Cos'è il Regolamento DORA?
DORA è un Regolamento dell'Unione Europea volto ad armonizzare le normative sulla gestione dei rischi informatici, garantendo che le entità finanziarie siano in grado di gestire i rischi legati alle tecnologie digitali, affrontare i disservizi operativi e proteggere al contempo i dati sensibili dei clienti. Tale approccio, inoltre, promuove e rafforza anche la fiducia e la stabilità nel panorama finanziario europeo, sempre più esposto a minacce sofisticate.
In vigore dal 17 gennaio 2025, il Regolamento interesserà tutte le istituzioni finanziarie che operano nell’UE, tra cui banche, assicurazioni, istituiti di credito, società di investimento, gestori di fondi, piattaforme di crowdfunding, nonché fornitori di servizi ICT, come cloud service provider, managed service provider, system integrator, software vendor e altro ancora.
L’obiettivo principale è costruire una struttura normativa uniforme per la sicurezza dei sistemi informatici e di rete che includa:
- Gestione del rischio ICT: Implementazione di procedure per identificare, gestire e mitigare i rischi informatici.
- Test di resilienza operativa: Verifiche regolari sulla capacità di fronteggiare interruzioni e attacchi cyber.
- Monitoraggio dei fornitori terzi: Regolamentazione stringente per la gestione dei rischi derivanti da accordi contrattuali con fornitori terzi di servizi ICT.
- Condivisione delle informazioni: Promozione della collaborazione tra istituzioni finanziarie per risposte coordinate alle minacce cyber.
I pilastri fondamentali di DORA
Il Regolamento DORA si basa su sei pilastri fondamentali:
- ICT Governance: Allineamento delle strategie di gestione dei rischi ICT da parte delle entità finanziarie.
- Risk Management: Sviluppo di una strategia per la gestione dei rischi informatici che sia integrata nei sistemi di risk management complessivi. Questo include azioni rapide, efficienti e complete per proteggere i sistemi aziendali e garantire un alto livello di resilienza operativa digitale.
- Gestione e segnalazione degli incidenti informatici: Definizione di procedure strutturate per registrare, monitorare, documentare gli incidenti e minacce informatiche, nonché la relativa segnalazione alle autorità competenti.
- Test di resilienza operativa digitale: Svolgimento periodico e regolare di test, tra cui vulnerabilità, analisi di sicurezza della rete, e penetration test, al fine di valutare la preparazione a identificare e gestire incidenti legati all’ICT e definire eventuali misure correttive.
- Gestione dei rischi derivanti da fornitori terzi: Nei contratti con fornitori ICT esterni, le istituzioni devono includere clausole che garantiscano l’accessibilità, la disponibilità, l’integrità e la sicurezza dei dati, oltre a prevedere diritti di recesso chiari.
Perché DORA è cruciale per il settore finanziario?
Il settore finanziario è uno dei principali bersagli per gli attacchi cyber. L’implementazione del Regolamento DORA, non è solo un obbligo normativo, rappresenta anche l’opportunità per il business di potenziare il risk management e rafforzare il proprio ecosistema investendo in tecnologie avanzate di sicurezza, in una governance della sicurezza informatica, e in programmi di formazione continua per il personale, mirati a migliorare le competenze in materia di cybersecurity e gestione dei rischi ICT.
- Crescente complessità delle minacce cyber - DORA impone requisiti chiari per mitigare questi rischi, come la necessità di test di penetrazione avanzati e la definizione di processi di risposta rapida agli incidenti.
- Protezione degli stakeholder - DORA promuove un approccio proattivo alla sicurezza digitale. Garantisce la protezione di dati sensibili, operazioni critiche e la continuità operativa, elementi fondamentali per mantenere la fiducia di clienti e partner.
- Compliance normativa - DORA fornisce un quadro chiaro di obblighi, tra cui la segnalazione tempestiva degli incidenti ICT, l'adozione di controlli rigorosi sui fornitori e la conformità alle linee guida di enti regolatori come la Banca d’Italia, così da per evitare sanzioni significative.
- Gestione dei fornitori terzi - DORA richiede un monitoraggio continuo dei fornitori esterni considerati critici e la stipula di contratti che garantiscano la resilienza operativa lungo tutta la supply chain digitale.
Come prepararsi all'implementazione DORA?
In particolare, le imprese devono focalizzarsi su tre aspetti principali:
- Valutare il proprio livello di conformità attuale, individuando i punti di debolezza: per quanto attiene la propria governance e organizzazione, la capacità di gestire i rischi e gli incidenti informatici, la preparazione allo svolgimento di test di resilienza operativa digitale e la gestione dei rischi informatici derivanti da terzi.
- Allinearsi alle indicazioni del regolamento DORA, intervenendo sulla propria organizzazione e le funzioni interne; introducendo o adattando policy e procedure; dotandosi delle soluzioni tecnologiche necessarie per risultare conformi.
- Svolgere un assesment dei fornitori di servizi ICT, valutandone le criticità e contenendo il rischio, rinegoziare gli accordi contrattuali e sostituire i fornitori non compliant.
Sanzioni per la mancata compliance
Il Regolamento DORA prevede sanzioni significative per le organizzazioni non conformi, tra cui multe giornaliere fino all'1% del fatturato globale medio per un massimo di sei mesi, ordini di cessazione, misure pecuniarie aggiuntive e avvisi pubblici.
Le autorità competenti hanno ampi poteri di vigilanza, indagine e intervento, inclusa la richiesta di documenti, ispezioni, audizioni e l’imposizione di misure correttive. Gli Stati Membri devono inoltre stabilire norme amministrative e penali per garantire la conformità, collaborando con le autorità giudiziarie e notificando alla Commissione Europea eventuali disposizioni o modifiche entro il 2025.
Conclusione
Il DORA non è solo un regolamento, ma un'opportunità per trasformare la gestione della resilienza operativa digitale in un vantaggio competitivo per le entità finanziarie. Per l’intera organizzazione è un quadro normativo indispensabile per proteggere l’integrità delle operazioni finanziarie e garantire la fiducia degli stakeholder.
Prepararsi all’entrata in vigore del DORA significa adottare un approccio integrato che combina tecnologia, governance e persone. La visione degli attori finanziari coinvolti deve quindi andare oltre alla compliance, decidendo si agire e investire in un’ottica di crescita in un panorama digitale sempre più complesso e interconnesso, puntando su trasparenza, responsabilità e innovazione.