Che cos'è Dora? Legge sulla resilienza operativa digitale per i servizi finanziari
di
Ultimo aggiornamento: Tempo di lettura: 4 min
Adottato: novembre 2022
Entrato in vigore: 16 gennaio 2023
Applicabile a partire dal: 17 gennaio 2025 (data di piena conformità)
Il Digital Operational Resilience Act (DORA) è un regolamento vincolante dell'UE volto a rafforzare la resilienza operativa digitale del settore finanziario. Anziché sostituire le normative finanziarie esistenti, il DORA le integra stabilendo un quadro unificato per la gestione dei rischi ICT e operativi tra gli enti finanziari e i loro fornitori di tecnologie critiche.
A partire dal 17 gennaio 2025, tutti gli enti finanziari interessati e i fornitori di servizi ICT terzi operanti all'interno dell'UE dovranno conformarsi ai requisiti del regolamento DORA.
L'obiettivo di DORA è garantire che le organizzazioni siano in grado di prevenire, resistere, rispondere e riprendersi da interruzioni legate alle TIC, compresi gli attacchi informatici, mantenendo al contempo la continuità dei servizi finanziari critici.
Visualizza: le nuove regole di Deloitte per la conformità alla direttiva DORA
I punti chiave da prendere in considerazione
- Il DORA è una normativa UE già in vigore, non una proposta, la cui conformità è obbligatoria a partire dal 17 gennaio 2025.
- Si applica agli enti finanziari dell'UE e ai fornitori di servizi ICT che li supportano.
- DORA si basa su cinque pilastri obbligatori che riguardano i rischi ICT, la gestione degli incidenti, i test e la supervisione di terzi.
- Le organizzazioni devono istituire capacità strutturate di gestione dei rischi ICT e di risposta agli incidenti.
- Gli incidenti ICT gravi devono essere classificati e segnalati entro scadenze normative rigorose.
- La vigilanza sui fornitori terzi di servizi ICT critici (CTPP) è esercitata dalle autorità europee di vigilanza (AEV).
Cosa comporta il Digital Operational Resilience Act (DORA) per la tua azienda?
Il regolamento DORA introduce cambiamenti significativi nel modo in cui gli istituti finanziari gestiscono la resilienza digitale e operativa. Ai sensi del regolamento, le organizzazioni devono implementare un quadro completo di gestione dei rischi ICT che includa politiche, procedure, controlli e meccanismi di governance definiti.
Gli enti finanziari sono tenuti a conservare piani documentati di risposta agli incidenti e di ripristino, che descrivano in dettaglio le modalità di rilevamento, risposta e ripristino in caso di interruzioni delle TIC, inclusi incidenti informatici quali attacchi di phishing, ransomware o interruzioni del servizio.
Inoltre, i fornitori di servizi ICT di terze parti che supportano gli istituti finanziari rientrano nell'ambito di applicazione del DORA e sono soggetti a obblighi contrattuali, di monitoraggio e di gestione del rischio più rigorosi.
Semplificate Dora con PowerDMARC!
Ambito di applicazione e applicabilità della DORA
DORA si applica a:
- Enti finanziari che operano all'interno dell'UE (comprese banche, assicurazioni, società di investimento, fintech e istituti di pagamento)
- Fornitori di servizi ICT di terze parti che supportano tali entità finanziarie
I fornitori di servizi ICT ritenuti critici sono soggetti alla supervisione diretta delle autorità europee di vigilanza (AEV) al fine di garantire che la loro resilienza e i loro controlli dei rischi soddisfino gli standard DORA.
DORA non offre certificazioni volontarie per organizzazioni che non rientrano in questo ambito. Le organizzazioni non finanziarie possono adottare best practice simili, ma non possono essere considerate "conformi a DORA" ai sensi del regolamento.
