Manca poco all’entrata in vigore operativa della nuova compliance DORA ma che cos’è?
La Digital Operational Resilience Act (DORA) è una proposta legislativa ancora in fase di elaborazione, volta a consolidare e aggiornare i requisiti in materia di rischi informatici, riunendo per la prima volta in un unico atto legislativo tutte le disposizioni in materia di rischio digitale nel settore finanziario. L’obiettivo del DORA è garantire che le istituzioni finanziarie siano in grado di resistere agli attacchi informatici implementando le migliori pratiche come la protezione dei dati e la pianificazione della risposta agli incidenti. Ciò significa che le aziende devono disporre di un piano in caso di attacco, in modo da poter mantenere l’operatività e recuperare i danni causati da un attacco.
Che cos’è e come impatterà sugli istituti finanziari?
Con l’introduzione del DORA, le società di servizi finanziari dovranno implementare un programma di cybersecurity che includa politiche, procedure e attività di gestione del rischio. Queste politiche devono essere riviste annualmente da un regolatore finanziario terzo, che valuterà se sono adeguate o meno in base agli standard del settore. Gli istituti finanziari devono anche implementare un piano di risposta agli incidenti che descriva come reagire quando si verifica una violazione informatica o quando ci sono indicazioni che potrebbe verificarsi nel prossimo futuro. Questo piano deve includere una strategia per affrontare diversi tipi di attacchi (ad esempio, truffe di phishing), nonché procedure per riprendersi da un attacco.
A chi si applica?
In questo nuovo scenario legislativo, il Regolamento si applicherà non solo agli operatori finanziari, quindi alle banche, imprese di investimento e assicurazioni, ma a tutte le aziende che lavorano direttamente con tali organizzazioni. Tutte le aziende che lavorano direttamente con le istituzioni e le società finanziarie in qualità di fornitori di servizi sono soggette al DORA come obbligo e sarebbero direttamente supervisionate da un’autorità di regolamentazione finanziaria. Questo per determinare se i protocolli e le pratiche di sicurezza del fornitore sono conformi agli standard specificati dal DORA e se sono in grado di fornire un ambiente privo di rischi per la gestione di dati finanziari sensibili. Per tutte le aziende che non lavorano direttamente con un istituto finanziario possono scegliere volontariamente di ottenere la conformità alla legge DORA tramite un revisore indipendente.
La legge DORA: Condizioni e obiettivi principali
Il Digital Operational Resilience Act (DORA) garantisce la capacità del settore finanziario di operare in modo sicuro e resiliente. La legge prevede i seguenti requisiti principali:
- Le aziende devono disporre di un piano di risposta agli incidenti che includa una descrizione dettagliata di ciò che costituisce un attacco informatico, di come i dipendenti devono reagire e di come le operazioni saranno ripristinate in caso di violazione.
- Le aziende devono mantenere un programma di cybersecurity che includa una valutazione dei rischi posti dai cyberattacchi e un piano d’azione per mitigare tali rischi.
- Le aziende devono mantenere adeguati controlli di sicurezza sulla propria infrastruttura digitale. Questi controlli comprendono crittografia, autenticazione, controlli degli accessi, audit trail, sistemi di monitoraggio, sistemi di gestione degli eventi e piani di risposta agli incidenti.
- Le aziende devono segnalare gli incidenti quando si verificano, in modo che le autorità di regolamentazione possano valutare le loro vulnerabilità e formulare raccomandazioni per migliorare la loro posizione di sicurezza.
- Le aziende devono disporre di un piano per garantire la continuità del servizio durante le eventuali interruzioni.
Come prepararsi
L’applicazione del DORA partirà dal 17 gennaio 2025, ma il quadro giuridico dovrà essere completato da standard tecnici regolatori che dovranno essere sviluppati dalle Autorità competenti saranno finalizzati al più tardi a inizio 2024. Pertanto, sarà fondamentale per tutte le realtà coinvolte adottare un approccio proattivo e consapevole, attraverso lo svolgimento di attività preparatorie che consentano di determinare l’effettivo impatto del Regolamento DORA sulla propria organizzazione e di non trovarsi quindi impreparate al momento della sua applicazione.
Per questo, WSS mette a disposizione i suoi esperti con più di vent’anni di esperienza nel settore bancario e assicurativo per costruire insieme un piano di cybersecurity a prova di DORA. Scopri le nostre soluzioni di Security & Complince e scrivici a info@wssitalia.it per richiedere il tuo Security Scan gratuito, il tool di PowerTech che in soli dieci minuti fa un check-up completo sullo stato di sicurezza dei tuoi sistemi.