Regolamento DORA - Digital Operational Resilience Act

Il nuovo Regolamento DORA (Digital Operational Resilience Act), pubblicato il 27 dicembre 2022 sulla Gazzetta Ufficiale dell’Unione Europea, ha l’obiettivo di rafforzare e armonizzare a livello europeo i principali requisiti di cybersecurity per le società finanziarie (banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie) ed i loro fornitori di servizi critici.

Regolamento DORA – Digital Operational Resilience Act- per rafforzare e armonizzare a livello europeo i principali requisiti di cybersecurity per le società finanziarie

Il 27 dicembre 2022 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento DORA (Digital Operational Resilience Act), che ha l’obiettivo di rafforzare e armonizzare a livello europeo i principali requisiti di cybersecurity per le società finanziarie (banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie) ed i loro fornitori di servizi critici.

L’esigenza di definire un Regolamento europeo in ambito fintech deriva da una valutazione che possiamo ritenere comune a molti settori: la trasformazione digitale che ha visto coinvolta la maggioranza degli operatori finanziari non è stata accompagnata da un’adeguata consapevolezza e gestione dei rischi ICT a cui il settore è sempre più esposto.

Infatti, la crescita in numero e gravità dei cyberattacchi, il pericolo di conseguenze a livello di sistema sia nazionale che sovranazionale, unito a diverse lacune del quadro normativo esistente, hanno evidenziato l’esigenza di normare in modo uniforme a livello europeo i parametri atti a garantire la “resilienza operativa digitale” nel settore finanziario.

Regolamento DORA: svolta decisiva per tutti gli aspetti di cybersecurity ne settore finanziario

Questa pubblicazione costituisce quindi una svolta decisiva e rilevante per tutti gli aspetti di cybersecurity nel settore finanziario, mirando a garantire che le imprese del settore:

siano in grado di gestire in modo adeguato i rischi derivanti dall’uso dell’ICT;
dispongano di un sistema di gestione degli incidenti ICT completo ed efficiente;
verifichino la propria resilienza operativa digitale
gestiscano in modo adeguato i rischi introdotti dalla presenza sempre più rilevante di terze parti che operano nel mondo ICT;
condividano con la comunità finanziaria digitale le informazioni relative alle minacce cyber e alle vulnerabilità rilevate.

Il Regolamento DORA è entrato in vigore in tutta l’Unione Europea il 17 gennaio 2023, mentre sarà pienamente applicabile dal 17 gennaio 2025; le società a cui il Regolamento è destinato hanno quindi circa due anni di tempo per adeguarsi alle numerose novità. Sebbene la tempistica possa sembrare lunga, in organizzazioni complesse può apparire decisamente limitata.

Per le istituzioni finanziarie, i capitoli più rilevanti sono quattro, che possiamo considerare i pilastri principali del regolamento. Senza voler effettuare una disanima degli articoli che li compongono, possiamo riassumere i numerosi obblighi introdotti dal Regolamento nei seguenti punti principali:

governance e organizzazione interna il cui scopo è definire un quadro di controllo per la gestione efficace e prudente dei rischi ICT. Ruolo fondamentale viene giocato dall’”Organo di Gestione” dell’ente, che avrà il compito di approvare ed applicare le disposizioni contenute nel quadro suddetto avendo piena responsabilità
adozione di un piano per la gestione dei rischi informatici, che richiede sostanzialmente di creare un Framework per la gestione del rischio ICT e di definire una strategia di resilienza digitale (i.e. business continuity e disaster recovery)
gestione degli incidenti connessi alle ICT attuando un processo di monitoraggio, registrazione e gestione costante degli incidenti connessi alle tecnologie ICT, al fine di notificarli alle autorità competenti. La gestione deve essere definita in base alla priorità, gravità e criticità dei servizi colpiti, con l’evidente intendo di attenuarne l’impatto e garantire il ripristino tempestivo dell’operatività e la sicurezza dei servizi;
test di resilienza operativa digitale, al fine di accrescere la consapevolezza da parte delle autorità di vigilanza dei rischi informatici e degli incidenti cui sono esposte le entità finanziarie. Le entità finanziarie dovranno eseguire una serie di test periodici, anche al fine di identificare punti deboli, carenze o lacune, nonché verificare la capacità di attuare tempestivamente misure correttive, con un’applicazione proporzionata alle proprie dimensioni e del profilo commerciale e di rischio;
sistema di gestione dei rischi informatici derivanti da terzi. In particolare, in tale adempimento rientrano l’identificazione, la classificazione e la documentazione di tutti i processi dipendenti da fornitori terzi di servizi legati alle tecnologie ICT. Inoltre, si richiede l’imposizione di diversi obblighi contrattuali, al fine di garantire un adeguato monitoraggio delle attività svolte da parte dei fornitori che svolgono una funzione critica per l’attività svolta da parte dell’ente finanziario;
definizione di protocolli di condivisione delle informazioni, tramite l’istituzione di accordi fra le entità finanziarie per lo scambio di informazioni e dati sulle minacce informatiche.

