Indice
- Cos’è il Digital Operational Resilience Act (DORA)?
- Quali sono gli obiettivi del regolamento DORA?
- A chi si rivolge il regolamento DORA?
- Qual è la timeline del Digital Operational Resilience Act?
- Quali sono i requisiti del DORA?
- Come verrà monitorata la conformità al regolamento DORA?
- Le soluzioni EasyVista per il regolamento DORA
- Cos’è l’ICT Governance?
Il Digital Operational Resilience Act (DORA) rappresenta un passo importante verso il miglioramento della sicurezza informatica per gli operatori nell’ambito del settore finanziario nell'Unione Europea.
Questo regolamento mira a garantire che le istituzioni finanziarie siano in grado di rispondere velocemente a qualsiasi tipo di minaccia informatica o interruzione operativa.
In questo articolo scopriremo che cos'è il regolamento DORA, quali sono i suoi obiettivi principali, a chi è rivolto, qual è la timeline di applicazione e i suoi requisiti principali, oltre a un approfondimento dedicato alla gestione del rischio ICT.
Cos'è il Digital Operational Resilience Act (DORA)?
Il regolamento DORA (Digital Operational Resilience Act) è una normativa emanata dalla Commissione Europea finalizzata a rinforzare la sicurezza informatica dei soggetti finanziari quali banche, compagnie assicurative e società di investimento,
La normativa stabilisce un quadro comune per la gestione dei rischi legati alle tecnologie dell'informazione e della comunicazione (ICT) e impone alle entità finanziarie di garantire un alto livello di resilienza operativa digitale.
Quali sono gli obiettivi del regolamento DORA?
Gli obiettivi principali del regolamento DORA sono:
- Resilienza Operativa: Garantire che le istituzioni finanziarie possano continuare a operare anche durante incidenti legati alla sicurezza informatica.
- Gestione del Rischio ICT: Creare un quadro solido per la gestione dei rischi ICT, includendo la prevenzione, rilevazione, la risposta e il recupero da incidenti informatici.
- Supervisione e Coordinamento: Rafforzare la supervisione e il coordinamento tra le autorità competenti a livello nazionale ed europeo.
- Trasparenza e Responsabilità: Assicurare che le istituzioni finanziarie siano trasparenti riguardo alla loro esposizione ai rischi ICT e adottino misure adeguate per mitigare tali rischi.
A chi si rivolge il regolamento DORA?
Il regolamento DORA si rivolge verso una vasta gamma di entità finanziarie, tra cui:
- Banche
- Compagnie assicurative
- Società di gestione patrimoniale
- Piattaforme di trading
- Agenzie di rating del credito
- Infrastrutture di mercato finanziario
- Fornitori di servizi ICT legati a soggetti del settore finanziario
Qual è la timeline del regolamento DORA?
Il regolamento DORA è stato pubblicato nella Gazzetta ufficiale dell'Unione Europea nel dicembre 2022 ed è entrato in vigore il 16 gennaio 2023. Gli operatori finanziari e le altre entità coperte dal regolamento devono essere conformi ai requisiti di DORA entro il 17 gennaio 2025.
Durante questo periodo di transizione, le entità devono prepararsi adeguatamente per soddisfare le nuove disposizioni regolamentari.
Quali sono i requisiti del DORA?
La normativa DORA uniforma i criteri che concernono la sicurezza della rete e dei sistemi informativi che regolano i processi business dei soggetti finanziari.
I requisiti della normativa si dividono nei seguenti ambiti:
- Gestione del rischio ICT
- Reporting e monitoraggio degli incidenti ICT
- Testing della resilienza operativa digitale
- Governance dei rischi rappresentati da terze parti
- Condivisione delle informazioni
Gestione del rischio ICT
Gli enti finanziari avranno il compito di definire una strategia che comprenda:
- Definizione dei KPI e delle metriche necessarie per la valutazione del rischio;
- Identificazione dei rischi di malfunzionamento
- Mapping degli asset, delle loro dipendenze e individuazione delle funzioni critiche;
- Progettazione e configurazione di scenari di test complessi, che consentano di eseguire una corretta analisi dell’impatto sull’azienda;
- Comprensione delle dipendenze tra asset, sistemi e processi aziendali
Reporting e monitoraggio
Il regolamento DORA prevede un sistema per creare, classificare, valutare, segnalare e comunicare gli incidenti informatici. È inoltre necessario essere in grado di analizzare e fornire informazioni relative agli incidenti ICT e alle minacce ai servizi.
