La Digital Operational Resilience Act (DORA) è una proposta legislativa ancora in fase di elaborazione, volta a migliorare la resilienza contro gli imminenti attacchi informatici nel settore finanziario. È importante notare che questa legge non sostituisce le normative esistenti, ma le integra fornendo un quadro per la gestione del rischio operativo in un ambiente digitale.
L'obiettivo del DORA è garantire che le istituzioni finanziarie siano in grado di resistere agli attacchi informatici implementando le migliori pratiche come la protezione dei dati e la pianificazione della risposta agli incidenti. Ciò significa che le aziende devono disporre di un piano in caso di attacco, in modo da poter mantenere l'operatività e recuperare i danni causati da un attacco.
Vista: Le nuove regole di Deloitte per la conformità al DORA
Cosa significa il Digital Operational Resilience Act (DORA) per la vostra azienda?
Il Digital Operational Resilience Act (DORA) apporterà cambiamenti significativi al modo in cui le società di servizi finanziari gestiscono le loro pratiche di sicurezza dei dati. In base al DORA, tutti gli istituti finanziari devono implementare un programma di cybersecurity che includa politiche, procedure e attività di gestione del rischio. Queste politiche devono essere riviste annualmente da un ente regolatore finanziario terzo che valuterà se sono adeguate o meno in base agli standard del settore.
Gli istituti finanziari devono anche implementare un piano di risposta agli incidenti che descriva come reagire quando si verifica una violazione informatica o quando ci sono indicazioni che potrebbe verificarsi nel prossimo futuro. Questo piano deve includere una strategia per affrontare diversi tipi di attacchi (ad esempio, truffe di phishing), nonché procedure per riprendersi da un attacco.
La DORA delinea alcuni scenari in cui può essere applicabile:
Ad esempio, tutte le organizzazioni che lavorano direttamente con le istituzioni e le società finanziarie in qualità di fornitori di servizi sono soggette al DORA come obbligo e sarebbero direttamente supervisionate da un'autorità di regolamentazione finanziaria.
Questo per determinare se i protocolli e le pratiche di sicurezza del fornitore sono conformi agli standard specificati dal DORA e se sono in grado di fornire un ambiente privo di rischi per la gestione di dati finanziari sensibili.
Le organizzazioni che non lavorano direttamente con alcun istituto finanziario possono scegliere volontariamente di ottenere la conformità alla legge DORA tramite un revisore indipendente.
Per ottenere la conformità al DORA, è importante che le organizzazioni dispongano di un piano di sicurezza e di gestione del rischio ben definito. Questo piano dovrebbe includere misure quali valutazioni periodiche della vulnerabilità, piani di risposta agli incidenti e programmi di formazione dei dipendenti. Una proposta completa che illustri queste misure e la loro attuazione può aiutare le organizzazioni a raggiungere la conformità al DORA e ad affermarsi come fornitori di servizi affidabili nel settore finanziario.
La legge DORA: Condizioni e obiettivi principali
Il Digital Operational Resilience Act (DORA) garantisce la capacità del settore finanziario di operare in modo sicuro e resiliente. La legge prevede i seguenti requisiti principali:
- Le aziende devono disporre di un piano di risposta agli incidenti che includa una descrizione dettagliata di ciò che costituisce un attacco informatico, di come i dipendenti devono reagire e di come le operazioni saranno ripristinate in caso di violazione.
- Le aziende devono mantenere un programma di cybersecurity che includa una valutazione dei rischi posti dai cyberattacchi e un piano d'azione per mitigare tali rischi.
- Le aziende devono mantenere adeguati controlli di sicurezza sulla propria infrastruttura digitale. Questi controlli comprendono crittografia, autenticazione, controlli degli accessi, audit trail, sistemi di monitoraggio, sistemi di gestione degli eventi e piani di risposta agli incidenti.
- Le aziende devono segnalare gli incidenti quando si verificano, in modo che le autorità di regolamentazione possano valutare le loro vulnerabilità e formulare raccomandazioni per migliorare la loro posizione di sicurezza.
- Le aziende devono disporre di un piano per garantire la continuità del servizio durante le eventuali interruzioni.
Un passo avanti verso la conformità DORA con PowerDMARC
Le organizzazioni stanno aumentando la loro posizione di sicurezza a causa della legge DORA, che richiede la sicurezza digitale, di rete e del cloud, nonché la sicurezza della posta elettronica. Poiché l'e-mail è alla base delle comunicazioni odierne e costituisce la piattaforma di comunicazione centrale per la maggior parte delle aziende, la protezione dell'infrastruttura e-mail è fondamentale per ottenere la conformità al DORA.
PowerDMARC è una piattaforma SaaS multi-tenant che protegge i vostri canali e-mail sfruttando una suite di autenticazione e-mail full-stack. Siamo conformi alle norme ISO 27001, SOC Type 2 e GDPR e abbiamo lavorato con successo con diverse organizzazioni finanziarie per proteggere i loro dati e domini e-mail dai rischi di sicurezza.
Noi vi aiutiamo:
- Proteggete le vostre e-mail contro lo spoofing e l'impersonificazione con DMARC
- Difendetevi dalle intercettazioni informatiche e dagli attacchi man-in-the-middle con MTA-STS
- Monitorate i risultati dell'autenticazione delle vostre e-mail e risolvete gli incidenti forensi con Segnalazione DMARC
- Rimanere al di sotto del limite di ricerca dell'SPF per evitare di perdere il controllo con Appiattimento SPF
Contattateci oggi stesso per ottenere la conformità delle vostre e-mail!
- L'FTC segnala che l'e-mail è un mezzo popolare per le truffe di impersonificazione - 16 aprile 2024
- SubdoMailing e l'ascesa del subdomain phishing - 18 marzo 2024
- Guida all'impostazione di Mailchimp DMARC, SPF e DKIM - 26 febbraio 2024