La normativa DORA (Digital Operational Resilience Act) introduce una serie di regole e buone pratiche volte a garantire, sul piano cyber, la resilienza operativa del settore finanziario nell'Unione Europea.
Raggiungere la compliance, dunque, non significa semplicemente evitare le sanzioni previste dal
framework in caso di mancata ottemperanza, ma vuol dire prima di ogni altra cosa cogliere l'occasione dell'entrata in vigore della normativa DORA (avvenuta il 16 gennaio 2023, attraverso
la pubblicazione in Gazzetta ufficiale, con valore vincolante a partire dal 17 gennaio 2025) per migliorare l'efficienza, l'efficacia e la sicurezza dei processi critici aziendali.
Normativa DORA: cosa prescrive e quali organizzazioni coinvolge
Prima di enumerare le principali prescrizioni contenute nella normativa DORA, è bene ricordare che parliamo di un corpus rivolto a tutte le imprese che, più o meno indirettamente, compongono la complessa filiera del Finance.
Quindi, oltre naturalmente alle banche tradizionali, già sottoposte in ambito cyber a vincoli piuttosto rigidi (anche se non sempre razionalizzati come nell'impianto della normativa DORA), dobbiamo citare una miriade di operatori fino a oggi restati ai margini delle stringenti direttive di settore: gestori di servizi di pagamento elettronico, provider di servizi di informazione sui conti, società di investimento, gestori di wallet di criptovalute e di portali di interscambio di monete digitali, attori del mondo del trading, agenzie di rating del credito, assicuratori e infine tutti gli intermediari che, a vario titolo, partecipano alla catena del valore del finance, inclusi i fornitori di soluzioni ICT e i cloud provider. Si tratta di circa 20 mila potenziali soggetti interessati a livello europeo.
Normativa DORA, un effetto dirompente anche sul piano organizzativo
Le norme introdotte avranno quindi un effetto dirompente, visto che impongono a una platea così vasta un nuovo approccio alla gestione della resilienza operativa. In particolare, la normativa DORA richiede alle istituzioni finanziarie e ai fornitori di servizi digitali criticamente rilevanti di mettere in atto misure per identificare, valutare, mitigare e gestire i rischi operativi nei loro sistemi digitali. Questo include naturalmente il cybersecurity management, con la richiesta esplicita non solo di adottare misure adeguate per prevenire, resistere e mitigare gli incidenti di sicurezza cibernetica, ma anche di notificare alle autorità competenti eventi significativi, impostando quindi criteri trasparenti per la creazione di reportistica ad hoc.
Per risultare compliant, le istituzioni finanziarie e i fornitori di servizi digitali saranno soggetti a test di resilienza operativa regolari per identificare eventuali debolezze nei loro sistemi digitali e prendere misure correttive, e dovranno definire, in base al principio dell'accountability, ruoli e responsabilità precise all'interno dell'organizzazione.
Questo perché, in generale, la normativa DORA mira a garantire che le istituzioni finanziarie e i loro partner e fornitori di servizi digitali aumentino la resilienza dei propri network e sistemi digitali, in modo da proteggere gli utenti e l'infrastruttura finanziaria dall'impatto negativo degli incidenti operativi e delle minacce cibernetiche.
Le strategie da adottare: tre linee d'azione impattate dalla normativa DORA
Essere conformi alla normativa DORA vorrà dire, in ultima analisi, adottare una serie di strategie e garantire determinati requisiti su tre specifiche linee d'azione.
La prima è quella dell'Assessment & Governance, che prevede tra le altre cose: l’aggiornamento di sistemi, protocolli e strumenti ICT proporzionati alla scala operativa dell’entità finanziaria; la creazione di un organo direttivo per la risk governance; l'istituzione di strategie, policy e soluzioni per proteggere le informazioni e gli asset ICT; l’identificazione e la documentazione di tutte le funzioni aziendali, i ruoli e gli asset supportati dalle tecnologie informatiche e le dipendenze da fornitori di servizi terzi; il monitoraggio costante dei sistemi e degli strumenti digitali per minimizzare i rischi.
La seconda linea d'azione è quella dell'Adattamento. In questo caso bisogna prevedere la creazione di protocolli operativi affidabili per il trasferimento dei dati, la minimizzazione del rischio rispetto a data breach, data loss o accessi non autorizzati. In aggiunta, occorrono regole ad hoc su cui innestare la continuità aziendale per garantire la resilienza di funzioni critiche, rispondendo a incidenti informatici e attivando piani di risposta e recupero, che includono l’attivazione e la documentazione di procedure di backup, da integrare all'interno del più esteso quadro di gestione del rischio ICT. Non possono inoltre mancare le iniziative di sviluppo e formazione del personale sulla cybersicurezza, che dovranno essere condotte in parallelo alla preparazione e all'aggiornamento di piani di crisis management interni ed esterni per comunicare eventuali incidenti o vulnerabilità a clienti, stakeholder e pubblica opinione.
Ultima, ma non per importanza, la Risposta. Ottemperare alla normativa DORA su questo fronte significa dare vita a un piano di gestione degli incidenti con categorizzazione per priorità e gravità, definizione di ruoli e responsabilità. Occorrono poi policy specifiche per la segnalazione degli incidenti alle autorità di vigilanza (e in alcuni casi particolari ai clienti) e bisogna istituire periodici test di resilienza operativa digitale basati sul rischio (vulnerability assessment e penetration test) in modo da migliorare costantemente la reazione dell'organizzazione agli attacchi andati a buon fine.
Essenziale, infine, è monitorare costantemente l'evoluzione dei rischi derivanti da contratti per servizi ICT che supportano funzioni critiche: in quest'ottica, anche nella gestione dei rischi informatici delle terze parti, le minacce vanno sempre considerate proporzionali alla complessità e all’importanza critica dei servizi utilizzati.
Topic: Risk assessment, Risk Governance
Post Correlati
