ORA FA PARTE DI . INSIEME, PIÙ FORTI.
EasyVista
EasyVista
EasyVista
EasyVista
EasyVista è un fornitore globale di software per soluzioni intelligenti per la gestione dei servizi aziendali e il supporto remoto.

Che cos’è il regolamento DORA (Digital Operational Resilience Act)?

25 Giugno, 2024

Indice 

  • Cos’è il Digital Operational Resilience Act (DORA)?
  • Quali sono gli obiettivi del regolamento DORA?
  • A chi si rivolge il regolamento DORA?
  • Qual è la timeline del Digital Operational Resilience Act?
  • Quali sono i requisiti del DORA?
  • Come verrà monitorata la conformità al regolamento DORA?
  • Le soluzioni EasyVista per il regolamento DORA
  • Cos’è l’ICT Governance? 

Il Digital Operational Resilience Act (DORA) rappresenta un passo importante verso il miglioramento della sicurezza informatica per gli operatori nell’ambito del settore finanziario nell’Unione Europea.  

Questo regolamento mira a garantire che le istituzioni finanziarie siano in grado di rispondere velocemente a qualsiasi tipo di minaccia informatica o interruzione operativa 

In questo articolo scopriremo che cos’è il regolamento DORA, quali sono i suoi obiettivi principali, a chi è rivolto, qual è la timeline di applicazione e i suoi requisiti principali, oltre a un approfondimento dedicato alla gestione del rischio ICT.

Cos’è il Digital Operational Resilience Act (DORA)? 

Il regolamento DORA (Digital Operational Resilience Act) è una normativa emanata dalla Commissione Europea finalizzata a rinforzare la sicurezza informatica dei soggetti finanziari quali banche, compagnie assicurative e società di investimento,  

La normativa stabilisce un quadro comune per la gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione (ICT) e impone alle entità finanziarie di garantire un alto livello di resilienza operativa digitale. 

Quali sono gli obiettivi del regolamento DORA?

Gli obiettivi principali del regolamento DORA sono:

  1. Resilienza Operativa: Garantire che le istituzioni finanziarie possano continuare a operare anche durante incidenti legati alla sicurezza informatica. 
  2. Gestione del Rischio ICT: Creare un quadro solido per la gestione dei rischi ICT, includendo la prevenzione, rilevazione, la risposta e il recupero da incidenti informatici. 
  3. Supervisione e Coordinamento: Rafforzare la supervisione e il coordinamento tra le autorità competenti a livello nazionale ed europeo. 
  4. Trasparenza e Responsabilità: Assicurare che le istituzioni finanziarie siano trasparenti riguardo alla loro esposizione ai rischi ICT e adottino misure adeguate per mitigare tali rischi. 

A chi si rivolge il regolamento DORA? 

Il regolamento DORA si rivolge verso una vasta gamma di entità finanziarie, tra cui: 

  • Banche 
  • Compagnie assicurative 
  • Società di gestione patrimoniale 
  • Piattaforme di trading 
  • Agenzie di rating del credito 
  • Infrastrutture di mercato finanziario 
  • Fornitori di servizi ICT legati a soggetti del settore finanziario 

Qual è la timeline del regolamento DORA? 

Il regolamento DORA è stato pubblicato nella Gazzetta ufficiale dell’Unione Europea nel dicembre 2022 ed è entrato in vigore il 16 gennaio 2023. Gli operatori finanziari e le altre entità coperte dal regolamento devono essere conformi ai requisiti di DORA entro il 17 gennaio 2025 

Durante questo periodo di transizione, le entità devono prepararsi adeguatamente per soddisfare le nuove disposizioni regolamentari. 

Quali sono i requisiti del DORA? 

La normativa DORA uniforma i criteri che concernono la sicurezza della rete e dei sistemi informativi che regolano i processi business dei soggetti finanziari.  

I requisiti della normativa si dividono nei seguenti ambiti: 

  • Gestione del rischio ICT 
  • Reporting e monitoraggio degli incidenti ICT 
  • Testing della resilienza operativa digitale 
  • Governance dei rischi rappresentati da terze parti 
  • Condivisione delle informazioni 

Gestione del rischio ICT 

Gli enti finanziari avranno il compito di definire una strategia che comprenda: 

  • Definizione dei KPI e delle metriche necessarie per la valutazione del rischio; 
  • Identificazione dei rischi di malfunzionamento
  • Mapping degli asset, delle loro dipendenze e individuazione delle funzioni critiche; 
  • Progettazione e configurazione di scenari di test complessi, che consentano di eseguire una corretta analisi dell’impatto sull’azienda;
  • Comprensione delle dipendenze tra asset, sistemi e processi aziendali

Reporting e monitoraggio 

Il regolamento DORA prevede un sistema per creare, classificare, valutare, segnalare e comunicare gli incidenti informatici. È inoltre necessario essere in grado di analizzare e fornire informazioni relative agli incidenti ICT e alle minacce ai servizi. 

Testing della resilienza operativa digitale 

Il DORA prevede un piano di test in grado di garantire che ogni anno venga effettuata un’adeguata serie di test di sicurezza e resilienza dei sistemi e delle applicazioni critiche. Inoltre, le entità finanziarie coinvolto dovranno dimostrare di poter porre rimedio alle vulnerabilità riscontrate.

Gestione del rischio ICT di terze parti 

Le entità finanziarie devono individuare e gestire in modo efficace e coerente qualsiasi rischio legato alle tecnologie dell’informazione e della comunicazione (ICT), quindi devono effettuare dei test e includere termini contrattuali sufficientemente protettivi nell’outsourcing dei servizi ICT. 

Sarà necessario effettuare una valutazione del rischio di tutti i contratti di outsourcing dipendenti dall’IT che supportano servizi critici o importanti.

Condivisione di informazioni 

I provider di terze parti considerati critici devono dimostrare di poter migliorare la resilienza a supporto dei sistemi finanziari, in quanto le entità finanziarie dipendono profondamente dalla stabilità, dalla funzionalità, dalla disponibilità e dalla sicurezza dei servizi ICT ricevuti. 

Scopri come le soluzioni EasyVista possono aiutarti ad applicare i requisiti DORA: scarica l’ebook dedicato

Come verrà monitorata la conformità al regolamento DORA? 

La conformità verrà valutata tramite controlli (off-site e on-site) e richiedendo informazioni specifiche, come ad esempio i dettagli del servizio ICT, i registri dei rapporti sugli incidenti e i dettagli sulle difese adottate contro i rischi informatici.  

Le tre autorità di vigilanza europee che supervisioneranno la conformità sono:  

  • La European Banking Authority (EBA); 
  • La European Insurance and Occupational Pensions Authority (EIOPA); 
  • La European Securities and Markets Authority (ESMA). 

Le soluzioni EasyVista per il supporto all’applicazione del regolamento DORA 

Le soluzioni EasyVista possono aiutare le aziende a conformarsi al regolamento DORA (Digital Operational Resilience Act) attraverso una serie di strumenti e funzionalità in grado di migliorare la gestione del rischio ICT, il monitoraggio degli incidenti e la resilienza operativa digitale 

Oltre a mettere a disposizione le informazioni richieste su asset, sistemi e processi, EasyVista offre la soluzione EasyVista Observe, una piattaforma di monitoraggio dell’infrastruttura, della rete e del cloud. 

Consulta il nostro ebook sul regolamento DORA e scopri di più su come EasyVista può supportare le aziende finanziarie nella conformità al regolamento, migliorando la resilienza operativa e la gestione del rischio ICT degli operatori finanziari. 

Scarica l’