I cinque pilastri del DORA – Digital Operational Resilience Act
Come affrontare le sfide poste dal DORA e con quali strumenti secondo Mega International
-
- Tweet
- Pin It
- Condividi per email
-
![](https://automazione-plus.it/wp-content/uploads/sites/3/2024/04/Cyril-Amblard-Ladurantie-MEGA-International_0-300x300.jpg)
L’importanza della resilienza operativa per le organizzazioni ha portato l’Unione Europea alla definizione del Digital Operational Resilience Act (DORA), istituito per rafforzare le strutture delle tecnologie dell’informazione e della comunicazione (ICT) delle aziende del settore finanziario. L’approccio globale della DORA è strutturato attorno a 5 pilastri fondamentali, ognuno dei quali è stato progettato per affrontare aspetti distinti della resilienza operativa digitale.
Gestione del rischio ICT
Al centro del framework DORA c’è la gestione del rischio ICT, che impone alle organizzazioni di identificare, valutare e mitigare i rischi associati ai loro sistemi informatici. Questo approccio proattivo assicura che le potenziali vulnerabilità siano affrontate prima che si trasformino in problemi più significativi.
Le organizzazioni sono incoraggiate ad adottare un processo di gestione del rischio olistico, che comprenda valutazioni regolari del rischio, lo sviluppo di strategie di mitigazione del rischio e il monitoraggio continuo dell’ambiente ICT. Promuovendo una cultura di consapevolezza del rischio, le entità possono migliorare la loro resilienza contro le varie minacce digitali.
Gestione, classificazione e segnalazione degli incidenti
Questo pilastro sottolinea l’importanza di un approccio organizzato alla gestione degli incidenti legati all’ICT. Richiede alle aziende di stabilire e mantenere solidi meccanismi per identificare, classificare e segnalare prontamente gli incidenti. Questo processo non solo aiuta a risolvere rapidamente i problemi, ma fornisce anche informazioni preziose che possono prevenire eventi futuri.
Inoltre, il DORA raccomanda pratiche di reporting trasparenti, garantendo che le parti interessate, comprese le autorità di regolamentazione, siano informate sugli incidenti significativi. Questa trasparenza è fondamentale per mantenere la fiducia e per il rafforzamento collettivo della resilienza operativa digitale in tutti i settori.
Test di resilienza operativa digitale
Ai sensi della DORA, le organizzazioni devono condurre regolarmente test di resilienza per verificare l’efficacia delle loro strategie. Ciò comporta la simulazione di vari scenari, tra cui attacchi informatici, guasti ai sistemi e altre interruzioni, per valutare la capacità dei sistemi ICT di resistere e riprendersi da tali eventi. Grazie a questi test, le aziende possono identificare i punti deboli della loro infrastruttura digitale e dei processi, consentendo loro di apportare modifiche informate. Questo ciclo di valutazione e miglioramento continuo è fondamentale per tenere il passo con l’evoluzione del panorama delle minacce digitali.
Gestione del rischio ICT di terze parti
Riconoscendo che le operazioni digitali di molte organizzazioni sono intrecciate con servizi di terze parti, la DORA pone un’enfasi significativa sulla gestione dei rischi associati a queste entità esterne. Le organizzazioni sono tenute a condurre un’accurata due diligence sui fornitori di servizi terzi, assicurandosi che anche questi partner aderiscano a rigorosi standard di resilienza digitale. Questo pilastro sottolinea la necessità di contratti completi che definiscano chiaramente le responsabilità e le aspettative relative alla gestione del rischio ICT, alla gestione degli incidenti e ai test di resilienza. Una gestione efficace del rischio da parte di terzi garantisce che l’intera catena di fornitura contribuisca positivamente alla resilienza operativa complessiva dell’organizzazione.
Condivisione di informazioni e intelligence
L’ultimo pilastro del DORA promuove la condivisione di informazioni e intelligence relative alle minacce e alle vulnerabilità informatiche tra le organizzazioni. Promuovendo un ambiente collaborativo, le entità possono beneficiare di un pool collettivo di conoscenze ed esperienze, migliorando la loro capacità di anticipare e rispondere alle sfide digitali. Questa comprensione condivisa facilita lo sviluppo di best practice e l’implementazione di misure proattive, rafforzando la resilienza operativa digitale delle singole organizzazioni e del settore finanziario.
