Il Finance sta attraversando un periodo di intensa trasformazione digitale e, oggi, si presenta come uno dei settori più vivaci in termini di innovazione tecnologica. Pagamenti digitali, Online banking, sistemi di autenticazione sempre più sofisticati consentono di offrire una customer experience più fluida, veloce e su misura. Tuttavia, il rovescio della medaglia mostra come la corsa alla digitalizzazione abbia portato a scoprire il fianco a nuovi e più potenti cyber attack.
Il regolamento DORA (Digital Operational Resilience Act) nasce in questo contesto.
Regolamento DORA: cos’è e a chi si rivolge
Il Digital Operational Resilience Act fa parte di un ampio pacchetto di normative e misure strategiche, varato dalla Commissione Europea allo scopo di rafforzare e garantire la resilienza delle organizzazioni finanziarie e la loro capacità di far fronte agli attacchi informatici. In particolare, il DORA si concentra sulla resilienza operativa digitale, ovvero la capacità di garantire business continuity anche in caso di incidenti o violazioni dell’infrastruttura IT.
Ufficialmente, il regolamento DORA è entrato in vigore il 16 gennaio 2023, e diventerà obbligatorio a partire dal 17 gennaio 2025. Ciò significa che entro tale data le imprese del settore Finance, operanti nell’Unione Europea, dovranno implementare una serie di misure connesse alla Governance, al Risk Management, alla Cyber Security e all’Incident Management allo scopo di adeguarsi alla normativa DORA ed evitare, così, le sanzioni previste, applicate dalle entità di regolamentazione designate in ciascuno Stato.
La normativa si rivolge alle entità finanziarie (come banche, assicurazioni, società di investimento, istituti di credito, operatori di criptovalute, ecc.) e ai loro fornitori critici di terze parti che forniscono servizi di Information and Communication Technology.
A questi, infatti, è richiesto di adeguarsi ai nuovi requisiti normativi, dimostrando in modo misurabile la propria resilienza operativa e garantendo la sicurezza dei sistemi, attraverso monitoraggio costante, test periodici e attività di gestione del rischio.
Normativa DORA: quali sono gli obiettivi
La normativa DORA si pone, dunque, due principali obiettivi:
-
definire un framework per la gestione del rischio ICT nel settore Finance.
-
uniformare la gestione della resilienza operativa delle realtà finanziare su tutto il territorio UE, finora soggetto a leggi e regolamentazioni diverse in ciascuno Stato.
L’applicazione del regolamento da parte delle entità finanziarie garantirà, inoltre, una maggior tutela dei consumatori.
I 5 pilastri del Digital Operational Resilience Act
Il raggiungimento di tali obiettivi si articola in una serie di punti chiave, dei veri e propri pilasti, che le organizzazioni dovranno mettere in atto e rispettare al fine di essere compliant.
Se ne possono distinguere 5:
Governance. È necessario un maggior allineamento all’interno delle aziende rispetto alla gestione dei rischi ICT: identificazione delle responsabilità, mappatura dei sistemi, identificazione di asset critici e dipendenze, valutazione del rischio e definizione di piani di azione connessi a gravi interruzioni, al fine di garantire business continuity e disaster recovery. Nella Governance rientra anche la formazione connessa alle attività elencate.
Risk Management. L’obiettivo di questo pillar è definire e migliorare norme e regolamenti connessi alla gestione del rischio. Le realtà finanziarie dovranno istituire sistemi volti a identificare, monitorare, gestire, registrare, classificare e segnalare in modo puntuale i rischi connessi all’ambito ICT. L’attività di Risk Management prevede, inoltre, l’implementazione di strumenti e sistemi IT resilienti e di strategie di continuità operativa e recovery.
Incident Management. DORA prevede specifici criteri per la mappatura e la classificazione degli incidenti, allo scopo di definire le soglie di rilevanza. A seconda della gravità dell’incidente, inoltre, potrebbe essere richiesta la segnalazione alle autorità di regolamentazione, ai clienti e ai partner interessati.
Test di Resilienza. Le organizzazioni, nel rispetto del regolamento DORA, dovranno essere sottoposte a test periodici per identificare eventuali punti deboli e definire azioni migliorative in termini di sicurezza. Enti autorizzati saranno preposti all’esecuzione di Penetration Test e Red-Teaming. L’obiettivo di questo pillar è quello di avere un approccio proattivo e non solo reattivo nei confronti del rischio ICT.
Gestione del rischio di fornitori di terze parti. Una delle principali novità della normativa DORA è che si applica anche ai fornitori critici di terze parti e questo impone azioni di adeguamento anche ai fornitori stessi, che dovranno essere pronti a rispondere alle domande dei propri clienti in tema di resilienza operativa e rispettare adempimenti specifici.
Le società finanziarie, dal canto loro, devono assumere un ruolo attivo nella gestione del rischio derivante dai fornitori IT, in particolar modo nel caso dell’esternalizzazione di funzioni critiche. Ciò implica anche la negoziazione di accordi specifici su strategie di uscita, audit e obiettivi prestazionali al fine di garantire accessibilità, integrità e sicurezza dei dati.
Ai Pillar in elenco si aggiunge, poi il Knowledge Sharing. Il regolamento DORA, infatti, incoraggia la comunicazione e la cooperazione tra le entità finanziarie all’interno della Comunità Europea, attraverso accordi volontari per lo scambio di informazioni e dati di threat intelligence. È importante tenere a mente, però, che tali informazioni devono, in ogni caso, essere protette dalle relative policy e normative. Il trattamento dei dati personali, ad esempio, deve essere eseguito nel rispetto del GDPR.
Prepararsi al DORA: cosa possono fare le aziende
Le aziende dovrebbero affrettarsi e sfruttare i prossimi mesi per adeguarsi alla nuova normativa e avvicinarsi ai pillar, sviluppando o modificando i processi relativi alla segnalazione degli incidenti.
Al fine di rispettare gli obblighi più stringenti, le imprese del settore finanziario dovranno portare avanti 4 attività principali:
- Analisi delle lacune e dei punti di debolezza nel proprio framework di Risk Management, al fine di individuare i passi necessari a raggiungere la situazione ottimale.
- Adottare policy, processi, procedure e soluzioni tecnologiche per elevare il proprio livello di sicurezza allineandolo ai requisiti della normativa
- Revisione delle modalità di Incident Reporting, in modo da verificare le capacità interne connesse alla realizzazione di reportistica e alla segnalazione degli incident. Queste dovranno, poi, essere adeguate a quanto previsto dalla nuova normativa.
- Assessment dei fornitori critici e rinegoziazione dei contratti. Questo permetterà di identificare i fornitori terzi di servizi ICT e di valutarne criticità e vulnerabilità, azione indispensabile sia per pianificare strategie di contenimento del rischio sia per rinegoziare gli accordi alla luce di quanto previsto dal DORA.
Una presa di coscienza delle proprie lacune e vulnerabilità, così come dei processi virtuosi già in essere sarà fondamentale non solo per arrivare preparati alla deadline del 17 gennaio 2025, ma anche al fine di migliorare processi di Governance interni. Governance e Compliance sono, infatti, strettamente legate e costituiscono il punto di partenza per l’adozione e il rispetto di qualunque tipo di protocollo o regolamento. DORA è, infatti, soltanto uno degli ultimi, importanti cambiamenti ai quali dovrà adeguarsi il settore Finance, insieme alla direttiva NIS2, ma la velocità di innovazione e sviluppo tecnologico del settore lascia presagire che non sarà certo l’unico.
