Digital Operational Resilience Act (DORA) Regolamenti UE

Il Digital Operational Resilience Act (DORA) è una regolamentazione storica dell'UE istituita per rafforzare la sicurezza IT e la resilienza operativa delle entità finanziarie in tutta Europa. Entrata in vigore il 16 gennaio 2023, con obbligo di conformità entro il 17 gennaio 2025, DORA è riconosciuta come uno strumento ben fondato ed efficace per la gestione dei rischi digitali nel settore finanziario.

Questa regolamentazione è una risposta dell'Unione Europea alla crescente dipendenza dalle tecnologie dell'informazione e della comunicazione (TIC) nei servizi finanziari e all'aumento delle minacce di attacchi informatici. Pertanto, DORA cerca di affrontare punti critici come regolamenti nazionali frammentati, pratiche inadeguate di gestione dei rischi TIC e una supervisione insufficiente dei fornitori di tecnologia di terze parti. 

In Hideez, ci impegniamo a supportare le istituzioni finanziarie nel soddisfare le normative sulla sicurezza e nell'aumentare la produttività del personale con le nostre soluzioni di autenticazione senza password. Scopriamo insieme le principali considerazioni per aiutarti a raggiungere la piena conformità a DORA!

Comprendere il Digital Operational Resilience Act

DORA è un'iniziativa dell'UE volta a incoraggiare l'innovazione, garantire la stabilità finanziaria e proteggere i consumatori in diversi sistemi finanziari come banche, compagnie di assicurazione, società di investimento e altri. 

La legge stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi, sostenendo i processi aziendali delle entità finanziarie. Una caratteristica notevole di DORA è che è progettata per garantire che le istituzioni finanziarie possano rispondere e riprendersi facilmente sia dalle interruzioni che dalle minacce legate alle TIC. Inoltre, mira a rafforzare la stabilità del sistema finanziario europeo unificando le regole di resilienza digitale nell'UE, riducendo le incongruenze normative.

Chi è interessato da DORA?

DORA si applica a oltre 22.000 entità finanziarie e fornitori di servizi TIC operanti all'interno dell'UE, insieme all'infrastruttura TIC che li supporta al di fuori dell'UE. Ha un impatto su vari sistemi finanziari, tra cui:

• Banche
• Compagnie di assicurazione
• Società di investimento
• Processori di pagamento
• Borse
• Entità di infrastrutture di mercato
• Agenzie di rating creditizio
• Fornitori di servizi di cripto-asset

Inoltre, si estende ai fornitori TIC critici che servono queste istituzioni finanziarie. Di conseguenza, le organizzazioni devono mappare le loro dipendenze critiche dai fornitori TIC di terze parti e diversificare i fornitori per evitare una dipendenza eccessiva da un unico o ristretto gruppo di fornitori.

Obiettivi chiave e ambito di applicazione di DORA

Ci sono due obiettivi essenziali della legge. Il primo è affrontare in modo completo la gestione dei rischi TIC nel settore dei servizi finanziari. Include la definizione di standard per la valutazione dei rischi, la segnalazione degli incidenti e i test di resilienza. Il secondo obiettivo è bilanciare le normative sulla gestione dei rischi TIC tra gli Stati membri dell'UE, con l'obiettivo di creare condizioni di parità e ridurre le difficoltà di conformità per i sistemi finanziari che operano in più paesi dell'UE.

Le principali componenti di DORA includono:

• Gestione dei rischi TIC
• Segnalazione degli incidenti
• Test di resilienza operativa digitale
• Gestione dei rischi di terze parti
• Quadro di supervisione per i fornitori di servizi TIC critici

Quadro di gestione dei rischi TIC secondo DORA

DORA richiede che le entità finanziarie stabiliscano un quadro di gestione dei rischi TIC solido, completo e ben documentato. Questo quadro è considerato un elemento fondamentale del sistema di gestione dei rischi complessivo dell'entità e deve consentire di affrontare in modo rapido, efficiente ed efficace qualsiasi rischio potenziale. I cinque principali componenti di questo quadro sono:

1. Identificazione e valutazione dei rischi: le entità devono valutare e documentare regolarmente i rischi TIC, compresi quelli derivanti dalle dipendenze di terze parti.
2. Misure di protezione e prevenzione: implementazione di strategie, politiche e strumenti di sicurezza per proteggere i sistemi e i dati, come soluzioni di accesso senza password per mitigare i rischi associati a phishing e incidenti legati alle password.
3. Meccanismi di rilevamento: utilizzo di processi e tecnologie per identificare rapidamente anomalie e potenziali incidenti di sicurezza.
4. Pianificazione di risposta e recupero: sviluppo e mantenimento di piani di continuità aziendale e procedure di ripristino in caso di disastri.
5. Apprendimento e miglioramento: miglioramento continuo del quadro basato sulle lezioni apprese dagli incidenti e dai test.

È inoltre importante menzionare che DORA richiede l'assegnazione della responsabilità per la gestione e la supervisione dei rischi TIC a una funzione di controllo con un livello di indipendenza appropriato. Questo sottolinea la necessità di una chiara responsabilità e governance nella gestione dei rischi digitali.

Requisiti di segnalazione e gestione degli incidenti

Un aspetto chiave di DORA è il focus sulla segnalazione e gestione degli incidenti. È obbligatorio per le entità finanziarie definire ed eseguire un processo di gestione per monitorare e classificare qualsiasi incidente legato alle TIC. La regolamentazione introduce tre obblighi di segnalazione per incidenti significativi:

Primo, la notifica iniziale. Deve essere presentata entro un periodo di tempo specificato dopo aver classificato un incidente come significativo. Secondo, il rapporto intermedio, che deve essere fornito quando lo stato dell'incidente originale cambia in modo significativo. Terzo, il rapporto finale, presentato una volta completata l'analisi della causa principale e disponibili i dati sull'impatto effettivo.

Inoltre, la legge impone che le entità finanziarie informino i propri clienti senza ritardi indebiti sugli incidenti principali legati alle TIC che influenzano i loro interessi finanziari. Questo approccio rafforza la fiducia e consente ai clienti di adottare misure di protezione appropriate, se necessario, il più rapidamente possibile. 

In aggiunta, DORA incoraggia la segnalazione volontaria di minacce informatiche significative, promuovendo un approccio collaborativo alla sicurezza informatica nel settore finanziario.

Test di resilienza operativa digitale

Per garantire l'efficacia dei quadri di gestione dei rischi TIC, DORA richiede che le entità finanziarie conducano regolarmente test sulla resilienza operativa digitale. Le fasi obbligatorie sono:

1. Valutazioni e scansioni delle vulnerabilità: valutazioni regolari per identificare potenziali punti deboli nei sistemi e nelle applicazioni.
2. Valutazioni della sicurezza di rete e infrastrutture: test per assicurare la solidità delle protezioni di rete.
3. Test di sicurezza delle applicazioni: valutazioni delle applicazioni software utilizzate in funzioni aziendali critiche.
4. Test basati su scenari: simulazioni di diversi scenari di attacco informatico per valutare le capacità di risposta.
5. Test di penetrazione guidati dalle minacce: test avanzati per le entità considerate critiche per il sistema finanziario, da condurre almeno ogni tre anni.

I risultati devono essere documentati e riportati ai livelli superiori dell'organizzazione. Sulla base di questi risultati, deve essere sviluppata una strategia per affrontare i punti deboli insieme ai dati raccolti. Questo approccio di test completo mira a migliorare continuamente la resilienza delle entità finanziarie contro le minacce informatiche in evoluzione. 

Gestione dei rischi di terze parti e supervisione

Riconoscendo il ruolo cruciale dei fornitori di servizi TIC nel settore finanziario, DORA introduce requisiti severi per la gestione dei rischi di terze parti. Gli aspetti centrali sono:

1. Dovuta diligenza nella selezione: le entità finanziarie devono valutare attentamente i fornitori di servizi TIC potenziali prima di stipulare accordi contrattuali.
2. Clausole contrattuali di salvaguardia: gli accordi con i fornitori TIC devono contenere termini specifici riguardanti la sicurezza, la segnalazione degli incidenti e i diritti di audit.
3. Monitoraggio continuo: valutazione regolare delle prestazioni e delle misure di sicurezza dei fornitori di terze parti.
4. Strategie di uscita: sviluppo di piani completi per passare dai fornitori di terze parti se necessario. 

Inoltre, DORA stabilisce un quadro di supervisione per i fornitori TIC critici di terze parti. Ciò consente alle Autorità di Vigilanza Europee di supervisionare direttamente i fornitori critici e garantire che soddisfino gli standard richiesti per servire il settore finanziario.

Tempistica di implementazione e considerazioni sulla conformità

La tempistica del Digital Operational Resilience Act può essere rappresentata nel seguente modo. 

• 16 gennaio 2023: DORA è entrato in vigore.
• 17 gennaio 2025: Scadenza per le entità finanziarie e i fornitori TIC per ottenere la conformità.

Impatto di DORA sul settore finanziario dell'UE

La corretta implementazione del quadro di conformità di DORA ha effetti significativi sul settore finanziario dell'Unione Europea. Ecco i principali impatti:

1. Maggiore sicurezza informatica: attraverso l'implementazione di diverse pratiche di gestione dei rischi TIC, DORA dovrebbe migliorare notevolmente la postura complessiva di sicurezza informatica delle entità finanziarie.
2. Regolamenti armonizzati: un approccio integrato tra i vari Stati membri renderà più semplice rispettare le normative per le operazioni finanziarie transfrontaliere e garantirà una concorrenza leale. 
3. Migliore gestione dei rischi legati a terze parti: il quadro di supervisione per i fornitori TIC critici aiuterà a ridurre i rischi legati all'outsourcing e ai servizi cloud.
4. Promozione dell'innovazione: un piano chiaro con linee guida normative supporta DORA nell'incoraggiare il settore finanziario ad adottare nuove tecnologie in modo efficace ed efficiente, garantendo solide pratiche di gestione dei rischi.
5. Maggiore fiducia dei consumatori: una resilienza migliorata e una segnalazione chiara degli incidenti possono contribuire a costruire fiducia e sicurezza nei servizi finanziari digitali.

Come Hideez può aiutare con la conformità a DORA

Per le istituzioni finanziarie che si trovano a dover rispettare il Digital Operational Resilience Act, la sicurezza inizia con un'autenticazione robusta. L'articolo 9 della legislazione DORA è chiaro: proteggere l'accesso ai sistemi sensibili è imprescindibile. È la prima linea di difesa contro il phishing, l'accesso non autorizzato e gli incidenti di sicurezza che possono interrompere le operazioni aziendali.

Sebbene l'implementazione dell'autenticazione a più fattori (MFA) sia fondamentale, non tutti i metodi garantiscono lo stesso livello di protezione. Come spiegato nel nostro articolo dettagliato “Come scegliere il metodo MFA più sicuro?,” gli approcci tradizionali come le notifiche push o le password monouso basate su SMS sono vulnerabili agli attacchi di phishing e al SIM-swapping.

Per soddisfare efficacemente i requisiti di DORA, le istituzioni finanziarie dovrebbero adottare soluzioni basate su MFA senza password. Questo approccio avanzato elimina completamente le password, sostituendole con opzioni sicure come la biometria o chiavi di sicurezza fisiche. Inoltre, semplifica l'esperienza dell'utente, eliminando le complicazioni legate alla gestione delle password sul posto di lavoro.

Pronto per provare l'autenticazione senza password? Prenota una demo della soluzione Hideez Workforce Identity o crea un account nel nostro portale cloud per configurare un SSO senza password per i tuoi servizi web gratuitamente. Che tu sia una piccola impresa o una grande organizzazione, i nostri strumenti possono aiutarti a implementare pratiche di autenticazione veramente sicure e a rispettare gli standard di resilienza operativa di DORA.