Gestione incidenti cyber, come adeguarsi ai nuovi standard tecnici DORA

Come cambia la gestione degli incidenti cyber con l'entrata in vigore del Regolamento DORA e cosa devono fare le entità finanziarie – i principali soggetti al centro della nuova normativa – per adeguarsi agli standard tecnici su cui si fondano le linee guida del framework?

Incidenti cyber, cosa prescrive il Regolamento DORA sul fronte della segnalazione

Come ormai dovrebbe essere chiaro a tutti i destinatari del DORA - Digital Operational Resilience Act, l'obiettivo primario è quello di armonizzare e semplificare il regime di segnalazione degli incidenti cyber all'interno dell'Unione europea.

Il Regolamento, in effetti, lascia alle banche e agli istituti finanziari ampio margine di manovra per la scelta e l'implementazione degli strumenti e dei processi che contribuiscono alla costruzione di ecosistemi in grado di fronteggiare le minacce cyber; il framework insiste piuttosto sull'adozione di una serie di requisiti coerenti in materia di gestione, classificazione e comunicazione degli eventi che possono mettere a rischio la continuità operativa delle cosiddette TIC (Tecnologie dell'informazione e della comunicazione).

In particolare, l'articolo 19 del Regolamento DORA, nei paragrafi 1 e 4 prescrive che le entità finanziarie “segnalano gli incidenti rilevanti connessi alle TIC all'autorità competente pertinente”, e specifica che “possono, su base volontaria, notificare alle autorità competenti rilevanti le minacce informatiche significative quando ritengono che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti”.

Ed è in base all'Articolo 20 DORA che le Autorità di vigilanza europee hanno elaborato, tramite il Comitato congiunto e in consultazione con l'ENISA e la BCE, progetti comuni di norme tecniche di regolamentazione (Regulatory Technical Standards, RTS) che – tenendo conto delle dimensioni e del profilo di rischio complessivo delle entità finanziarie, nonché della natura, della portata e della complessità dei loro servizi, delle loro attività e delle loro operazioni – consentano di stabilire:

• il contenuto delle segnalazioni per gli incidenti rilevanti connessi alle TIC, in modo da riflettere i criteri di classificazione (numero di clienti interessati, la durata, la diffusione geografica, le perdite di dati e l’impatto economico) enunciati dall'Articolo 18 DORA e incorporare ulteriori elementi, quali i dettagli per stabilire la rilevanza della segnalazione per gli altri Stati membri e se si tratta o meno di un incidente rilevante di tipo operativo o legato a una violazione della sicurezza;
• i termini per la notifica iniziale, il report intermedio e il report finale;
• i contenuti delle notifiche per le minacce informatiche significative.

Come classificare gli incidenti cyber significativi: i 6 criteri espressi dagli RTS

Gli RTS del Regolamento DORA sono stati pubblicati in due tranche, a gennaio e a luglio 2024, e riguardano i criteri e le relative soglie per gli incidenti significativi legati alle TIC, oltre ai dettagli da condividere con le autorità competenti.

In particolare, gli incidenti cyber vanno considerati significativi se i servizi critici sono compromessi e viene identificato un accesso non autorizzato malevolo alla rete e all'Information System, che potrebbe causare perdite di dati. Ma anche se sussistono due delle sei condizioni stabilite dai criteri RTS rispetto ad altrettante aree di rischio:

1. Clienti, transazioni e controparti finanziarie
   Il numero di clienti che hanno utilizzato il servizio coinvolto nell'evento supera la soglia del 10% (o gli utilizzatori sono più di 100mila) e il numero delle controparti finanziarie interessate è oltre il 30%
   2. Perdite di dati
   Qualsiasi impatto sulla disponibilità, autenticità, integrità o riservatezza dei dati, che ha o avrà un impatto negativo sull'attuazione degli obiettivi aziendali dell'entità finanziaria o sul soddisfacimento dei requisiti normativi
   3. Impatto reputazionale
   Qualsiasi impatto sulla reputazione dell'entità finanziaria
   4. Durata e downtime del servizio
   Durata dell'incidente superiore alle 24 ore e tempo di inattività di un servizio TIC che supporta funzioni aziendali essenziali superiore alle due ore
   5. Diffusione geografica
   Impatto su almeno due Stati membri
   6. Impatto economico
   Costi e perdite superiori ai 100mila euro
   
   

In cosa consiste un accesso non autorizzato all'Information System

Il caso tipico è però, come detto, quello delle intrusioni nel sistema informatico: parliamo quindi di accessi a reti di computer o a database senza autorizzazioni o autenticazioni adeguate. Ciò può comportare lo sfruttamento di vulnerabilità, l'uso di credenziali sottratte indebitamente o l'utilizzo di tattiche di social engineering per aggirare le misure di sicurezza.

Si tratta, come evidente, di violazioni che possono portare a gravi conseguenze, tra cui il furto di dati, il danneggiamento del sistema e la compromissione di informazioni sensibili.

In quest'ottica, le organizzazioni devono implementare solidi protocolli di sicurezza e monitorare costantemente i propri sistemi sia per sventare gli accessi non autorizzati sia per proteggere le proprie risorse digitali da errori umani e soggetti malintenzionati.

L'importanza delle attività di reportistica in seguito all'identificazione degli incidenti cyber

Attraverso i suoi RTS, il Regolamento DORA impone alle entità finanziarie anche di comunicare gli incidenti cyber all'autorità competente tramite una notifica iniziale, un report intermedio e un report finale.

Il report finale, in particolare, deve essere trasmesso entro un mese dalla classificazione dell'incidente con una serie di informazioni estremamente dettagliate:

• Data e ora della risoluzione dell'incidente
• Root cause dell'incidente
• Costi diretti e indiretti legati all'evento
• Conformità legali ed eventuali inadempienze contrattuali
• Contromisure per la risoluzione dell'incidente e controlli per la prevenzione di minacce future
• Informazioni utili per le resolution authorities

Particolare rilevanza assume la capacità di fornire in modo corretto una stima armonizzata dei costi e delle perdite derivanti dagli incidenti cyber considerati significativi. Le linee guida del framework indicano tre passaggi fondamentali:

• stima dei costi e delle perdite dei singoli incidenti cyber inclusi nel periodo di riferimento
• valutazione dei costi e delle perdite al netto dei recuperi finanziari
• aggregazione dei costi e delle perdite lorde

per affrontare i quali, è evidente, le entità finanziarie dovranno dotarsi di sistemi di governance evoluti. Parliamo quindi di piattaforme centralizzate in grado di far convergere i dati provenienti da tutti i processi – interni ed esterni all'organizzazione – impattati dagli incidenti cyber, ma anche di strumenti tassonomici che consentano a tutti i soggetti coinvolti di raccogliere e validare in modo univoco e trasparente le informazioni che andranno poi convogliate nelle segnalazioni, nelle comunicazioni e nei report.