Come si evince da questo breve sunto, il rispetto del regolamento può risultare oneroso soprattutto per realtà medio piccole; è quindi importante sottolineare che, per l’applicazione dei requisiti sopra riportati, il Regolamento si rifà al principio di proporzionalità rimettendo (come già accade ad esempio per il GDPR) al singolo soggetto, l’onere di valutare e dimostrare il corretto livello dei requisiti che devono essere implementati.

È anche importante sottolineare che questo nuovo impianto normativo si innesta in un contesto già denso di norme nazionali ed europee in tema di cybersecurity, che hanno parziali sovrapposizioni con le tematiche qui trattate. È inoltre probabile che diverse organizzazioni dovranno gestire in contemporanea le attività necessarie a conformarsi con gli obblighi di cui alla Direttiva NIS, al Regolamento DORA e al Cyber Resilience Act, per citare i più rilevanti.

Il nostro approccio

Il nostro approccio al processo di compliance al Regolamento DORA prevede la predisposizione di un piano di adeguamento personalizzato e definito in base al livello di implementazione delle attività previste dal regolamento stesso.

La valutazione viene svolta mediante una gap analysis rispetto a quanto già operativo in azienda: solo al termine di tale attività sarà possibile effettuare una valutazione dell’impatto delle nuove regole previste dal Regolamento DORA.

Tale gap analysis prevede le seguenti valutazioni:

Aspetti organizzativi.
Framework di risk management.
Processo di gestione e reporting degli incidenti.
Processo di gestione della continuità operativa.
Fornitori critici di servizi ICT.
Rischi introdotti dai terzi.
Processo di controllo e monitoraggio.

Per ogni ambito della gap analysis si valuta:

Il livello di compliance riscontrato.
Il gap da colmare.
Le azioni da intraprendere sul breve e medio periodo per colmare il gap.

Conclusioni

In considerazione delle prescrizioni della norma e dei potenziali impatti che la stessa avrà, è opportuno che le aziende non indulgano ulteriormente ad intraprendere il percorso di compliance: due anni sembrano un tempo lungo ma per realtà complesse potrebbe essere addirittura non sufficiente.

In Innovery, il nostro team di esperti è pronto a fornire supporto e consulenza in tutte le fasi del processo di compliance. Se vuoi maggiori informazioni, contattaci!

Simona Costa

Senior Security Advisor,Innovery

Cookie	Durata	Descrizione
__cf_bm	1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Durata	Descrizione
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Durata	Descrizione
rl_anonymous_id	never	RudderStack set this cookie to store statistical data of users' behaviour on the website, which can be used for internal analytics by the website operator.
rl_group_id	never	RudderStack sets this cookie to collect user activity on the web.
rl_group_trait	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_page_init_referrer	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_page_init_referring_domain	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_trait	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_user_id	never	RudderStack set this cookie to store a unique user ID for the Marketing/Tracking purpose.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
cf_clearance	1 year	Description is currently not available.
ww_d	50 years	No description available.
ww_l	50 years	Description is currently not available.
ww_p	50 years	No description available.
ww_s	1 hour	No description available.