• Ultimo aggiornamento

Quali sono i 5 pilastri della normativa DORA?

Quali sono i 5 pilastri della normativa DORA Immagine del banner del blog

Il Digital Operational Resilience Act (DORA) dell’Unione Europea centralizza gli standard di sicurezza digitale per le entità finanziarie nei suoi territori membri. Questi sono esemplificati principalmente dalle iniziative chiave del quadro, note anche come i 5 pilastri del DORA:

  1. Gestione del rischio ICT
  2. Segnalazione di incidenti
  3. Test di resilienza operativa digitale
  4. Gestione del rischio legato a terze parti
  5. Condivisione delle informazioni

La DORA integra la direttiva rafforzata Network and Information Security 2 (NIS2). Tuttavia, a differenza del NIS2, il DORA è un regolamento applicabile simile al Regolamento generale sulla protezione dei dati (GDPR) dell’UE. Se lavori nel settore informatico o finanziario, ecco tutto ciò che devi sapere sui requisiti di cybersecurity della DORA.

I 5 pilastri della normativa DORA

Le istituzioni finanziarie sono note per le loro complesse infrastrutture IT. Queste tecnologie consentono alle organizzazioni di ottimizzare le prestazioni e le misure di sicurezza in modi nuovi, ma richiedono anche soluzioni di gestione del rischio più solide.

Il DORA mira a colmare queste lacune introducendo una serie di requisiti che innalzano il livello degli standard delle tecnologie dell’informazione e della comunicazione (ICT) nel settore finanziario. A conti fatti, la filosofia e la visione di DORA sono racchiuse nei seguenti pilastri:

  1. Gestione del rischio ICT

La gestione del rischio IT è la pietra angolare del framework DORA. Comprende le strategie, i criteri e gli strumenti necessari per proteggere i dati e le risorse da sfide ICT significative.

Questo pilastro garantisce che le istituzioni finanziarie e i vari stakeholder monitorino, valutino e contengano tempestivamente e accuratamente le vulnerabilità legate alle ICT (tecnologie informatiche e di comunicazione). Inoltre, si occupa delle modalità di report e di risposta a tali incidenti. Le società finanziarie e i fornitori di servizi di terze parti ad esse associati devono essere preparati ad affrontare regolarmente audit e valutazioni di sicurezza.

I responsabili IT devono sviluppare un quadro completo di gestione del rischio ICT per soddisfare i requisiti di conformità della DORA. Ciò può significare sfruttare i protocolli esistenti e ridefinire alcuni obiettivi e ruoli nell’organizzazione. Un piano d’azione approfondito dovrebbe essere caratterizzato da un approccio proattivo e coerente alla gestione del rischio.

  1. Reporting di incidenti legati alle ICT

Secondo il DORA, le organizzazioni devono collaborare con le autorità competenti per affrontare gli incidenti più gravi legati alle ICT.

Gli incidenti devono anche essere immediatamente classificati in base al loro impatto e al potenziale di interruzione dei livelli di servizio. Devono inoltre essere segnalati alle autorità competenti attenendosi alle rigide tempistiche di notifica indicate da DORA e ai modelli standard.

Considerata l’importanza del reporting degli incidenti ICT, i responsabili IT dovrebbero cercare di rafforzare le procedure interne di revisione e documentazione. Un modo per raggiungere questo obiettivo è l’automazione.

L’automazione può servire a implementare un piano di gestione del rischio più completo e connesso. Per cominciare, un software di monitoraggio avanzato può aiutare le organizzazioni a prevenire potenziali problemi con il monitoraggio in tempo reale e il rilevamento delle minacce e la risposta. Allo stesso tempo, questo approccio moderno può rafforzare le pratiche di backup e ripristino.

  1. Test di resilienza operativa digitale

Il DORA sostiene inoltre con forza la necessità di testare regolarmente le misure di resilienza digitale. In altre parole, ci si aspetta che le organizzazioni analizzino l’impatto di scenari specifici e di interruzioni significative della loro attività aziendale. In relazione a ciò, alle grandi istituzioni può essere richiesto di seguire protocolli di analisi più completi e frequenti.

