La Legge sulla resistenza operativa digitale (DORA) è un’iniziativa normativa della Commissione Europea (UE) volta a rafforzare le misure di cybersecurity nel settore dei servizi finanziari dell’UE. Con data di entrata in vigore a partire da gennaio 2025, DORA impone importanti passi finalizzati a rafforzare la resistenza dei principali attori del sistema finanziario alle crescenti minacce di attacchi informatici e altri rischi.

DORA include un insieme completo di disposizioni volte a consolidare e migliorare i requisiti riguardanti il rischio delle tecnologie dell’informazione e della comunicazione (ICT) in tutti i settori finanziari. Questo sistema di gestione garantisce che tutti i partecipanti rispettino un comune insieme di standard per il rischio ICT, creando una difesa uniforme e robusta contro potenziali interruzioni.

Gli obiettivi chiave di DORA si concentrano sulla gestione del rischio, la segnalazione degli incidenti, il test della resistenza, la gestione del rischio legato a terze parti e la condivisione delle informazioni. Questi requisiti impongono alle istituzioni finanziarie, così come ai principali fornitori esterni, come i fornitori di servizi cloud (CSPs), la necessità di implementare specifici processi e procedure.

Requisiti principali

Le imprese soggette a DORA sono obbligate a soddisfare cinque requisiti di base:

  1. Piano di risposta agli incidenti: Le aziende devono sviluppare un dettagliato piano di risposta agli incidenti, in cui saranno definite gli attacchi cyber, le risposte adeguate dei dipendenti e le procedure per ripristinare le operazioni dopo una violazione della sicurezza.
  2. Programma di cyber-sicurezza: È obbligatorio implementare un programma completo di cyber-sicurezza, includendo la valutazione dei rischi associati agli attacchi cyber e i piani appropriati per mitigare tali rischi.
  3. Controlli di sicurezza: Le imprese devono mantenere controlli di sicurezza solidi sulla loro infrastruttura digitale, comprendendo la crittografia, l’autenticazione, il controllo degli accessi, i registri di audit, i sistemi di monitoraggio, i sistemi di gestione degli incidenti.
  4. Segnalazione di incidenti: È richiesta una segnalazione tempestiva degli incidenti, che permetta alle autorità di regolamentazione di valutare le vulnerabilità e di fornire raccomandazioni per migliorare lo stato della sicurezza.
  5. Continuità del servizio: Stabilire un piano che assicuri la continuità del servizio durante le interruzioni è essenziale per la conformità alle normative.

Il quadro di supervisione stabilito da DORA impone alle istituzioni regolatorie dell’UE di svolgere audit e valutazioni dei controlli delle imprese, garantendo il rispetto degli standard stabiliti da DORA e la capacità di mantenere un ambiente sicuro e resiliente per la gestione dei dati finanziari.

È importante notare che l’impatto di DORA non si limita solo all’UE, poiché le autorità di regolamentazione, tra cui la Commissione per i Valori Mobiliari e le Borse Americana (SEC), hanno introdotto proposte parallele. In risposta a queste modifiche, aziende come SS&C Advent si stanno attivamente adeguando alle richieste di DORA, sottolineando l’importanza della sicurezza, della conformità e della resilienza nel paesaggio digitale in continua evoluzione di oggi.

A quali organizzazioni si applica DORA?

  • Istituzioni di credito;
  • Istituzioni di pagamento;
  • Fornitori di servizi di informazioni sui conti;
  • Istituzioni di moneta elettronica;
  • Istituzioni che forniscono servizi finanziari;
  • Fornitori esterni di servizi di tecnologie dell’informazione e della comunicazione (ICT); e fornitori di servizi di asset crittografici autorizzati ai sensi del regolamento del Parlamento Europeo e del Consiglio sui mercati degli asset crittografici e sugli emittenti di token basati su asset.
  • Centri di negoziazione;
  • Registri commerciali;
  • Gestori di fondi di investimento alternativi;
  • Società di gestione;
  • Fornitori di dati per la relazione finanziaria;
  • Fornitore di servizi di finanziamento collettivo;
  • Registro di cartolarizzazione;
  • Deposito Centrale di Titoli;
  • Compagnie di assicurazione e di riassicurazione;
  • Intermediari assicurativi, intermediari di riassicurazione e intermediari assicurativi ausiliari;
  • Istituzioni dei programmi di pensione dei lavoratori;
  • Agenzie di rating;
  • Gestore dei punti di riferimento critici;

DORA richiede alle organizzazioni finanziarie di monitorare e gestire il rischio presentato dai fornitori con cui collaborano. Questo si applica sia alle persone fisiche sia alle organizzazioni che forniscono servizi a queste imprese finanziarie &;#8211; devono rispettare le regole di DORA.

Si deve tuttavia notare che DORA non si applica a tutti gli enti del settore finanziario. Alcuni di essi sono esentati, come le istituzioni che gestiscono programmi di pensionamento per meno di 15 persone, piccole imprese come intermediari assicurativi e alcune altre organizzazioni. L’elenco completo può essere trovato nell’Articolo 2.3.

Cronologia per soddisfare i requisiti DORA

DORA è stata ufficialmente approvata il 16 gennaio 2023 e le istituzioni finanziarie hanno due anni per preparare tutto. Questo significa che devono rispettare le regole di DORA entro il 17 gennaio 2025. Anche se può sembrare che ci sia molto tempo, è utile che le aziende finanziarie inizino ora a implementare le nuove regole. Non devono aspettare l’ultimo momento – possono iniziare a fare cambiamenti per soddisfare i requisiti.

Come possiamo aiutarti?

In Z3X, comprendiamo perfettamente le sfide che le aziende devono affrontare adattandosi alle regolamentazioni del Digital Operational Resilience Act (DORA). Grazie alla nostra conoscenza dei regolamenti, siamo qui per sostenere la tua azienda nell’assicurare la conformità con i requisiti del DORA.

Le nostre soluzioni personalizzate sono progettate per aiutare le istituzioni finanziarie a implementare le misure necessarie definite dal DORA. Dallo sviluppo di strutture di gestione del rischio complete all’istituzione di robusti piani di risposta agli incidenti, il nostro team in Z3X ha gli strumenti adatti per guidare la tua azienda attraverso l’intero processo.

Offriamo un approccio proattivo, aiutando la tua organizzazione a superare la concorrenza e avviare il processo di implementazione con ampio anticipo. Utilizzando la nostra conoscenza e esperienza, puoi semplificare l’adozione del DORA, garantendo una transizione fluida e minimizzando le interruzioni all’attività.

Collabora con Z3X, non solo per adempiere agli obblighi normativi, ma anche per migliorare la resilienza e la sicurezza generale del tuo business in un ambiente digitale in evoluzione. Il nostro obiettivo è fornire soluzioni pratiche che rispondano alle specifiche esigenze della tua organizzazione, per rendere il viaggio verso la conformità al DORA efficace ed efficiente. Lascia che Z3X sia il tuo partner di fiducia nel gestire le complessità della normativa e nel garantire il futuro del tuo business.

Puoi trovare il regolamento completo del DORA qui.

Se preferisci leggere questo articolo in inglese, lo troverai qui: Cosa è DORA e cosa significa per la tua azienda?

Condividi questo articolo