Il Regolamento DORA (Digital Operational Resilience Act) rappresenta una delle innovazioni normative più rilevanti introdotte dall’Unione Europea per affrontare le sfide della cybersecurity e della gestione del rischio IT nel settore finanziario. Il suo obiettivo è garantire la resilienza digitale delle entità finanziarie (EF) attraverso un approccio strutturato e completo alla sicurezza operativa.
La data di applicazione obbligatoria di DORA è fissata per il 17 gennaio 2025, segnalando un momento di svolta per tutte le organizzazioni del settore finanziario e i loro fornitori di servizi tecnologici. Ecco un’analisi dettagliata del Regolamento DORA, dei suoi pilastri e delle implicazioni per i professionisti del settore.
Il contesto e l’importanza di DORA
DORA è il culmine di un percorso normativo in cui la UE ha progressivamente innalzato i requisiti di sicurezza informatica per proteggere i dati e le infrastrutture delle istituzioni finanziarie. In un mondo dove le minacce cyber diventano sempre più sofisticate e le infrastrutture finanziarie sempre più digitalizzate, DORA stabilisce un quadro di riferimento unico e vincolante per la cybersecurity, la gestione del rischio IT e la resilienza operativa.
Questa norma non si limita solo alle banche e assicurazioni, ma coinvolge un ecosistema di aziende, inclusi fornitori di servizi IT e provider cloud, assicurando una copertura end-to-end per la resilienza cibernetica.
I cinque pilastri di DORA
Il regolamento si articola attorno a cinque aree principali, ciascuna delle quali definisce misure e processi chiave per rafforzare la resilienza digitale.
1. Gestione del rischio IT
Gli articoli 5-16 stabiliscono linee guida per identificare, categorizzare e gestire i rischi associati alle attività digitali. Le EF devono definire procedure per proteggere le funzioni critiche, formare adeguatamente il personale e monitorare continuamente i sistemi per migliorare la sicurezza. La sfida è creare una cultura aziendale che promuova il miglioramento continuo e l’attenzione alla resilienza operativa.
2. Gestione degli incidenti IT (Incident Response)
Gli articoli 17-23 delineano la necessità di una strategia di risposta agli incidenti IT, con piani dettagliati per affrontare attacchi e incidenti di sicurezza. L’obiettivo è garantire una reazione tempestiva e coordinata che permetta di mitigare rapidamente gli effetti di eventuali attacchi, preservando la continuità operativa e migliorando la preparazione a futuri eventi.
3. Test di resilienza operativa digitale
Gli articoli 24-27 richiedono test di resilienza periodici per valutare la capacità delle EF di resistere a eventi di cyber-attacco o malfunzionamenti di sistema. Questi test permettono di evidenziare vulnerabilità e rafforzare la robustezza delle infrastrutture digitali. Tra le tecniche utilizzate vi sono i penetration test e i test end-to-end, che simulano scenari complessi di attacco per identificare punti deboli e migliorare la resilienza.
4. Gestione del rischio IT di terze parti
La normativa DORA va oltre i confini aziendali e introduce requisiti rigorosi per la gestione del rischio IT delle terze parti, come cloud service provider e system integrator. Gli articoli 28-30 impongono verifiche iniziali e monitoraggio continuo della sicurezza e della resilienza dei fornitori, promuovendo così una supply chain affidabile. In caso di non conformità, le EF devono avere strategie di uscita per evitare interruzioni del servizio.
5. Reporting degli incidenti IT
L’articolo 45 enfatizza la collaborazione tra le EF e le autorità competenti per sviluppare un sistema di segnalazione degli incidenti IT. Questa collaborazione è cruciale per creare una base di conoscenza condivisa e accrescere la consapevolezza delle minacce a livello comunitario, contribuendo alla definizione di misure preventive e migliorando la sicurezza dell’intero ecosistema finanziario.
La Governance della cyber resilienza con DORA
Uno dei meriti principali di DORA è quello di aver creato una governance strutturata per la resilienza operativa digitale. Questo regolamento rappresenta un punto di svolta poiché unifica una normativa frammentata e distribuita, facendo leva sulle precedenti direttive GDPR e NIS2 e sui regolamenti in ambito privacy e sicurezza. DORA, quindi, non solo innalza il livello di protezione ma promuove anche la cyber resilienza come valore aziendale strategico, capace di generare fiducia e di supportare una crescita sostenibile.
Strategie di Compliance al Regolamento DORA
La compliance a DORA è un processo complesso che richiede tre fasi fondamentali:
- Valutazione del livello di conformità attuale – La prima fase implica una valutazione approfondita degli standard di sicurezza attuali. Le EF devono allinearsi agli standard tecnici (RTS e ITS) previsti da DORA e identificare le aree di miglioramento.
- Redazione di un modello di Governance End-to-End – Per ottenere una resilienza digitale ottimale, le EF devono implementare un modello di governance che coinvolga tutte le linee di business. Questo modello deve prevedere una mappatura delle interazioni tra le funzioni aziendali e una struttura di miglioramento continuo che incoraggi la collaborazione e la trasparenza.
- Implementazione di una roadmap operativa – L’ultima fase richiede l’esecuzione di azioni specifiche entro il termine fissato, ovvero il 17 gennaio 2025. Le EF dovranno stabilire priorità tra le misure da implementare e garantire una roadmap che consenta di raggiungere la conformità entro la scadenza, assicurando al contempo una gestione dei costi e delle risorse efficiente.
Le sfide della gestione del rischio cyber con i fornitori
La sicurezza informatica di una EF può essere compromessa dai fornitori di servizi con cui collabora, spesso considerati un anello debole della catena. Le prescrizioni di DORA obbligano a una selezione e monitoraggio attento dei fornitori, con l’implementazione di questionari di sicurezza e test, tra cui valutazioni di vulnerabilità, penetration test e simulazioni di attacco, per garantire che tutti i partner aderiscano agli stessi standard di sicurezza. La regolamentazione, inoltre, introduce il concetto di “monitoraggio continuo”, che implica un processo di verifica costante dei fornitori e dei loro subfornitori per mantenere la resilienza a lungo termine.
Il valore della cyber resilienza oltre la Compliance
Il Regolamento DORA è molto più di un obbligo normativo: rappresenta una vera e propria opportunità per il settore finanziario di adottare un approccio integrato alla cyber resilienza. Le EF possono sfruttare DORA per migliorare la loro sicurezza, ridurre i rischi e rafforzare la fiducia degli stakeholder. Il rispetto del regolamento non solo tutela le aziende dai rischi ma offre anche una struttura robusta che può facilitare la trasformazione digitale del settore finanziario in un’ottica di lungo termine.
