Il Regolamento DORA: test di resilienza operativa digitale

Cosa richiede il DORA in materia di test di resilienza? 

A) Test Periodici e Sistematici

L'intermediario deve condurre test regolari di resilienza operativa, che includono:

• Business continuity e disaster recovery testing: verificare che i piani di continuità operativa garantiscano la prosecuzione delle attività fino al ripristino delle operazioni essenziali
• Penetration testing: effettuare test di sicurezza per identificare vulnerabilità potenzialmente sfruttabili
• End-to-end testing: verificare il corretto funzionamento di interi processi e flussi operativi

B) Simulazioni e scenari di stress

I test non devono essere generici, ma basati su scenari realistici di perturbazione delle attività rilevanti per l'intermediario, come:

• perdita di connettività con fornitori ICT che supportano servizi essenziali,
• indisponibilità prolungata di servizi cloud,
• attacchi DDoS,
• compromissione di credenziali amministrative,
• guasto di infrastruttura critica.

C) Audit Periodici

Oltre ai test specifici, DORA richiede audit regolari sulla resilienza operativa digitale, che includano:

• verifica dell'efficacia dei test eseguiti,
• valutazione dei risultati e identificazione di eventuali lacune o vulnerabilità,
• definizione delle azioni correttive.

D) Documentazione e Reporting

Tutti i test, i risultati e le azioni correttive devono essere documentati e riportati alle funzioni di governance.​

Sfide operative nell'implementazione

1. Rischi del testing: una sfida paradossale è che i test di resilienza potrebbero introdurre criticità, se non condotti correttamente. È fondamentale un’attenta pianificazione e l’isolamento dalle operazioni di produzione.
2. Costi e risorse: eseguire test di resilienza richiede risorse: strumenti adeguati, competenze qualificate e tempo.
3. Affidabilità e aderenza alla realtà: è difficile simulare scenari realistici senza paralizzare effettivamente l'operatività.
4. Coordinamento tra funzioni: i test di resilienza richiedono il coinvolgimento di molteplici team e funzioni (IT, business continuity, risk, audit), non sempre abituati a coordinarsi.
5. Miglioramento continuo: i test generano risultati che richiedono azioni correttive da implementare e verificare. È un processo continuo, non un'attività una tantum.
6.  

Come strutturare una strategia di test DORA-compliant in 8 step

1. Mapping dei sistemi e processi critici: identificare quali sistemi e processi sono critici per la continuità operativa.
2. Definire la frequenza di testing: stabilire con quale frequenza condurre i diversi tipi di test (garantendo una cadenza almeno annuale).
3. Sviluppare scenari realistici: basarsi su scenari e vulnerabilità reali.
4. Implementare tool di testing: utilizzare strumenti che permettano di eseguire test in ambienti isolati.
5. Eseguire i test e ddocumentare i risultati: condurre i test e registrarne gli esiti.
6. Prioritizzare i punti deboli: dare un ordine di priorità alle vulnerabilità emerse durante lo svolgimento dei test.
7. Implementare azioni correttive: definire politiche, procedure e azioni correttive su quanto riscontrato durante i test.
8. Iterare: ripetere i test per verificare che le vulnerabilità siano state risolte.
   
   

Un elemento importante: il ruolo delle terze parti ICT

Gli intermediari si affidano a fornitori ICT per l’erogazione di alcuni servizi considerati critici. DORA richiede che le terze parti siano coinvolte nei test di resilienza, poiché la loro affidabilità è determinante per garantire la continuità operativa dell’organizzazione.​

Nel prossimo articolo, affronteremo proprio questo tema: il quinto pilastro del Regolamento DORA, la gestione delle terze parti ICT.