Il Digital Operational Resilience Act (DORA) è un regolamento che stabilisce gli standard di sicurezza informatica e di gestione del rischio per il settore finanziario dell’UE. Il miglioramento della resilienza operativa rende la tua organizzazione meno vulnerabile agli attacchi e alla perdita di dati, un aspetto doppiamente importante per le grandi banche e gli istituti di credito, ed è qui che entra in gioco DORA.
Questo articolo esamina la normativa DORA, i suoi requisiti principali e le modalità per ottenere la conformità del settore finanziario nell’UE.
Che cos’è il Digital Operational Resilience Act (DORA)?
Il Digital Operational Resilience Act è un quadro completo che applica metodi di gestione del rischio per mantenere le istituzioni finanziarie dell’UE preparate contro gli attacchi informatici.
Prima del DORA, le banche, le compagnie assicurative e i grandi investitori si preparavano agli incidenti informatici semplicemente accantonando il capitale per pagare le potenziali perdite. Non era un approccio per niente proattivo. Ma poiché il DORA è stato promulgato nel 2023, il settore finanziario dell’UE deve ora adottare misure concrete per garantire che tali perdite non si verifichino in primo luogo.
Questo regolamento preventivo viene applicato dall’Unione Europea per rafforzare la sua capacità di resistere alle minacce online che colpiscono i sistemi finanziari.
A chi si applica il DORA?
Il Digital Operational Resilience Act si applica alle seguenti istituzioni dell’UE:
- Fornitori di servizi di informazione sui conti (AISP): Enti che raccolgono e gestiscono informazioni sui conti di pagamento.
- Amministratori di benchmark critici: Organizzazioni che stabiliscono i principi guida per le istituzioni finanziarie.
- Controparti centrali: Intermediari che riducono il rischio determinato dalla controparte nelle transazioni finanziarie.
- Depositi centrali di titoli: Società che detengono e trasferiscono titoli.
- Agenzie di rating del credito: Istituzioni che valutano e classificano la qualità del credito degli emittenti.
- Fornitori di servizi di crowdfunding: Piattaforme che facilitano la raccolta di fondi pubblici.
- Fornitori di servizi di cripto valuta ed emittenti di token collegati ad attività: Enti che offrono servizi di cripto valuta e distribuiscono token collegati ad attività.
- Fornitori di servizi di reporting dei dati (DSRP): Organizzazioni che rendicontano dati finanziari per sostenere la trasparenza.
- Istituti di moneta elettronica (con quelli esenti): Istituti che seguono le linee guida sulla trasparenza e rendicontano i dati finanziari.
- Fornitori di servizi ICT terzi: Fornitori di servizi IT alle istituzioni finanziarie.
- Istituti di Previdenza Pensionistica Professionale (IORP): Gestori di piani pensionistici per i dipendenti.
- Società di assicurazione e riassicurazione: Società che offrono copertura assicurativa e di rischio.
- Intermediari assicurativi: Broker/agenti che vendono pacchetti assicurativi.
- Imprese di investimento: Organizzazioni che offrono gestione patrimoniale e opportunità di investimento.
- Società di gestione: Enti che gestiscono fondi di investimento.
- Gestori di fondi di investimento alternativi: Società che gestiscono fondi di investimento alternativi (ad esempio, fondi speculativi, private equity)
- Prestatori di mutui ipotecati: Istituti che offrono prestiti garantiti da immobili.
- Istituti di pagamento: Enti che forniscono servizi di pagamento.
- Istituti di previdenza: Agenzie che offrono prodotti di previdenza.
- Depositi di cartolarizzazione: Enti che raccolgono, archiviano e conservano i documenti delle operazioni di cartolarizzazione.
- Repository delle operazioni di trading: Organizzazioni che centralizzano e mantengono i registri dei derivati, del finanziamento dei titoli e di altre operazioni finanziarie per migliorare la supervisione normativa.
- Sedi di negoziazione: Piattaforme che facilitano l’acquisto e la vendita di strumenti finanziari, compresi i mercati regolamentati, i sistemi multilaterali di negoziazione (MTF) e i sistemi organizzati di negoziazione (OTF).
Anche i fornitori di software di terze parti sono soggetti alle linee guida del DORA, con la non conformità che comporta sanzioni “efficaci, proporzionate e dissuasive”, senza contare i danni alla tua reputazione. La serietà di questa clausola è dovuta al fatto che i provider di servizi gestiti (MSP) sono strettamente integrati nei processi critici da cui dipendono banche e altre istituzioni: i rapporti sugli incidenti e il patch management di sicurezza sono alcuni esempi.
In quest’ottica, la conformità totale non solo ridurrà al minimo le interruzioni del lavoro, ma migliorerà anche gli standard di sicurezza informatica della tua organizzazione, rafforzando l’infrastruttura digitale dello stato finanziario generale dell’UE.