Requisiti fondamentali ai sensi del DORA
DORA è strutturato attorno a cinque pilastri obbligatori:
Gestione dei rischi ICT
Definizione di governance, politiche, controlli e procedure per la gestione dei rischi ICT
Segnalazione di incidenti relativi alle TIC
Classificazione degli incidenti gravi e obbligo di segnalazione alle autorità di regolamentazione entro termini prestabiliti
(compresa una notifica iniziale entro poche ore, seguita da aggiornamenti e da una relazione finale)
Test di resilienza operativa digitale
Test regolari di sistemi, processi e controlli per identificare le vulnerabilità
Gestione dei rischi di terze parti nel settore ICT
Gestione dei rischi derivanti dai servizi ICT in outsourcing attraverso contratti, monitoraggio e strategie di uscita
Condivisione delle informazioni
Incoraggiare la condivisione volontaria delle informazioni sulle minacce informatiche nel settore finanziario
Queste misure sono state concepite per garantire che sia gli enti finanziari che i loro partner ICT possano operare in modo sicuro anche in caso di gravi interruzioni dei servizi digitali.
Raggiungere la conformità ai sensi della DORA
Per soddisfare i requisiti DORA, le organizzazioni dovrebbero implementare un programma ben definito di gestione dei rischi e della resilienza ICT, che in genere include:
- Valutazioni dei rischi e test di vulnerabilità continui
- Procedure di rilevamento, classificazione e risposta agli incidenti
- Pianificazione della continuità operativa e del ripristino di emergenza
- Programmi di sensibilizzazione e formazione dei dipendenti
- Supervisione dei fornitori e subappaltatori ICT
Un quadro normativo documentato e applicato in modo coerente aiuta le organizzazioni a dimostrare la propria conformità e a instaurare un clima di fiducia all'interno dell'ecosistema finanziario.
La legge DORA: Condizioni e obiettivi principali
DORA mira a garantire che il settore finanziario dell'UE rimanga sicuro, stabile e resiliente di fronte alle crescenti minacce digitali. Le principali aspettative normative includono:
- Un piano di risposta agli incidenti ICT e di ripristino chiaramente definito
- Valutazione continua e mitigazione dei rischi ICT
- Rigorosi controlli di sicurezza su reti, sistemi e infrastrutture
- Segnalazione tempestiva e strutturata dei principali incidenti ICT alle autorità di regolamentazione
- Misure volte a garantire la continuità dei servizi critici durante le interruzioni
Un passo avanti verso la conformità DORA con PowerDMARC
Mentre le organizzazioni rafforzano la loro resilienza digitale in risposta al DORA, la posta elettronica rimane un vettore di attacco critico che deve essere protetto nell'ambito di una più ampia strategia di sicurezza ICT.
Sebbene il DORA non imponga esplicitamente protocolli di autenticazione delle e-mail, richiede alle organizzazioni di proteggere le proprie reti, i propri sistemi e le proprie infrastrutture di comunicazione. L'implementazione di rigorosi controlli di sicurezza delle e-mail è in linea con gli obiettivi più ampi del DORA in materia di riduzione dei rischi e prevenzione degli incidenti.
PowerDMARC è una piattaforma SaaS multi-tenant che aiuta le organizzazioni a rafforzare la sicurezza dei canali di posta elettronica attraverso una suite completa di autenticazione e-mail. Siamo conformi alle norme ISO 27001, SOC 2 Tipo II e GDPR e collaboriamo con organizzazioni finanziarie per ridurre le minacce basate sulla posta elettronica e migliorare la visibilità dei rischi di autenticazione.
Noi vi aiutiamo:
- Protezione contro lo spoofing e l'usurpazione di identità tramite DMARC
- Riduci i rischi derivanti dagli attacchi di downgrade e intercettazione con MTA-STS
- Ottieni visibilità sui risultati dell'autenticazione delle e-mail tramite i report DMARC
- Evita gli errori di ricerca SPF con l'appiattimento automatico SPF
Contattaci oggi stesso per rafforzare la sicurezza della tua posta elettronica nell'ambito di una strategia di gestione dei rischi ICT conforme alla normativa DORA.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.
Ultimi messaggi di Yunes Tarada (vedi tutti)