Alcune misure proattive che gli operatori IT possono organizzare includono test di sicurezza della rete e varie valutazioni delle vulnerabilità. Dovresti anche organizzare valutazioni periodiche delle minacce per aiutare a identificare le lacune nei processi e a rafforzare gli schemi di sicurezza esistenti e i piani di correzione. Le entità finanziarie devono anche includere terze parti ICT in programmi di formazione sulla resilienza della cybersecurity come parte dei requisiti.

  1. Gestione del rischio ICT di terze parti

Uno dei punti cruciali della normativa DORA riguarda la gestione dei rischi e della conformità di terzi.

Da una prospettiva più ampia, si concretizza la responsabilità estesa delle organizzazioni finanziarie nei territori membri di aderire alle disposizioni e alle leggi dell’UE in materia di ICT.

In base a questa linea guida, le entità finanziarie devono garantire che i contratti con i fornitori terzi di servizi ICT, anche quelli al di fuori dell’UE, definiscano in modo chiaro e accurato gli obblighi e i diritti di entrambe le parti. Devono inoltre monitorare e valutare regolarmente la conformità di terzi.

Le società finanziarie non possono dipendere fortemente da un unico fornitore per le loro funzioni principali e per le infrastrutture IT critiche. Per questo motivo, devono prendere l’iniziativa di diversificare le infrastrutture IT e sviluppare protocolli rigorosi per mantenere la conformità in tutti i settori.

A questo proposito, anche i fornitori di servizi ICT di terze parti per le operazioni principali o cruciali saranno soggetti alla supervisione diretta delle autorità di vigilanza europee (ESA) competenti.

  1. Condivisione di informazioni e intelligence

Le istituzioni sono inoltre incoraggiate a partecipare a iniziative di condivisione delle informazioni per aumentare collettivamente gli standard del settore. Oltre a migliorare il processo di reporting, la documentazione e la collaborazione tra dipartimenti che si occupano di funzioni diverse all’interno dell’azienda, gli operatori ICT dovrebbero sfruttare la collaborazione con le autorità e i fornitori di servizi terzi.

Implicazioni del DORA per le imprese

Il DORA mira principalmente a migliorare la sicurezza informatica e la resilienza operativa nel settore finanziario.

Le aziende che sono al centro di questa iniziativa sono istituti bancari e di credito, società di investimento, compagnie di assicurazione e fornitori di servizi di elaborazione dei pagamenti.

Inoltre, i fornitori di servizi cloud e le società di analisi dei dati che gestiscono servizi essenziali per gli istituti finanziari possono essere classificati come fornitori terzi critici ed essere soggetti a disposizioni e leggi altrettanto rigorose.

Per prepararsi all’implementazione del DORA, le organizzazioni devono comprendere la portata e i requisiti del DORA per loro e per i partner commerciali. Inoltre, potranno trarre vantaggio dalla collaborazione con fornitori di servizi terzi che già osservano le linee guida NIS2, GDPR e DORA.

Per i leader e il personale ICT, la conformità deve essere trattata come un processo piuttosto che come un progetto. I protocolli ICT devono essere continuamente verificati e, se necessario, modificati, soprattutto quando si rendono disponibili nuove informazioni. L’approccio complessivo deve essere continuo nel tempo e tutti i soggetti coinvolti devono essere pronti a collaborare e a ricevere una formazione regolare.

Best practice per ottenere la conformità DORA

Diversifica le infrastrutture IT

Un modo per creare un’infrastruttura IT solida è quello di diversificarla. Ci sono molti modi per mettere in pratica questo approccio, ma la maggior parte delle aziende può innanzitutto considerare la modernizzazione di alcuni componenti e l’automazione IT. Il monitoraggio e la manutenzione da remoto possono fare miracoli per l’efficienza e la sicurezza in tempo reale.

