Digital Operational Resilience Act (DORA)
-
- Tweet
- Pin It
- Condividi per email
-
In un’epoca caratterizzata da rapidi progressi tecnologici, garantire la resilienza e la sicurezza dei nostri sistemi finanziari è diventato più che mai fondamentale. Il Digital Operational Resilience Act (DORA), il nuovo quadro normativo recentemente introdotto dall’Unione Europea, si pone proprio in questa direzione, con l’obiettivo di rafforzare la cybersecurity e la resilienza operativa nel settore finanziario.
Un’opportunità di progresso
Il DORA si presenta come un potente strumento per armonizzare e rafforzare la resilienza operativa dei soggetti che operano nei mercati finanziari e delle autorità di vigilanza in tutta l’Unione Europea. Nato con l’obiettivo di perseguire continuità, cybersicurezza e stabilità, il nuovo quadro legislativo trascende i confini e promuove la collaborazione ai fini della salvaguardia delle funzioni critiche. Si applica a una vasta gamma di soggetti, tra cui istituti di credito, istituti di pagamento, istituti di moneta elettronica, controparti centrali e fornitori di data service.
Per garantire la conformità al DORA, gli operatori dei mercati finanziari devono conoscere e far propri i pilastri fondamentali della normativa, che si possono sintetizzare in cinque principi chiave:
- Test di resilienza e scenari: secondo le linee guida del DORA, le organizzazioni sono chiamate a svolgere test di resilienza periodici per valutare la propria continuità operativa di fronte a minacce informatiche e legate all’IT. Creando ed eseguendo scenari realistici di stress-testing, vengono svelati vulnerabilità e punti deboli, aprendo la strada all’adozione di misure robuste e proattive.
- Struttura di gestione del rischio ICT: il DORA pone un’enfasi giustificata sulla creazione di un quadro efficace di gestione del rischio dell’Information and Communication Technology (ICT). Grazie alla creazione di strutture di governance, policy e procedure complete, le organizzazioni possono identificare, valutare e mitigare in modo efficace i rischi legati all’ICT, promuovendo così la resilienza.
- Segnalazione e comunicazione degli incidenti: la comunicazione tempestiva e trasparente è al centro della filosofia del DORA. Le organizzazioni sono tenute a segnalare tempestivamente gli incidenti significativi alle autorità di vigilanza competenti. Promuovendo un dialogo aperto, il settore finanziario può rispondere, coordinarsi e adattarsi in modo efficiente alle sfide poste da potenziali interruzioni.
- Gestione del rischio di terzi: il DORA riconosce il ruolo vitale svolto dai fornitori di servizi terzi, che richiede un solido approccio alla gestione del rischio. Impegnandosi con prudenza, le organizzazioni dovrebbero condurre la due diligence quando selezionano e collaborano con terze parti, con particolare attenzione ai fornitori di servizi cloud. Applicando i controlli necessari, i rischi associati a tali partnership possono essere efficacemente mitigati.
- Capacità di sicurezza informatica: riconoscendo l’evoluzione del panorama delle minacce, il DORA impone alle organizzazioni di rafforzare le proprie capacità di cybersecurity. Adottando un atteggiamento proattivo e adottando misure solide come meccanismi di autenticazione forti, protocolli di crittografia e sistemi di monitoraggio attenti, è possibile salvaguardare sistemi critici e dati di grande valore dagli attacchi dei criminali informatici.
Adeguarsi al nuovo quadro normativo
Per gli operatori dei mercati finanziari adeguarsi al DORA significa adottare misure concrete e tangibili.
- La prima è la valutazione del rischio, necessaria a portare alla luce potenziali vulnerabilità e aree di non conformità: valutare le misure di cybersecurity esistenti, i piani di risposta agli incidenti e le capacità di resilienza operativa rispetto ai requisiti del DORA è il primo passo per dirsi compliant con la normativa.
- Occorre poi sviluppare e documentare policy e procedure complete che incarnino lo spirito del DORA. Questi strumenti dovrebbero riguardare aree quali la segnalazione degli incidenti, la gestione del rischio di terze parti, la gestione del rischio ICT e i test di resilienza.
- È importante anche rafforzare i test di resilienza, stabilendo un programma di test rigoroso, con scenari realistici che valutino la resilienza operativa delle funzioni critiche. Rivedere e adattare in modo regolare il programma di test, per adeguarsi alle minacce emergenti e alle best practice del settore, garantisce che l’organizzazione rimanga ben preparata in caso di attacco.
- Infine, occorre rafforzare le misure di sicurezza informatica, implementando attivamente misure avanzate di cybersecurity, come l’autenticazione a più fattori, i sistemi di rilevamento delle intrusioni e i protocolli di crittografia.
- Inoltre, è bene garantire aggiornamenti e patch regolari a software e sistemi, in modo da mitigare efficacemente le vulnerabilità note e migliorare la postura di sicurezza complessiva.
