La normativa DORA (Digital Operational Resilience Act) ha l’obiettivo di consolidare e armonizzare a livello europeo i principali requisiti di sicurezza informatica, focalizzandosi sulla resilienza operativa nel settore finanziario digitale. Questo regolamento si applica a una vasta gamma di entità, tra cui banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori critici. Il Regolamento Dora è entrato in vigore il 16 gennaio 2023 e sarà vincolante a partire dal 17 Gennaio 2025.
Cos’è la direttiva DORA?
La normativa DORA si basa sull’art.14 del Trattato sul Funzionamento dell’Unione Europea (TFUE) e si concentra sull’armonizzazione delle linee guida sulla sicurezza informatica nel settore dei servizi finanziari. Il suo obiettivo è creare un ambiente resiliente e sicuro per le istituzioni finanziarie, mitigando i rischi derivanti dalla crescente digitalizzazione e dall’aumento degli attacchi informatici.
Chi è coinvolto?
La normativa DORA si applica a una vasta gamma di entità finanziarie, tra cui gli istituti di credito, di pagamento, imprese di investimento e fornitori di servizi di cripto-asset. Inoltre, i fornitori di servizi ICT critici che forniscono servizi a questa entità devono attenersi alla legge.
Obblighi e requisiti
DORA impone alle istituzioni finanziari di implementare misure di protezione contro i rischi legati all’ICT. Questo include politiche per le patch e gli aggiornamenti, protocolli per l’autenticazione forte e un approccio basato sul rischio per la gestione della rete e dell’infrastruttura. Inoltre, le entità finanziarie devono essere in grado di rilevare, gestire e notificare gli incidenti di sicurezza informatica, con requisiti più severi per i fornitori di TIC critici.
Il regolamento propone 6 pilastri fondamentali che i soggetti interessati dovranno implementare:
ICT Governance: Favorire un migliore allineamento delle strategie di gestione dei rischi ICT attraverso l’attribuzione di responsabilità e ruoli nell’ambito ICT, il monitoraggio dei rischi e l’allocazione di investimenti e formazione.
ICT Risk Management: Migliorare e armonizzare le regole per la gestione del rischio ICT, includendo l’identificazione dei rischi, l’implementazione di misure di protezione, il rilevamento di minacce, la gestione degli incidenti e la continuità operativa.
Gestione degli incidenti: Implementare un sistema di mappatura per classificare gli incidenti ICT e definire le soglie di rilevanza.
Test di Resilienza: Sottoporre le entità finanziarie a test periodici per valutarne il grado di maturità, identificare punti deboli e definire misure correttive.
Rischi Terze Parti: Garantire il rispetto delle norme per monitorare i rischi ICT derivanti da Terze Parti e armonizzare gli elementi essenziali del servizio in tutte le fasi del contratto.
Condivisione delle informazioni: consentire alle organizzazioni finanziarie di scambiare informazioni e dati sulle minacce informatiche per rafforzare la cooperazione.
Implementazione e tempistiche
Le istituzioni finanziarie e i loro fornitori di servizi critici di terze parti hanno un periodo di attuazione di 24 mesi per conformarsi alla normativa DORA. Viene consigliato di eseguire un’analisi delle lacune e implementare le misure necessarie per garantire la conformità.
Conclusioni
La normativa DORA rappresenta un importante passo avanti nella protezione e nella sicurezza del settore dei servizi finanziari dell’EU. I soggetti interessati dovrann impegnarsi ad adeguarsi per garantire un ambiente operativo resiliente e sicuro.
