L’evoluzione delle minacce informatiche ha assunto un ruolo cruciale nelle agende di governi e organizzazioni internazionali, spingendo verso una crescente produzione normativa per garantire un ambiente più sicuro e omogeneo. L’Unione Europea, in particolare, ha lavorato a lungo per adottare leggi che proteggano dati, infrastrutture e cittadini, puntando ad armonizzare le regole per chi opera nel mercato europeo e a migliorare la sicurezza delle reti e dei sistemi.
In questo contesto, tra le novità normative più rilevanti prossime all’applicazione vi è senza dubbio il Digital Operational Resilience Act, comunemente conosciuto con l’acronimo DORA.
Cos’è il Regolamento DORA
Il Digital Operational Resilience Act (DORA), approvato come Regolamento Europeo 2022/2554, è stato pubblicato sulla Gazzetta Ufficiale il 27 dicembre 2022 e sarà applicabile dal 17 gennaio 2025. Le aziende coinvolte hanno quindi tempo fino a quella data per conformarsi alle nuove normative sulla gestione del rischio informatico e la resilienza operativa nel settore finanziario.
Il Regolamento mira a migliorare la resilienza digitale delle entità finanziarie, imponendo standard più rigorosi rispetto alle precedenti normative. Le nuove regole riguardano la gestione dei rischi ICT, la classificazione degli incidenti e la comunicazione obbligatoria alle autorità competenti. Queste misure non solo rafforzeranno la sicurezza delle reti finanziarie, ma anche la protezione dei dati e dei servizi.
DORA e NIS2
Il DORA si intreccia con la direttiva NIS2, emanata nel 2022, che amplia il raggio d’azione delle norme di sicurezza informatica già presenti. Sebbene DORA preveda requisiti specifici per le entità finanziarie, rendendolo prevalente rispetto alla NIS2, entrambi i regolamenti condividono l’obiettivo di gestire meglio i rischi informatici e migliorare la risposta agli incidenti.
A chi si rivolge?
Il DORA estende il suo campo di applicazione a una vasta gamma di soggetti, dalle banche tradizionali a nuove realtà come le piattaforme di crowdfunding e gli operatori di criptovalute. Include inoltre fornitori terzi, come quelli di servizi cloud o di analisi dati, i quali potrebbero essere soggetti a vigilanza se ritenuti critici.
Le prescrizioni del Regolamento DORA
Il Regolamento DORA impone alle entità soggette di:
- Stabilire una struttura organizzativa interna con un sistema di governance per la sicurezza informatica, capace di gestire i rischi e applicare adeguate contromisure.
- Pianificare la gestione dei rischi legati a tecnologie e servizi ICT, adottando un framework per garantire la resilienza digitale e la continuità operativa, anche in scenari di crisi.
- Classificare e gestire gli incidenti, compresi quelli legati a fornitori terzi, e pianificare una risposta tempestiva attraverso piani di gestione degli incidenti (IRP).
- Effettuare test periodici di resilienza (TLPT), almeno ogni tre anni, per valutare la sicurezza delle infrastrutture IT.
- Monitorare e gestire i rischi informatici associati ai fornitori terzi, con clausole contrattuali che garantiscano sicurezza e controllo dei servizi forniti.
Obblighi aggiuntivi
Le entità devono:
- Adottare standard di sicurezza riconosciuti come l’ISO/IEC 27001, configurare sistemi e reti secondo le best practice (ad esempio NIST), e documentare le dipendenze critiche.
- Implementare avanzate metodologie di gestione dei rischi, come il threat modeling e la valutazione delle vulnerabilità, e utilizzare strumenti di protezione come firewall e crittografia.
- Prevedere un monitoraggio continuo tramite SIEM e altri sistemi, per rispondere tempestivamente a eventuali incidenti.
Continuità operativa
DORA richiede piani di continuità operativa dettagliati, che includano:
- Business Impact Analysis (BIA) per identificare le funzioni critiche e valutare l’impatto delle interruzioni.
- Sviluppo di piani di recupero, backup dei dati e test periodici per garantirne l’efficacia.
Ruolo dei fornitori ICT
DORA impone anche ai fornitori di servizi ICT di rispondere ai requisiti di sicurezza previsti, con particolare attenzione ai fornitori considerati “critici”, che saranno soggetti a controlli più stringenti.
Conclusioni
L’implementazione del DORA rappresenta una sfida per le entità finanziarie e i loro fornitori, ma garantirà maggiore sicurezza, trasparenza e resilienza nei mercati finanziari europei. Sebbene l’implementazione richieda investimenti significativi, a lungo termine i benefici derivanti da una maggiore affidabilità e protezione supereranno i costi.