Tutto ciò che devi sapere sulla normativa DORA nel settore dei servizi finanziari dell’EU

La normativa DORA (Digital Operational Resilience Act) ha l’obiettivo di consolidare e armonizzare a livello europeo i principali requisiti di sicurezza informatica, focalizzandosi sulla resilienza operativa nel settore finanziario digitale. Questo regolamento si applica a una vasta gamma di entità, tra cui banche, compagnie di assicurazione, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori critici.  Il Regolamento Dora è entrato in vigore il 16 gennaio 2023 e sarà vincolante a partire dal 17 Gennaio 2025.

Cos’è la direttiva DORA?

La normativa DORA si basa sull’art.14 del Trattato sul Funzionamento dell’Unione Europea (TFUE) e si concentra sull’armonizzazione delle linee guida sulla sicurezza informatica nel settore dei servizi finanziari. Il suo obiettivo è creare un ambiente resiliente e sicuro per le istituzioni finanziarie, mitigando i rischi derivanti dalla crescente digitalizzazione e dall’aumento degli attacchi informatici.

Chi è coinvolto?

La normativa DORA si applica a una vasta gamma di entità finanziarie, tra cui gli istituti di credito, di pagamento, imprese di investimento e fornitori di servizi di cripto-asset. Inoltre, i fornitori di servizi ICT critici che forniscono servizi a questa entità devono attenersi alla legge.

Obblighi e requisiti

DORA impone alle istituzioni finanziari di implementare misure di protezione contro i rischi legati all’ICT. Questo include politiche per le patch e gli aggiornamenti, protocolli per l’autenticazione forte e un approccio basato sul rischio per la gestione della rete e dell’infrastruttura. Inoltre, le entità finanziarie devono essere in grado di rilevare, gestire e notificare gli incidenti di sicurezza informatica, con requisiti più severi per i fornitori di TIC critici.

Il regolamento propone 6 pilastri fondamentali che i soggetti interessati dovranno implementare:

ICT Governance: Favorire un migliore allineamento delle strategie di gestione dei rischi ICT attraverso l’attribuzione di responsabilità e ruoli nell’ambito ICT, il monitoraggio dei rischi e l’allocazione di investimenti e formazione.

ICT Risk Management: Migliorare e armonizzare le regole per la gestione del rischio ICT, includendo l’identificazione dei rischi, l’implementazione di misure di protezione, il rilevamento di minacce, la gestione degli incidenti e la continuità operativa.

Gestione degli incidenti: Implementare un sistema di mappatura per classificare gli incidenti ICT e definire le soglie di rilevanza.

Test di Resilienza: Sottoporre le entità finanziarie a test periodici per valutarne il grado di maturità, identificare punti deboli e definire misure correttive.

Rischi Terze Parti: Garantire il rispetto delle norme per monitorare i rischi ICT derivanti da Terze Parti e armonizzare gli elementi essenziali del servizio in tutte le fasi del contratto.

Condivisione delle informazioni: consentire alle organizzazioni finanziarie di scambiare informazioni e dati sulle minacce informatiche per rafforzare la cooperazione.

Implementazione e tempistiche

Le istituzioni finanziarie e i loro fornitori di servizi critici di terze parti hanno un periodo di attuazione di 24 mesi per conformarsi alla normativa DORA. Viene consigliato di eseguire un’analisi delle lacune e implementare le misure necessarie per garantire la conformità.

Conclusioni

La normativa DORA rappresenta un importante passo avanti nella protezione e nella sicurezza del settore dei servizi finanziari dell’EU. I soggetti interessati dovrann impegnarsi ad adeguarsi per garantire un ambiente operativo resiliente e sicuro.

Condividi articolo tramite:
Facebook
WhatsApp
Twitter
LinkedIn
Pinterest