Potenzia i canali interni per la formazione e la collaborazione interfunzionale

Le lacune nell’ICT non riguardano solo il reparto IT. L’azienda ha bisogno di un approccio completo per identificare le vulnerabilità e rafforzare i protocolli. I canali di comunicazione che riguardano diversi reparti e unità aziendali sono importanti per aumentare la consapevolezza e la conformità dell’intera organizzazione.

Collabora con le parti interessate esterne

I 5 pilastri del DORA hanno già sottolineato l’importanza della collaborazione, e qui vogliamo evidenziarlo ulteriormente. La tua organizzazione dovrebbe mantenere la collaborazione con gli enti normativi per ottenere l’interpretazione più accurata e aggiornata del DORA. Allo stesso modo, dovresti chiedere ai fornitori di rispettare gli stessi standard, soprattutto a quelli che si occupano dei settori critici delle tue operazioni. Includi quindi anche gli stakeholder esterni nella formazione su ICT e DORA, quando è possibile.

Implementa il modello GRC nella tua strategia

Il GRC (Governance, Risk and Compliance) può aiutare a posizionare la forza lavoro per raggiungere la conformità DORA in modo collaborativo. In sostanza, il framework GRC rimuove le barriere tradizionali tra le unità aziendali, elimina i processi scollegati e le ridondanze e allinea l’IT agli obiettivi aziendali.

Il quadro GRC può essere particolarmente efficace per soddisfare le normative di settore e governative e per gestire i rischi. Per avere successo, questa iniziativa ha bisogno di un forte sostegno da parte di tutti i settori, in particolare dai responsabili delle decisioni. Anche la ricerca del software giusto per centralizzare le attività GRC può comportare sfide uniche per l’azienda.

Preparare la tua organizzazione alla conformità DORA

Il DORA è relativamente nuovo, ma le sue disposizioni sono per lo più unificate dagli standard di conformità IT esistenti come GDPR e NIS2. Di conseguenza, dovresti sfruttare queste risorse per rafforzare e stabilire quali saranno il tuo piano di gestione del rischio, le componenti IT e i programmi di formazione. Se da un lato le iniziative legate al DORA comportano molte nuove sfide, dall’altro i responsabili della conformità e i professionisti IT dovrebbero cogliere l’opportunità di armonizzare la loro strategia ITC e di spingere i responsabili delle decisioni ad aggiornare le infrastrutture IT con benefici e ramificazioni sia immediati che a lungo termine.

Passi successivi

Per gli MSP, la scelta dell’RMM è fondamentale per il successo aziendale. Lo scopo principale di un RMM è di fornire automazione, efficienza e scalabilità in modo che l’MSP possa crescere con profitto. NinjaOne è stato classificato al primo posto nella categoria degli RMM per più di 3 anni consecutivi grazie alla nostra capacità di offrire agli MSP di ogni dimensione una piattaforma veloce, potente e facile da usare.
Per saperne di più su NinjaOne, fai un tour dal vivo o inizia la tua prova gratuita della piattaforma NinjaOne.
Inizia la tua prova gratuita

Potresti trovare interessante anche

Eccellenza del servizio: il vantaggio competitivo di cui hanno bisogno gli MSP nel 2025

Cosa sono i plugin e come funzionano

Cosa sono i plugin? Tipi di plugin e loro funzionamento

esempio di contratto di servizi gestiti per cause di forza maggiore

Aggiornamenti sulla forza maggiore per il contratto di servizi gestiti

rMM

MSP: Utilizza l’RMM per ottenere un vantaggio competitivo

vendere la cybersecurity 10 cose da fare e da non fare

Come vendere (e non vendere) la cybersecurity: 10 cose da fare e da non fare

Strategie chiave per gli MSP per espandere le proprie attività

Vendere servizi IT gestiti: Strategie chiave per gli MSP per espandere le proprie attività

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto