Il nuovo regolamento europeo DORA (Digital Operational Resilience Act) è entrato in vigore all'inizio di quest'anno, con l'applicazione da parte di tutti gli Stati membri il 17 gennaio 2025. Entro questa data, i player finanziari, e i relativi fornitori di servizi IT, dovranno far fronte a nuovi obblighi. Organizzato in cinque pillars e progettato per promuovere la resilienza digitale e il sistema finanziario nel suo complesso, il regolamento DORA si pone come prossimo obiettivo per il quale è necessario agire rapidamente già da oggi.
Nel 2008, il mondo è stato scosso da una crisi finanziaria di dimensioni senza precedenti, superando di gran lunga eventi del passato come il famigerato Giovedì Nero del 1929. Il sistema finanziario globale, intrecciato attraverso intricate connessioni e dominato da attori di numerosi mercati, ha ceduto ad un effetto domino in cui il crollo di un'istituzione ha rapidamente innescato la caduta di tante altre parti. Oggi, il mondo iper-digitale connesso delle istituzioni finanziarie rappresenta una minaccia ancora maggiore: se il sistema informativo di un attore chiave dovesse vacillare, il collasso del sistema potrebbe essere quasi istantaneo e di dimensioni senza precedenti.
In questo contesto, il Digital Operational Resilience Act (DORA) mira a garantire la resilienza delle istituzioni finanziarie e delle loro terze parti. DORA è un nuovo regolamento UE che impone alle aziende e alle organizzazioni del settore finanziario di gestire tutte le componenti della resilienza operativa: capacità di proteggere, rilevare, contenere, recuperare e riparare gli incidenti ICT.
In totale, non meno di 22.000 organizzazioni saranno interessate da questo regolamento.
Per adempiere agli obblighi previsti dal DORA, le istituzioni finanziarie, e le loro terzi parti, devono attuare e documentare una serie di misure relative alle loro tecnologie dell'informazione e della comunicazione (ICT) che possono essere suddivise in 4 temi principali. Entro il 17 gennaio 2025, queste 22.000 aziende dovranno garantire che tutti gli adempimenti necessari siano in atto per soddisfare i loro obblighi ai sensi delle presenti linee guida.
1 - Istituire un sistema di gestione del rischio ICT (pillar 1)
Il primo pillar del regolamento DORA è il più importante: serve come fondamento da cui derivano tutti gli altri elementi. È anche uno dei più complessi, in quanto richiede un approccio olistico basato su una conoscenza dettagliata dell'azienda, delle sue operazioni e dei suoi processi (soprattutto i più critici) e ancor di più della sua architettura tecnologica (sistemi e applicazioni che supportano questi processi).
Una volta che questo sistema di gestione del rischio è in vigore, il DORA impone un obbligo di controllo, che può essere effettuato in modo continuo o a frequenze predefinite. Questi controlli altamente dettagliati coprono gli aspetti aziendali e procedurali, così come lo strato tecnologico - fino alla più piccola applicazione coinvolta in un processo critico. Sebbene diversi istituti finanziari dispongano già di tali controlli, va notato che i controlli informatici specifici per il DORA saranno necessari per garantire la piena conformità con questo nuovo regolamento.
In generale, ci sarà una maggiore necessità di una più stretta collaborazione tra i team di rischio e controllo e il reparto IT.
2 - Identificare e controllare le parti terzi (pillar 5)
Riconoscendo la crescente complessità dei sistemi di informazione finanziaria e la moltitudine di entità, applicazioni e infrastrutture, l'autorità di regolamentazione europea ha ampliato la portata degli obblighi di avvertimento ai servizi di terze parti integrati in queste architetture. Ciò comprende non solo i partner commerciali, che sono intrinsecamente soggetti alla DORA, ma anche tutti i partner tecnologici.
Gli editori di applicazioni, i fornitori di cloud e altri Managed Services Provider (MSP) saranno interessati dal nuovo regolamento europeo. In particolare, per quanto riguarda i termini del Service Level Agreement (SLA) e la sicurezza che forniscono. Inoltre, sarà fondamentale stabilire piani di emergenza per sostituire terze parti in caso di problema del sistema o violazioni della sicurezza.
La concentrazione dei servizi in un unico fornitore di terze parti può costituire un grande rischio: cosa succede se il principale (o ancora peggio il solo) fornitore di servizi cloud viene attaccato? Per questo motivo, può essere utile per le istituzioni finanziarie sviluppare una strategia multi-vendor per limitare i rischi (e danni) in caso di un attacco o un fallimento di una terza parte chiave.
3 - Verificare regolarmente le capacità di continuità (pillar 3)
La consapevolezza del rischio nel settore finanziario non è una novità. La continuità aziendale e la minaccia di un effetto domino hanno portato la maggior parte delle istituzioni a costruire piani di emergenza per i loro processi chiave. Queste sono soluzioni utili, se non vitali, a condizione che siano regolarmente testate per garantire che continuino a funzionare correttamente quando le situazioni peggiorano.
Le funzionalità di sicurezza informatica devono essere costantemente testate e aggiornate per contrastare le minacce IT in continua evoluzione. La sicurezza informatica richiede test e aggiornamenti continui in questa ricerca incessante di proteggere dati sensibili e risorse digitali. Per le istituzioni finanziarie, l'imperativo consiste nello stabilire un piano di investimento in corso e promuovere una reale agilità per sostenere sistemi di sicurezza informatica all'avanguardia e proteggersi dai malware più recenti e sofisticati.
4 - Segnalare e condividere gli incidenti (pillar 2 e 4)
Infine, il DORA - analogamente al regolamento GDPR istituito qualche anno fa - impone un nuovo obbligo per i partecipanti del settore finanziario: mantenere un registro completo degli incidenti che funzioni da percorso affidabile in caso di controllo normativo. Ma non solo, in caso di incidente grave, questo registro servirà come prova che le azioni preventive siano state attuate in modo proattivo per garantire la resistenza dell'IS e la resilienza operativa complessiva.
Allo stesso tempo, gli incidenti gravi devono essere segnalati alle autorità di vigilanza. Oltre all'identificazione di potenziali rischi di propagazione, l'obiettivo principale è quello di costruire una base di conoscenze di attacchi informatici, atti dannosi e minacce. Questa base di conoscenze può quindi essere condivisa con gli operatori del settore per identificare le migliori pratiche che possano essere implementate per limitare l'impatto di tali minacce.
Questa condivisione delle conoscenze, chiara e di facile comprensione, si applica anche internamente, stabilendo un quadro di comunicazione che può essere compreso dalla maggior parte dei dipendenti. È importante riconoscere che la resilienza operativa riguarda tutti. Questo vale per i principali stakeholder come l’Executive Management, il dipartimento Rischi (spesso unito al Dipartimento di Business Continuity), il dipartimento Sicurezza dei Sistemi Informativi e il dipartimento Acquisti.
Sebbene la resilienza operativa e la sicurezza informatica rimangano essenzialmente dei concetti tecnici, le conseguenze di un incidente si estendono ben oltre i confini dell'azienda, a causa del potenziale effetto a catena. La resilienza dei sistemi informativi e la resilienza aziendale complessiva sono emerse come preoccupazioni altamente strategiche che ora trovano la loro strada nelle discussioni del comitato esecutivo - ancora di più dal momento che, nonostante la natura tecnica del soggetto, i dirigenti possono essere ritenuti penalmente responsabili.
Quindi, meglio prevenire che curare, e prepariamoci per la scadenza posta a gennaio 2025.