Requisiti fondamentali per la conformità al DORA
Gestione del rischio ICT
Il Digital Operational Resilience Act ruota attorno all’identificazione, alla mitigazione e al monitoraggio continuo delle minacce presenti ed emergenti. Il primo passo è la gestione del rischio.
Controlla i privilegi degli utenti, mantieni i dati accurati e intatti e utilizza una crittografia di livello governativo per tenere tutto al sicuro. Queste misure (e i sistemi interni messi in atto per salvaguardare le informazioni) devono essere mantenute e ottimizzate da professionisti che si assumano la propria responsabilità.
Reportistica degli incidenti
Le istituzioni finanziarie devono sviluppare un proprio protocollo per la valutazione e la reportistica degli incidenti, e questo lavoro deve essere svolto in modo tempestivo.
Crea registri dettagliati degli incidenti, adatta solidi protocolli di risposta, valuta i risultati, mantieni canali adeguati con le autorità e riferisci in modo coerente a clienti e azionisti.
Strategie di test e resilienza
Il DORA impone agli istituti finanziari di testare annualmente le proprie difese digitali in tre modi: test avanzati di vulnerabilità sui sistemi di tecnologia dell’informazione e della comunicazione (ICT), valutazione indipendente dei punti deboli dell’infrastruttura e test di penetrazione guidati dalle minacce (TLPT) che simulano attacchi reali.
Ma non è tutto. La tua organizzazione deve anche creare e mantenere la documentazione relativa a queste prove, che includa anche le metodologie e i passi aggiuntivi compiuti per riparare le falle nel tuo ecosistema digitale.
🛑 Identifica, valuta, mitiga e correggi in modo proattivo le vulnerabilità dell’ambiente IT.
Leggi questa guida su come ridurre le vulnerabilità.
Gestione del rischio di terzi
I fornitori terzi devono essere costantemente monitorati e valutati per assicurarti che rispettino i severi requisiti del DORA.
Valuta ogni fornitore di terze parti in base alle capacità tecniche, al livello di sicurezza e ai piani di disaster recovery . Inoltre, i contratti con i terzi devono essere ineccepibili e tutti gli standard DORA devono essere applicati.
Condivisione di informazioni e cooperazione
DORA incoraggia i membri del settore finanziario a condividere tra loro le conoscenze sulle minacce informatiche in continua evoluzione. Le reti che condividono gli incidenti relativi ai malware e le metodologie più recentri utilizzate degli hacker sono fonti di informazioni preziose per il tuo team IT e possono aiutare a prevenire gravi crisi di immagine in futuro. Basta guardare queste statistiche sulla sicurezza informatica del 2025: Studi recenti suggeriscono che gli attori delle minacce sono in grado di penetrare con successo il 93% delle reti delle organizzazioni.
Quali sono i vantaggi della conformità al DORA?
La tecnologia è in rapida evoluzione, quindi DORA offre agli istituti finanziari un’ulteriore linea di difesa contro le minacce sofisticate che sono destinate ad emergere. La conformità non solo protegge la tua azienda, ma apre anche la strada a una produttività ininterrotta, dandole quel vantaggio costante per rimanere al top.
Le pratiche del nuovo standard dell’UE si sono dimostrate efficaci per le aziende, contribuendo al contempo a instaurare fiducia con i regolatori, gli azionisti e i potenziali clienti. Uno studio del 2024 del Future Business Journal ha dimostrato che la trasparenza in materia di sicurezza informatica ha avuto un impatto positivo significativo sulle prestazioni bancarie e ha incoraggiato un maggior numero di banche a fare lo stesso. In poche parole, le persone vogliono sapere che il loro denaro è al sicuro e la conformità al DORA dà loro maggiore fiducia.
Conformità al DORA: Le sfide più grandi
Sebbene il DORA presenti alcuni importanti vantaggi, le istituzioni finanziarie di piccole e medie dimensioni nell’UE devono far fronte a vincoli di dimensioni e di bilancio. Le loro sfide possono anche ripercuotersi sulle trattative contrattuali con i fornitori terzi. Questo è uno dei motivi per cui alcune istituzioni si rivolgono ai fornitori di servizi gestiti (MSP), molti dei quali possono fornire assistenza ICT senza costi eccessivi. Altre adottano strumenti di gestione all-in-one e convenienti per eliminare i problemi dell’IT a costi contenuti.
Passi per ottenere la conformità DORA
1. Effettua un’analisi delle lacune di conformità
In primo luogo, esegui un’analisi delle lacune confrontando ciò che hai già con ciò che vuoi ottenere attraverso gli standard DORA. Pensalo come un diagramma di Venn che ti aiuterà a capire cosa manca nella tua struttura IT. Per farlo:
- Identifica il divario tra la tua struttura e le esigenze del DORA.
