Ti Digital Operational Resilience Act (DORA) è un importante iniziativa normativa della Commissione europea (UE) volta a potenziare le misure di sicurezza informatica all’interno del settore dei servizi finanziari dell’UE. Con una data di entrata in vigore prevista per gennaio 2025, DORA impone passaggi cruciali per rafforzare la resilienza dei principali partecipanti nel sistema finanziario contro le crescenti minacce di cyber-attacchi e altri rischi.

DORA comprende un completo insieme di regolamenti progettati per consolidare ed elevare i requisiti di rischio delle Tecnologie dell’Informazione e della Comunicazione (ICT) in tutto il settore finanziario. Questo quadro garantisce che tutti i partecipanti si attengano a un comune insieme di standard di rischio ICT, creando una difesa unificata e robusta contro le potenziali interruzioni.

Gli obiettivi principali di DORA ruotano attorno alla gestione del rischio, alla segnalazione degli incidenti, ai test di resilienza, alla gestione del rischio dei fornitori esterni e alla condivisione delle informazioni. Questi requisiti obbligano le istituzioni finanziarie, così come i fornitori critici di terze parti come i Cloud Service Providers (CSP), a implementare processi e procedure specifiche.

Requisiti principali

Le aziende soggette alla giurisdizione di DORA sono obbligate a soddisfare cinque requisiti principali:

  1. Piano di Risposta agli Incidenti: Le aziende devono sviluppare un dettagliato piano di risposta agli incidenti, definendo l’attacco informatico, le risposte adeguate dei dipendenti e le procedure per ripristinare le operazioni in seguito a una violazione della sicurezza.
  2. Programma di Sicurezza Informatica: È obbligatorio un programma completo di sicurezza informatica, che includa valutazioni del rischio di minacce informatiche potenziali e piani di mitigazione corrispondenti.
  3. Controlli di Sicurezza: Le aziende devono mantenere robusti controlli di sicurezza sulla propria infrastruttura digitale, includendo crittografia, autenticazione, controlli di accesso, tracciamento degli audit, sistemi di monitoraggio, sistemi di gestione degli eventi e piani di risposta agli incidenti.
  4. Segnalazione degli Incidenti: È richiesta la segnalazione tempestiva degli incidenti, consentendo alle autorità di regolamentazione di valutare le vulnerabilità e fornire raccomandazioni per migliorare le posture di sicurezza.
  5. Continuità del Servizio: Stabilire un piano per garantire la continuità del servizio durante le interruzioni è essenziale per la conformità.

Il quadro di vigilanza delineato da DORA pone la responsabilità sulle autorità di regolamentazione finanziaria dell’UE di verificare ed valutare i controlli delle aziende, garantendo il rispetto degli standard specificati da DORA e la capacità di mantenere un ambiente sicuro e resistente per gestire i dati finanziari.

È importante sottolineare che l’impatto di DORA non è limitato all’UE, poiché organi di regolamentazione, compresa la Commissione per i Titoli e gli Scambi degli Stati Uniti (SEC), hanno introdotto proposte parallele. In risposta a queste evoluzioni, aziende come SS&C Advent si stanno allineando attivamente con i requisiti di DORA, sottolineando l’importanza della sicurezza, della conformità e della resilienza nel paesaggio digitale in continua evoluzione di oggi.

Quali organizzazioni rientrano in DORA?

  • istituti di credito;
  • istituti di pagamento;
  • prestatori di servizi di informazioni sull’account;
  • istituti di moneta elettronica;
  • società di investimento;
  • prestatori di servizi di terze parti ICT; e prestatori di servizi di criptovalute autorizzati ai sensi di un Regolamento del Parlamento europeo e del Consiglio sui mercati di criptoattivi e emittenti di token riferiti ad attività.
  • controparti centrali;
  • luoghi di negoziazione;
  • depositari di scambi;
  • gestori di fondi di investimento alternativi;
  • società di gestione;
  • prestatori di servizi di reporting dei dati;
  • prestatori di servizi di finanziamento collettivo;
  • depositari di cartolarizzazioni;
  • depositari centrali di titoli;
  • imprese di assicurazione e riassicurazione;
  • intermediari assicurativi, intermediari di riassicurazione e intermediari assicurativi accessori;
  • istituti per la previdenza professionale;
  • agenzie di rating del credito;
  • amministratori di benchmark critici;

DORA rende necessario per le aziende finanziarie supervisionare e gestire il rischio rappresentato dai fornitori con cui lavorano. Ciò si applica sia a individui che a organizzazioni che forniscono servizi a queste aziende finanziarie – devono seguire le regole di DORA.

Tuttavia, è importante sapere che DORA non si applica a tutti nel settore finanziario. Alcuni sono esenti, come le istituzioni che gestiscono piani pensionistici per meno di 15 persone, le piccole imprese come gli intermediari assicurativi e determinate altre entità. Puoi trovare l’elenco completo nell’ Articolo 2.3.

Pianificazione per soddisfare i requisiti di DORA

DORA è stata ufficialmente approvata il 16 gennaio 2023 e le istituzioni finanziarie hanno due anni per mettere tutto a posto. Ciò significa che devono seguire le regole di DORA entro il 17 gennaio 2025. Anche se potrebbe sembrare che ci sia molto tempo, è una buona idea per le società finanziarie iniziare ad adottare le nuove regole ora. Non devono aspettare fino all’ultimo momento: possono iniziare a effettuare cambiamenti per soddisfare i requisiti.

Come possiamo aiutare?

Presso Z3X, comprendiamo le sfide che le imprese affrontano nell’adattarsi alle normative della Digital Operational Resilience Act (DORA). Con la nostra esperienza nella navigazione dei quadri normativi, siamo qui per supportare la vostra azienda nel garantire la conformità ai requisiti del DORA.

Le nostre soluzioni su misura sono progettate per assistere le entità finanziarie nell’attuazione delle misure necessarie previste dal DORA. Dallo sviluppo di quadri di gestione del rischio completi all’istituzione di piani di risposta agli incidenti solidi, il nostro team presso Z3X è ben attrezzato per guidare la vostra attività durante l’intero processo.

Offriamo un approccio proattivo, aiutando la vostra organizzazione a anticipare e avviare il processo di attuazione con ampio anticipo. Sfruttando la nostra conoscenza ed esperienza, potete ottimizzare l’adozione delle normative del DORA, garantendo una transizione fluida e minimizzando le interruzioni alle vostre operazioni.

Collaborate con Z3X per non solo soddisfare gli obblighi normativi, ma anche per potenziare la resilienza e la sicurezza complessiva della vostra attività nel sempre più evolvente panorama digitale. Il nostro impegno è quello di fornire soluzioni pratiche che si allineino alle esigenze specifiche della vostra organizzazione, rendendo efficiente ed efficace il percorso verso la conformità al DORA. Lasciate che Z3X sia il vostro partner di fiducia nella navigazione delle complessità della conformità normativa e nella salvaguardia del futuro della vostra azienda.

Potete trovare il testo completo della normativa DORA qui.

Se preferite leggere questo articolo in inglese, potete trovarlo qui: What is DORA and what does it mean for you company?

Condividi questo articolo