Il Digital Operation Resilience Act approvato dall’Unione Europea, comunemente noto come DORA, entrerà in vigore tra meno di un anno, il 17 gennaio 2025. Tale regolamento si inserisce in un più ampio contesto di novità normative, tra cui la Direttiva NIS 2 e la Direttiva CER, volte a rafforzare e standardizzare i requisiti di resilienza informatica delle imprese europee.

È dunque iniziato il conto alla rovescia per le aziende interessate dall’adeguamento normativo. Ecco come farsi trovare preparati.

Regolamento DORA, le certificazioni dei fornitori: i limiti operativi

Qual è l’obiettivo del DORA?

Il Digital Operation Resilience Act è una normativa specifica rivolta alle istituzioni finanziarie dell’Unione Europea (tra cui banche, compagnie assicurative, agenzie di credito) e ai fornitori di servizi ICT che le supportano, che mira a promuovere e garantire la resilienza operativa digitale nell’ecosistema dei servizi finanziari, vincolando i soggetti coinvolti all’adozione di misure che consentano di prevenire, rispondere e riprendersi da attacchi informatici.

Secondo alcune stime, oltre il 90% delle realtà che operano nel settore dei servizi finanziari dipende in larga misura dalle tecnologie digitali, le quali presentano opportunità ma altrettanti rischi che costituiscono una sfida per l’integrità e la stabilità dell’intero sistema finanziario.

Il regolamento DORA offre, dunque, un quadro dettagliato e completo sulla resilienza operativa digitale, con l’obiettivo di migliorare e razionalizzare la gestione dei rischi relativi alle tecnologie digitali, monitorare i rischi derivanti dai fornitori di servizi ICT critici e istituire un processo armonizzato di segnalazione degli incidenti e di verifica dei sistemi di governance adottati.

Gennaio 2025 potrebbe sembrare lontano, ma, nel complesso mondo dei servizi finanziari e dell’ICT, 12 mesi sono un tempo molto breve.

Le realtà interessate devono cominciare fin da subito a potenziare, testare e implementare sistemi e protocolli critici che proteggano i dati operativi da manipolazioni e furti, adottando un approccio olistico che tenga in considerazione le più ampie disposizioni in materia di protezione delle informazioni e dei dati personali.

I cinque pilastri del Regolamento DORA

Le Autorità Europee di Vigilanza (ESA) stanno continuando e continueranno a lavorare per sviluppare gli standard tecnici di regolamentazione (RTS) relativi a ciascuno dei cinque pilastri del DORA:

1. ICT Risk Management: richiede un’accurata identificazione, valutazione e mitigazione dei rischi ICT ed impone alle entità finanziarie di stabilire solidi framework di governance e controllo interni.
2. ICT-related Incident Management: obbliga le aziende ad adottare un processo standardizzato per rilevare, gestire e notificare debitamente gli incidenti informatici significativi.
3. Digital Operational Resilience Testing: prevede verifiche regolari della resilienza organizzativa per garantire la preparazione a un ampio spettro di rischi ICT, includendo programmi completi per identificare, affrontare e mitigare le vulnerabilità.
4. ICT third-party risk management: sottolinea l’importanza di gestire diligentemente i rischi derivanti da partnership esterne e richiede alle istituzioni finanziarie di condurre valutazioni, approfondire e promuovere solide relazioni contrattuali con le terze parti.
5. Information sharing: promuove lo scambio di informazioni sulle minacce informatiche tra le aziende per favorire una resilienza collettiva contro le minacce. Incoraggiando una cultura di condivisione collaborativa delle informazioni, mira a elevare le capacità complessive di preparazione e risposta del settore.

Nel corso del 2024, le autorità di vigilanza intensificheranno il proprio lavoro per sviluppare gli Standard Tecnici Regolamentari (RTS) relativi ad ogni pilastro del DORA, introducendo una serie di indicazioni fondamentali per l’entrata in vigore del nuovo regolamento. Per esempio, a metà gennaio è stato presentato alla Commissione Europea il primo gruppo di RTS relativi al quadro di gestione del rischio ICT, ai criteri di classificazione degli incidenti e delle minacce informatiche, nonché alla gestione dei rischi di terze parti legati al mondo ICT.

Allo stesso tempo, le ESA hanno avviato una consultazione che, fino al 4 marzo, coinvolgerà gli stakeholder sul secondo gruppo di RTS, relativo a contenuti, tempistiche e modelli di segnalazione degli incidenti, costi e perdite aggregati derivanti dagli incidenti gravi, test di penetrazione guidati dalle minacce, accordi di subfornitura di servizi ICT critici, armonizzazione della vigilanza, cooperazione tra ESA e autorità competenti per la supervisione. Inoltre, entro il 17 luglio 2024, le ESA dovranno presentare questo secondo gruppo di RTS alla Commissione Europea per l’approvazione finale.

Recentemente la Banca Centrale Europea (BCE) ha lanciato uno stress test sulla resilienza cibernetica – il primo del suo genere per l’istituto finanziario – indicativo dell’importanza della resilienza operativa digitale per le banche in Europa. Inoltre, le banche supervisionate dalla BCE potranno fornire insight utili a capire come si stiano preparando in materia di DORA.

Conclusioni

Con meno di 12 mesi davanti, occorreranno una guida e un supporto mirati per evitare errori costosi, soprattutto se si considera che la modernizzazione di sistemi legacy è una parte fondamentale del percorso delle istituzioni finanziarie verso la resilienza informatica.

Cyber security e cyber resilience sono, ormai, imprescindibili per tutte le operation IT, in ogni settore.

Per questo, le normative emergenti dovranno contribuire a far chiarezza nel dibattito su ciò che deve essere fatto (e come).

@RIPRODUZIONE RISERVATA