Testing della resilienza operativa digitale
Il DORA prevede un piano di test in grado di garantire che ogni anno venga effettuata un’adeguata serie di test di sicurezza e resilienza dei sistemi e delle applicazioni critiche. Inoltre, le entità finanziarie coinvolto dovranno dimostrare di poter porre rimedio alle vulnerabilità riscontrate.
Gestione del rischio ICT di terze parti
Le entità finanziarie devono individuare e gestire in modo efficace e coerente qualsiasi rischio legato alle tecnologie dell’informazione e della comunicazione (ICT), quindi devono effettuare dei test e includere termini contrattuali sufficientemente protettivi nell’outsourcing dei servizi ICT.
Sarà necessario effettuare una valutazione del rischio di tutti i contratti di outsourcing dipendenti dall’IT che supportano servizi critici o importanti.
Condivisione di informazioni
I provider di terze parti considerati critici devono dimostrare di poter migliorare la resilienza a supporto dei sistemi finanziari, in quanto le entità finanziarie dipendono profondamente dalla stabilità, dalla funzionalità, dalla disponibilità e dalla sicurezza dei servizi ICT ricevuti.
Scopri come le soluzioni EasyVista possono aiutarti ad applicare i requisiti DORA: scarica l’ebook dedicato
Come verrà monitorata la conformità al regolamento DORA?
La conformità verrà valutata tramite controlli (off-site e on-site) e richiedendo informazioni specifiche, come ad esempio i dettagli del servizio ICT, i registri dei rapporti sugli incidenti e i dettagli sulle difese adottate contro i rischi informatici.
Le tre autorità di vigilanza europee che supervisioneranno la conformità sono:
- La European Banking Authority (EBA);
- La European Insurance and Occupational Pensions Authority (EIOPA);
- La European Securities and Markets Authority (ESMA).
Le soluzioni EasyVista per il supporto all’applicazione del regolamento DORA
Le soluzioni EasyVista possono aiutare le aziende a conformarsi al regolamento DORA (Digital Operational Resilience Act) attraverso una serie di strumenti e funzionalità in grado di migliorare la gestione del rischio ICT, il monitoraggio degli incidenti e la resilienza operativa digitale.
Oltre a mettere a disposizione le informazioni richieste su asset, sistemi e processi, EasyVista offre la soluzione EasyVista Observe, una piattaforma di monitoraggio dell’infrastruttura, della rete e del cloud.
Consulta il nostro ebook sul regolamento DORA e scopri di più su come EasyVista può supportare le aziende finanziarie nella conformità al regolamento, migliorando la resilienza operativa e la gestione del rischio ICT degli operatori finanziari.
Scarica l’ebook per saperne di più sul Regolamento DORA e come adeguarti entro il 2025!
Cos’è l’ICT Governance?
L'ICT Governance riguarda la struttura di responsabilità e i processi di decision-making per garantire che la gestione del rischio ICT sia integrata nella strategia aziendale e operativa dell'istituzione. Questo include:
- Definizione delle politiche di gestione del rischio: Stabilire politiche chiare per la gestione del rischio ICT.
- Supervisione e monitoraggio: Monitorare continuamente i rischi ICT e la conformità alle politiche stabilite.
- Formazione e consapevolezza: Educare il personale sull'importanza della sicurezza ICT e sulle best practice da adottare.
FAQs
Quali sono i principali benefici di DORA per le istituzioni finanziarie?
DORA aiuta le istituzioni finanziarie a migliorare la loro resilienza operativa, riducendo il rischio di interruzioni operative dovute a incidenti informatici. Inoltre, promuove una maggiore trasparenza e responsabilità nella gestione dei rischi ICT.
Come devono prepararsi le istituzioni finanziarie per conformarsi a DORA?
Le istituzioni devono condurre una valutazione completa dei loro rischi ICT, implementare misure di sicurezza adeguate, sviluppare piani di risposta e recupero, e assicurare che la governance del rischio ICT sia integrata nelle loro strategie aziendali.
Qual è il ruolo delle autorità di vigilanza in DORA?
Le autorità di vigilanza hanno il compito di monitorare la conformità delle istituzioni finanziarie ai requisiti di DORA, coordinare le attività di supervisione a livello europeo e intervenire in caso di non conformità.
Cosa succede se un'istituzione finanziaria non rispetta le disposizioni di DORA entro le scadenze stabilite?
Le istituzioni che non rispettano le disposizioni di DORA possono essere soggette a sanzioni amministrative e altre misure correttive imposte dalle autorità di vigilanza competenti.
Il regolamento DORA rappresenta una sfida, ma anche un'opportunità per le istituzioni finanziarie di migliorare la loro resilienza operativa e proteggersi meglio dalle minacce informatiche in un mondo sempre più digitalizzato.