I cinque pilastri di DORA e Hopex
La piattaforma HOPEX di Mega International fornisce soluzioni integrate per la gestione della governance, del risk management e della compliance (GRC) aziendale. Nel contesto del Digital Operational Resilience Act (DORA), HOPEX può supportare le entità finanziarie nel soddisfare i requisiti della normativa . Ecco come:
1. Quadro di gestione del rischio ICT
- Identificazione e valutazione dei rischi: HOPEX aiuta a identificare e valutare i rischi ICT fornendo strumenti per mappare il panorama digitale dell’organizzazione, compresi asset, processi e servizi di terze parti. Ciò consente alle entità finanziarie di individuare le vulnerabilità e di valutarne l’impatto potenziale.
- Pianificazione della mitigazione del rischio: la piattaforma facilita lo sviluppo e l’implementazione di piani di mitigazione del rischio.
2. Gestione e segnalazione degli incidenti
- Tracciamento e gestione degli incidenti: Hopex offre funzionalità per la gestione degli incidenti, consentendo alle organizzazioni di registrare, tracciare e gestire in modo efficiente gli incidenti di cybersecurity. Questo aspetto è fondamentale per soddisfare i requisiti della DORA in materia di risposta e ripristino degli incidenti.
- Reporting automatizzato: la piattaforma può automatizzare la generazione e l’invio di rapporti sugli incidenti alle autorità di regolamentazione, garantendo che i rapporti siano tempestivi, accurati e conformi alle linee guida della DORA.
3. Resilienza operativa
- Pianificazione della continuità: Hopex consente alle organizzazioni di identificare le operazioni critiche, costruire e testare la propria strategia di continuità e monitorare la resilienza operativa.
- Test e analisi degli scenari: la soluzione di Mega supporta i test di resilienza consentendo alle organizzazioni di simulare vari scenari di minaccia informatica e di valutare l’efficacia delle loro strategie di risposta. Questo aiuta a identificare le lacune nella resilienza dell’organizzazione e ad apportare le necessarie modifiche.
- Documentazione e gestione delle prove: la piattaforma aiuta a documentare i processi di test, i risultati e le azioni correttive intraprese. Questa documentazione è fondamentale per dimostrare la conformità ai requisiti di test e audit della DORA.
4. Gestione del rischio di terze parti
- Valutazione del rischio del fornitore: Hopex può semplificare il processo di valutazione e gestione dei rischi associati ai fornitori terzi di servizi ICT. Fornisce strumenti per valutare la conformità del fornitore agli standard di sicurezza e monitorare i rischi in corso.
5. Gestione della conformità e reporting
- Cruscotto di conformità normativa: Hopex include funzioni per il monitoraggio della conformità normativa, offrendo dashboard e strumenti di reporting che forniscono una panoramica dello stato di conformità dell’organizzazione al DORA e ad altre normative pertinenti.
- Analisi delle lacune e monitoraggio dei rimedi: Hopex può facilitare l’analisi delle lacune per identificare le aree in cui l’organizzazione non soddisfa i requisiti del DORA e tenere traccia dei progressi degli sforzi per rimediare a tali lacune.
Sfruttando Hopex, le entità finanziarie possono migliorare la loro resilienza operativa digitale, semplificare la conformità al DORA e gestire efficacemente il complesso panorama dei rischi nell’era digitale. L’approccio integrato al GRC della piattaforma aiuta le organizzazioni a soddisfare i requisiti normativi e a rafforzare la loro posizione di rischio complessiva.
Cyril Amblard-Ladurantie - Product Marketing Manager
Contenuti correlati
-
La regolamentazione sull’AI: la visione di Appian
L’Europa si è posta all’avanguardia nella regolamentazione sull’AI grazie all’EU AI Act, la prima legge di questo tipo al mondo completa e approvata all’unanimità dagli Stati membri dell’UE il 21 maggio 2024. All’interno del quadro normativo dell’UE...
-
Anie: nel 2023 +10% il fatturato aggregato a 102,7 miliardi di euro
Il “sistema” Anie archivia positivamente il 2023, con un fatturato aggregato a quota 102,7 miliardi di euro, in crescita di oltre il 10,8% sul 2022. +32 miliardi di euro l’espansione del fatturato rispetto al 2019, a chiusura...
