementando attivamente misure avanzate di cybersecurity, come l’autenticazione a più fattori, i sistemi di rilevamento delle intrusioni e i protocolli di crittografia.
• Inoltre, è bene garantire aggiornamenti e patch regolari a software e sistemi, in modo da mitigare efficacemente le vulnerabilità note e migliorare la postura di sicurezza complessiva.

Tutto ciò permette di predisporre piani di risposta agli incidenti efficaci e completi, che indichino chiaramente i passi da compiere in caso di incidenti di sicurezza o interruzioni di attività. Promuovendo una comunicazione continua, procedure di escalation precise e definendo ruoli e responsabilità, le organizzazioni possono ridurre i rischi e consentire una risposta rapida ed efficace.

Il Digital Operational Resilience Act rappresenta in questo senso un’opportunità senza precedenti per rafforzare la sicurezza e la stabilità dei nostri sistemi finanziari.

Conformandosi in modo proattivo alle sue disposizioni, gli operatori dei mercati finanziari possono aprire la strada a un futuro di resilienza: test di resilienza, solidi quadri di gestione del rischio, piani di risposta agli incidenti efficaci e canali di comunicazione aperti permettono alle organizzazioni di essere più preparate, in modo da rafforzare i sistemi finanziari e salvaguardare il benessere del nostro mondo interconnesso.

Fonte foto Pixabay_geralt

di Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI - vectra.ai

Contenuti correlati

• 
  Le previsioni di Unit 42: Il 2025 sarà l’anno della disruption

  Sam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del 2025: “Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo...
• 
  Investimenti digitali in Italia, +1,5% nel 2025 secondo gli Osservatori del PoliMi

  Nonostante l’incertezza economica, le aziende italiane confermano gli investimenti nel digitale, ritenuto essenziale per mantenere competitività. Secondo i dati della ricerca degli Osservatori Startup Thinking e Digital Transformation Academy del Politecnico di Milano, per il 2025 si...
• 
  Digitalizzazione, IoT e cybersecurity: il nuovo volto del mobile hydraulics

  Grazie alle tecnologie IoT, il comparto mobile hydraulics si dirige verso una continua integrazione tra automazione, connettività e gestione intelligente dei dati. Il settore mobile hydraulics sta attraversando una trasformazione senza precedenti. L’integrazione delle tecnologie IoT e...
• 
  Il valore dei digital twin per la sostenibilità nell’offerta di Shin Software

  Shin Software, azienda attiva nello sviluppo di soluzioni innovative come la tecnologia Digital Twin, si caratterizza come partner strategico per l’industria, con un forte impegno verso i principi ESG. Recentemente, l’azienda ha partecipato alla fiera Automation &...
• 
  Safety+ per una sicurezza funzionale più produttiva

  B&R, divisione del gruppo ABB, presenta Safety+, un approccio aperto e innovativo alla programmazione delle funzioni di sicurezza. Gli sviluppatori possono ora utilizzare anche gli ultimi strumenti e metodi di ingegneria del software per applicazioni di sicurezza....
• 
  InnoPPE di Innodisk aumenta la sicurezza negli ambienti industriali ad alto rischio

  Innodisk, fornitore attivo a livello mondiale di soluzioni di intelligenza artificiale, ha introdotto l’innovativa soluzione di riconoscimento InnoPPE basata sull’intelligenza artificiale per migliorare la sicurezza e la conformità negli ambienti industriali ad alto rischio. Questa soluzione basata...
• 
  Scuole e cybersecurity, ecco il patentino di cittadinanza digitale per gli studenti

  “Noi cittadini digitali” è la nuova iniziativa di education di Trend Micro indirizzata agli studenti delle scuole italiane in collaborazione con Junior Achievement Italia, parte di Junior Achievement Worldwide, la più vasta organizzazione non profit al mondo...
• 
  I quattro trend nel futuro della supply chain secondo Remira Italia

  Investire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere le supply chain più resilienti, garantire l’integrità e la coerenza dei dati: queste le quattro tendenze identificate da Remira Italia, azienda specializzata nell’offerta...
• 
  Mancano 5 milioni di esperti di cybersecurity – e adesso?

  ISC2, la principale organizzazione non-profit al mondo per i professionisti della sicurezza informatica, ha stimato che quest’anno la carenza di professionisti della cybersecurity raggiungerà quota 4,8 milioni, segnando una crescita del 19% su base annua. Il gap...
• 
  Non c’è innovazione senza cybersecurity: il caso Dolomiti Energia

  La cybersecurity è diventata una priorità per le aziende, da quando la tecnologia e l’innovazione hanno permeato i processi di produzione e di comunicazione. Da questa consapevolezza è nata la necessità del Gruppo Dolomiti Energia, a seguito...