Il Digital Operational Resilience Act (DORA) è una nuova normativa UE che mira a raggiungere un elevato livello comune di resilienza operativa digitale nel settore dei servizi finanziari in tutti gli Stati membri. Ha un'ampia giurisdizione geografica, che si applica sia alle imprese che hanno uffici nell'UE, sia a quelle che forniscono servizi a un istituto finanziario che fornisce servizi nell'UE.
Il regolamento DORA: applicazione e obiettivo
DORA si applica a un'ampia gamma di entità finanziarie, come banche, assicuratori e imprese di investimento, nonché ai loro fornitori di tecnologie, facendo rientrare per la prima volta le imprese IT nell'ambito di competenza delle autorità di regolamentazione finanziaria.
L'imperativo per DORA è chiaro: migliorare la resilienza contro gli attacchi informatici all'interno di un settore finanziario sempre più dipendente dalla tecnologia digitale. Con l'avvento della trasformazione digitale, le aziende sono sempre più vulnerabili al fallimento in caso di un grave attacco informatico - che porterebbe a problemi non solo per se stesse, ma anche per il più ampio ecosistema economico.
Cos'è DORA
Il regolamento DORA è entrato in vigore nel gennaio 2023 e deve essere applicato entro il 17 gennaio 2025, con sanzioni significative verso coloro che non adempiranno. I fornitori di servizi IT non conformi dovranno affrontare potenziali multe fino all'1% del fatturato globale giornaliero dell'azienda. Queste ammende possono essere applicate quotidianamente fino a quando le imprese raggiungeranno la conformità. Le sanzioni per gli istituti finanziari devono essere stabilite dai singoli territori in cui risiedono, e hanno il potenziale per essere ancora più grandi. Infatti, danni alla reputazione e l'erosione della fiducia dei clienti potrebbero essere ancora più costosi.
Preparazione di DORA
Il campo di applicazione di DORA è eccezionalmente ampio, e molte imprese dovranno affrontare una serie di considerazioni per raggiungerne la conformità.
- In primo luogo, molte aziende non possiedono le capacità per valutare in modo completo e sistematico gli attacchi informatici, nonché analizzarne la causa principale. Si tratta di un problema perché, nell'ambito di DORA, le imprese dovranno definire il modo in cui stanno monitorando e gestendo la vulnerabilità dei loro asset IT su base continuativa. Rimediare al deficit tra i due non è semplice.
- In secondo luogo, dovranno affrontare la gestione del rischio in DORA che richiede alle aziende di disporre di processi robusti e resilienti per la gestione dei propri asset IT. Molte organizzazioni attualmente non hanno una visione chiara di ciò che tali beni includono. La visibilità degli endpoint nei loro sistemi è diminuita nel tempo man mano che le loro reti si sono espanse, sono diventate più complesse e il personale si è trasferito al lavoro remoto.
DORA introduce una nuova serie di regole relative alla condivisione delle informazioni sulle minacce, che obbligano le imprese a notificare alle autorità di vigilanza europee i dettagli degli accordi di condivisione delle informazioni entro scadenze rigorose. Anche in questo caso, le imprese non conformi potrebbero incorrere in sanzioni pecuniarie o provvedimenti normativi.
- Infine, le imprese devono attuare un programma di test che dimostri la resilienza operativa dei loro sistemi IT. In alcune circostanze, la verifica deve essere effettuata da una parte indipendente per le entità finanziarie. In altri, alcuni istituti finanziari devono effettuare test avanzati dei loro strumenti, sistemi e processi TIC almeno ogni tre anni utilizzando test di penetrazione guidati dalla minaccia. Questa sarà una sfida per molte aziende, in quanto pochissime organizzazioni hanno programmi di test di penetrazione che soddisfano l'ampiezza dei test richiesti da DORA (che spesso possono includere test di fornitori di servizi IT di terze parti che forniscono servizi alle entità finanziarie).
Dato il lavoro necessario per raggiungere la conformità, il tempo si sta esaurendo velocemente. Molte aziende dovranno completare il lavoro di riparazione per colmare le lacune, e passare a soluzioni informatiche che forniscono il livello di funzionalità richiesto da DORA. Le società di servizi finanziari devono anche avere fiducia nei loro fornitori, in quanto DORA impone alle istituzioni finanziarie di garantire che l'intera catena di fornitura sia conforme al regolamento.
Primi passi per le imprese
Le imprese dovrebbero iniziare con una valutazione completa delle lacune che identifichi i settori che richiedono ulteriori investimenti e scadenze. Dato che DORA è di vasta portata e altamente prescrittiva, la sfida più grande per le imprese sarà quella di capire quali sono le loro esigenze e quanto tempo ci vorrà per apportare le modifiche necessarie per raggiungere la conformità. Le imprese finanziarie dovrebbero anche iniziare a creare un registro dettagliato delle informazioni su terzi connessi alle tecnologie dell'informazione, richiesto da DORA.
Con questo, si potranno identificare le aree di non conformità in tutta la catena di approvvigionamento, in modo da poter prendere decisioni su cosa fare in seguito.
A poco più di un anno dall'inizio, è giunto il momento di agire.
Leggi il report