-
Tecnologie per il legno, i dati Acimall per il primo trimestre 2024
Secondo le rilevazioni effettuate dall’Ufficio studi di Acimall, nei primi tre mesi del 2024 le esportazioni di tecnologie italiane per l’industria del mobile e la lavorazione del legno e dei suoi derivati sono state pari a 379,4...
-
onsemi investe in produzione di carburo di silicio in Repubblica Ceca
onsemi annuncia il proprio piano di stabilire un impianto di produzione di carburo di silicio (SiC) all’avanguardia e integrato verticalmente in Repubblica Ceca. Il sito produrrà i semiconduttori di potenza intelligenti dell’azienda, essenziali per migliorare l’efficienza energetica...
-
Open innovation in ambito sanitario: EIT Health lancia il programma InnoStars Connect
In collaborazione con due delle più importanti aziende farmaceutiche europee, Chiesi Group e Synlab Italia, EIT Health, parte dello European Institute of Innovation and Technology (EIT), un organismo dell’Unione Europea, ha lanciato il nuovo programma InnoStars Connect. L’iniziativa di...
-
Cybersecurity nella PA e nella sanità, l’andamento nei rapporti Clusit
Gli attacchi condotti dalla criminalità organizzata verso l’Italia sono in aumento più che nel resto del mondo, con una percentuale del 65% tra il 2022 e il 2023 (verso una crescita del 12% a livello globale). A...
-
Nearshoring in crescita del +9% in Italia al 2025, l’analisi di IUNGO
Con la riduzione del traffico delle navi mercantili tra l’Oceano Indiano e il Mar Rosso sui suoi flussi commerciali, l’Italia perde 95 milioni di euro al giorno. La chiusura temporanea del Canale di Suez ha indebolito le...
-
Sinergia tra aziende e università, l’impegno di VEM verso la formazione accademica
Il Magnifico Rettore dell’Università di Bologna, Giovanni Molari, ha visitato l’headquarter di VEM Sistemi a Forlì per conoscere e salutare gli studenti impegnati nelle lezioni della Laurea ad orientamento professionale in Tecnologie dei Sistemi Informatici che il...
-
A protezione del paziente
Innovazione digitale e cybersicurezza all’Ospedale Israelitico grazie all’utilizzo di Medigate di Claroty nei sistemi di protezione dell’infrastruttura ICT: un primo passo verso un progetto globale che vede la messa in sicurezza dell’intero network ospedaliero I dati relativi...
-
Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor Technologies
Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la Direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in 4 aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità...
Scopri le novità scelte per te x
-
La regolamentazione sull’AI: la visione di Appian
L’Europa si è posta all’avanguardia nella regolamentazione sull’AI grazie all’EU AI Act, la prima legge di questo...
-
Anie: nel 2023 +10% il fatturato aggregato a 102,7 miliardi di euro
Il “sistema” Anie archivia positivamente il 2023, con un fatturato aggregato a quota 102,7 miliardi di euro,...
Notizie Tutti ▶
-
Economia circolare, Siemens e Osai GreenTech al recupero dei metalli preziosi dai RAEE
Nell’economia lineare l’estrazione, la lavorazione e lo smaltimento dei metalli preziosi comportano un consumo...
-
1° ottobre, appuntamento con la II edizione dell’IO-Link Day
Sulla scia del successo della prima edizione, torna l’evento di Consorzio PI Italia dedicato...
-
Hewlett Packard e Danfoss insieme per ridurre il consumo energetico nei data center
Hewlett Packard Enterprise e Danfoss collaborano per la fornitura di HPE IT Sustainability Services...
Prodotti Tutti ▶
-
Sensori di corrente a rilevamento magnetico di Allegro per industria, automotive ed energie rinnovabili
Allegro MicroSystems ha sviluppato i sensori di corrente ad alta potenza ACS37220 e ACS37041,...
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezione
Moxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024...
-
Refrigeratori di acqua di processo ecologici di Parker a basso GWP
Parker Hannifin ha sviluppato Hyperchill Plus-E, un nuovo refrigeratore ecologico per processi industriali utilizzato...