Regolamento Dora: Tutto quello che devi sapere

A gennaio 2025, il Regolamento Dora entrerà in vigore. I soggetti coinvolti in questo regolamento sono entità finanziarie, i loro fornitori ed imprese che intendono proteggere i propri dati aziendali e fronteggiare le minacce informatiche. 

INDICE

• Che cos’è DORA?
• I 5 Pilastri di Implementazione
• Perché dovresti implementarlo
• Cosa c’entra con il Cloud Computing
• Perché te ne stiamo parlando adesso

Che cos’è Dora?

L’Acronimo Dora sta per Digital Operational Resilience Act, ed è un regolamento dell’Unione Europea (UE) che stabilisce un framework vincolante e completo riguardante la gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell’UE (fonte: IBM). 

All’interno del Regolamento, si stabiliscono le linee guida e gli aspetti tecnici che tutte le aziende finanziarie (e tutti i loro fornitori) devono implementare all’interno dell’infrastruttura IT, entro il 17 gennaio 2025.

 In altre parole, l’obiettivo di DORA è definire i principali parametri in grado di garantire resilienza digitale di tutte le Organizzazioni Finanziarie, in modo da sapere come comportarsi di fronte ad attacchi informatici. Non solo, tale documento è inserito all’interno di un più ampio pacchetto di misure strategico per assicurare che le imprese sappiano tutelarsi in casi di corruzione.

I 5 pilastri di implementazione

Il Regolamento Dora prevede l’implementazione di cinque pilastri ICT all’interno delle Organizzazioni sopra citate: 

1. Gestione del Rischio ICT e governance. L’Alta direzione di ogni azienda finanziaria e compliance avrà la responsabilità di gestire i sistemi ICT aziendali. Il Regolamento, dunque, richiede la definizione di adeguate strategie di gestione del rischio e attribuzione di ruoli e responsabilità ICT, oltre che a monitorare costantemente la gestione complessiva dei rischi, al fine di distribuire adeguatamente il budget e gli investimenti. 
2. Segnalazione degli incidenti. Le istituzioni finanziarie devono avere un sistema di segnalazione degli incidenti legati all'ICT che permette loro di comunicare rapidamente e con precisione eventuali incidenti rilevanti alle autorità competenti. Ciò consente una risposta tempestiva e coordinata.
3. Test di resilienza operativa digitale. DORA richiede che le istituzioni finanziarie dimostrino la loro capacità di operare in modo continuo anche in caso di interruzioni o malfunzionamenti tecnici. Questo include l'obbligo di condurre regolari test e simulazioni per verificare la propria resilienza operativa.
4. Gestione del rischio di terze parti. Il regolamento prevede norme rigorose sulla gestione dei fornitori terzi, specialmente per quanto riguarda i servizi critici, come il cloud computing o i servizi di sicurezza. Le entità finanziarie sono responsabili della gestione dei rischi derivanti dalle loro relazioni con questi fornitori e devono assicurarsi che tali servizi rispettino gli standard di sicurezza e continuità operativa.
5. Condivisione delle informazioni. DORA promuove la collaborazione e la condivisione di informazioni tra le entità finanziarie per migliorare la resilienza collettiva del settore. Ciò include la condivisione di dati sugli attacchi informatici e sulle vulnerabilità comuni, al fine di prevenire rischi sistemici.

Perchè dovresti implementarlo?

1. Per evitare grosse e salate multe di non conformità e non adeguatezza. DORA diventerà obbligatorio per tutte le istituzioni finanziarie nell'Unione Europea e per i loro fornitori di servizi critici. Implementarlo ti permette di essere conforme alle normative europee, evitando potenziali conseguenze legali.
2. Per evitare di incombere a minacce informatiche, ormai all’ordine del giorno. Implementare DORA ti aiuta a rafforzare la sicurezza dei tuoi sistemi ICT, proteggendo la tua azienda da attacchi informatici, interruzioni operative o perdita di dati sensibili. Questo riduce il rischio di interruzioni dannose che potrebbero compromettere la continuità del tuo business.
3. Per essere in grado di gestire le conseguenze di un attacco Cyber, limitando il loro impatto sulla tua azienda. Una maggiore resilienza operativa ti permette di mantenere la tua attività anche in momenti di crisi, riducendo il rischio di perdite finanziarie e di danni alla reputazione.
4. Per limitare i problemi che incombono da fornitori esterni all’azienda. DORA introduce rigorose norme di gestione per i fornitori terzi critici, come i servizi cloud o i provider tecnologici. Implementare questo regolamento ti consente di gestire in modo più efficace i rischi legati ai fornitori esterni, assicurandoti che rispettino gli standard di sicurezza e di continuità operativa richiesti. Ciò protegge la tua azienda da vulnerabilità introdotte da soggetti esterni.
5. Per dimostrare alla concorrenza che tu sei parte di un’azienda attenta e aggiornata, con sistemi robusti per la gestione del rischio informatico. Questo rafforza la fiducia e può aiutarti ad attrarre nuovi affari in un mercato sempre più sensibile alla sicurezza digitale.

Cosa c'entra con il cloud computing?

DORA non è attribuibile soltanto alle compagnie Fintech o Finance come banche, assicurazioni, istituti di credito, gestori di piattaforme di pagamento elettronico. Il collegamento tra il Regolamento DORA e il #cloud risiede nel fatto che molte istituzioni finanziarie si affidano a servizi di terze parti per gestire la propria infrastruttura digitale, come i fornitori di servizi cloud e i system integrator. 

Perciò, DORA richiede che le istituzioni finanziarie assicurino che i loro fornitori di servizi tecnologici critici, tra cui quelli di cloud computing, rispettino gli stessi standard di resilienza operativa e sicurezza. In pratica, i fornitori di servizi cloud che lavorano con istituzioni finanziarie devono dimostrare di avere meccanismi adeguati per gestire rischi operativi, proteggere i dati e mantenere la continuità del servizio.

Perché te ne stiamo parlando proprio adesso? 

Perché sei ancora in tempo per implementare DORA. L'adozione e l'implementazione di questa normativa sono recenti e imminenti. 

Il regolamento è stato presentato per la prima volta nel Dicembre 2022, ma entrerà ufficialmente in vigore a partire da Gennaio 2025.

Quindi, se sei: 

• istituzione finanziaria (Banche, assicurazioni, società di pagamento, fondi di investimento ecc..)
• Fornitore di servizi ITC (fornitori di servizi Cloud, gestione di dati, sicurezza informatica etc…)
• infrastruttura di mercato (depositi centrali di titoli, sistemi di pagamento ecc..) 
• intermediario finanziario
• ente regolamentato dallo Stato

👉Devi implementare il Regolamento Dora!

Essere in regola con DORA non è solo una questione di conformità normativa, ma anche di #responsabilità #sociale. Mostrare che la tua azienda si impegna per la sicurezza digitale e la resilienza operativa contribuisce a creare fiducia con i clienti e le parti interessate. La sicurezza dei dati e l'affidabilità operativa sono fattori cruciali per la reputazione aziendale in un mondo digitale.

#regolamentoDora #Eetech #consiglia #cloud #innovazione #sicurezza #cambiamento #innovazioneDigitale