Tutto ciò permette di predisporre piani di risposta agli incidenti efficaci e completi, che indichino chiaramente i passi da compiere in caso di incidenti di sicurezza o interruzioni di attività. Promuovendo una comunicazione continua, procedure di escalation precise e definendo ruoli e responsabilità, le organizzazioni possono ridurre i rischi e consentire una risposta rapida ed efficace.
Il Digital Operational Resilience Act rappresenta in questo senso un’opportunità senza precedenti per rafforzare la sicurezza e la stabilità dei nostri sistemi finanziari.
Conformandosi in modo proattivo alle sue disposizioni, gli operatori dei mercati finanziari possono aprire la strada a un futuro di resilienza: test di resilienza, solidi quadri di gestione del rischio, piani di risposta agli incidenti efficaci e canali di comunicazione aperti permettono alle organizzazioni di essere più preparate, in modo da rafforzare i sistemi finanziari e salvaguardare il benessere del nostro mondo interconnesso.
Fonte foto Pixabay_geralt
di Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI - vectra.ai
Contenuti correlati
-
Avvicendamento al CINI Cybersecurity National LabLa Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro al nuovo Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), Andrea Quacivi, rinnovando la piena disponibilità a proseguire e rafforzare la collaborazione istituzionale...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescitaRockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report. La ricerca evidenzia un cambiamento nell’approccio dei produttori italiani alla trasformazione digitale: oggi, infatti, crescita ed espansione della capacità produttiva...
-
The smarter E Europe: networking sicuro per infrastrutture energetiche critiche con MoxaMoxa Europe GmbH, azienda punto di riferimento nelle soluzioni di comunicazione e networking industriale, presenterà a EM-Power Europe, nell’ambito di The smarter E Europe (Messe München dal 23 al 25 giugno 2026), presso il Padiglione B.5, Stand...
-
Si delinea il programma di secsolutionforum 2026Secsolutionforum 2026 torna in presenza il 7 e 8 ottobre 2026 a BolognaFiere, all’interno di Urban Tech 2026 – The Urban Technology Show, l’ecosistema dedicato a e-mobility, traffic, commuting, tlc & data ed environment. Dopo sei edizioni...
-
Lo standard IEC62443Vediamo qui la norma IEC62443, che stabilisce linee guida e regole da seguire per la sicurezza delle reti industriali OT Leggi l’articolo
-
Manifatturiero italiano sotto attacco: ecco il paradosso che i dati non raccontano
“Never touch a running system”: è il principio non scritto che governa la gestione dei macchinari in molti stabilimenti italiani. Non per resistenza al cambiamento, ma perché ogni intervento può avere un costo operativo immediato e, a volte,...
-
Moxa ottiene la prima certificazione IEC 62443-4-2Moxa annuncia che la sua serie NPort 6000-G2 è diventata il primo server di dispositivi seriali al mondo a ottenere la certificazione IEC 62443-4-2 Livello di Sicurezza 2 nell’ambito dello schema di certificazione IECEE. Questo traguardo riflette l’impegno...
-
Nozomi Networks Labs: attacchi ransomware minacciano il 30% del PIL mondiale, manifatturiero italiano nel mirinoIl 70% dell’attività ransomware globale è diretta verso i principali paesi anglofoni, secondo il più recente rapporto OT & IoT Security di Nozomi Networks Labs. Nella seconda metà dello scorso anno, il 40% di tutti gli attacchi...
-
Tra crescente consapevolezza e incompleta maturitàLe aziende italiane aumentano l’attenzione alla cybersecurity, ma restano divari operativi, soprattutto nelle PMI. Tra minacce sempre più evolute e nuove tecnologie, emerge la necessità di un approccio strutturato, resiliente e orientato al modello Zero Trust Leggi...
-
Il trasporto pubblico è un’infrastruttura critica. Ed è ora di proteggerlo in modo adeguatoLa sicurezza nel trasporto pubblico locale sta cambiando funzione. Non è più soltanto uno strumento per documentare gli eventi: sta diventando una componente della gestione operativa, capace da un lato di tutelare in tempo reale il personale...
Scopri le novità scelte per te
-
Avvicendamento al CINI Cybersecurity National Lab
La Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro al nuovo Direttore...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescita
Rockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of Smart Manufacturing Report....
Notizie Tutti ▶
-
Avvicendamento al CINI Cybersecurity National LabLa Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro...
-
Innovazione nell’industria ancora una volta al centro: il sunto di SPS Italia 2026Si è chiusa a Parma la quattordicesima edizione di SPS Italia, appuntamento di riferimento...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescitaRockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of...
Prodotti Tutti ▶
-
XIA, il copilota di TEX per la programmazione di PLC e CNCXIA è l’avanguardia tecnologica nata dalla visione di TEX. Non è un semplice assistente virtuale,...
-
HP celebra dieci anni di innovazione nell’additive manufacturing e presenta la stampante 3D HP MJF 1200In occasione di RAPID + TCT 2026, HP ha presentato diverse novità nel proprio...
-
Portafusibili certificati UL per RiLineX di RittalRittal, specialista in hardware, software e automazione, ha ulteriormente ampliato la sua gamma di...
){kind=link}