- Classificale in base all’importanza.
- Crea piani d’azione tempestivi per affrontarli in modo efficace
2. Stabilisci un quadro di gestione del rischio ICT
Quindi, crea una struttura di gestione nella tua organizzazione e assegna ruoli chiari. Questo framework di sicurezza informatica di DORA dovrebbe permetterti di:
- Assegnare ruoli chiari nella struttura di leadership.
- Valutare i rischi che incidono sulle operazioni (ad esempio, ransomware, guasti di sistema, ecc.).
- Creare strategie per ridurre i rischi noti (ad esempio, firewall, accesso con privilegi minimi, unità crittografate).
- Coordinarsi in modo diretto con la risposta agli incidenti e il disaster recovery.
- Monitorare e rivedere i casi passati e le politiche attuali, man mano che emergono nuove minacce.
3. Sviluppa un solido piano di risposta agli incidenti
Gli imprevisti accadono e bisogna essere pronti ad affrontarli 24 ore su 24, 7 giorni su 7. Ecco cosa ti serve secondo il DORA:
- Definisci gli incidenti in base alla gravità e alla frequenza.
- Delinea passi chiari su come affrontare, mitigare e contenere gli incidenti per i partner interni ed esterni.
- Delega i ruoli nella preparazione a eventuali incidenti futuri.
- Sviluppa misure di continuità aziendale per ripristinare i dati e rimettere rapidamente in funzione i sistemi.
- Esegui regolarmente esercitazioni/simulazioni per verificare eventuali miglioramenti necessari. Per approfondire maggiormente, consulta questa guida, Lista di controllo della sicurezza IT per proteggere la tua azienda.
4. Collabora con fornitori terzi per verificare la conformità
Fai la tua necessaria diligenza sui fornitori terzi che impieghi per garantire la totale conformità al DORA. Ecco come:
- Assicurati che il tuo fornitore segua le best practice sulla sicurezza e sulle politiche di protezione dei dati.
- Incorpora gli standard di conformità DORA nei contratti dell’organizzazione. Per ulteriori informazioni al riguardo, raccomandiamo la lettura della nostra guida sull’ accordo di servizi gestiti per i fornitori di servizi IT (MSP) .
- Monitora costantemente le loro prestazioni attraverso audit.
- Collabora per risolvere le lacune della tua infrastruttura.
- Mantieni una linea di comunicazione aperta.
Leggi questa guida → Come scegliere un fornitore di servizi IT affidabile
5. Test e monitoraggio regolari della resilienza
Verifica le misure di sicurezza del tuo sistema con simulazioni approfondite che ne testano la resilienza:
- Esegui test di sicurezza annuali.
- Valuta le vulnerabilità del sistema ogni 4 mesi.
- Utilizza il TLPT per simulare attacchi reali.
- Monitora costantemente le prestazioni, la disponibilità e la sicurezza del sistema durante i test.
- Analizza i risultati per identificare i punti deboli e i modi per migliorare.
- Rivedi e intensifica i protocolli di sicurezza, i piani di ripristino e la risposta agli incidenti.
Come il DORA influenzerà il futuro della conformità del settore finanziario
DORA integra gli standard e i regolamenti già esistenti nell’UE, come il Regolamento generale in materia di protezione dei dati(GDPR) e la direttiva sulla sicurezza di NIS2, migliorando l’integrità digitale complessiva del settore finanziario.
Questa importante spinta verso migliori standard di resilienza operativa probabilmente ispirerà altri Paesi al di fuori dell’UE ad adottare principi simili, come il GDPR, che stabilisce un precedente, a livello mondiale, per la regolamentazione dei dati e la sicurezza operativa.
Allineandosi a quadri di sicurezza nuovi e solidi come il DORA, i Paesi possono promuovere una comunità mondiale più sana e meglio equipaggiata per affrontare le minacce digitali di oggi.
Il tuo percorso di conformità al DORA
Il DORA impone standard di gestione del rischio più severi per le banche e le altre società finanziarie dell’Unione Europea. Il quadro di riferimento del DORA richiede la formazione di una leadership per la gestione del rischio ICT, la segnalazione rapida e affidabile degli incidenti, l’esecuzione di test coerenti, la valutazione di fornitori terzi e la condivisione delle informazioni.
Le grandi istituzioni finanziarie sono la linfa vitale dell’economia e, sebbene gli incidenti possano accadere, è tua responsabilità minimizzare il rischio il più possibile. Seguire il DORA garantisce alla tua organizzazione un sistema di comando più forte, misure di sicurezza informatica di livello mondiale e molto altro, quindi inizia oggi stesso il tuo percorso di conformità.
