• Ultimo aggiornamento

Elenco di controllo per la conformità DORA (Digital Operational Resilience Act)

  • di Andrew Gono
Elenco di controllo per la conformità DORA (Digital Operational Resilience Act)

Il Digital Operational Resilience Act (DORA) stabilisce lo standard di protezione digitale per le istituzioni finanziarie che operano nell’Unione Europea (UE), coinvolgendo fornitori di servizi critici di terze parti e autorità di altri continenti. Questa legge impone regole severe per affrontare le moderne minacce informatiche che colpiscono il settore finanziario, e seguire questo elenco di controllo per la conformità DORA potrà semplificare il percorso verso la conformità.

Questo articolo propone un elenco di controllo completo per la conformità DORA, i componenti chiave e i passi concreti da compiere.

Elenco di controllo della conformità DORA

Prima di iniziare, è importante controllare la legislazione completa del DORA con il tuo team legale per verificare se si applica alla tua organizzazione. Ecco come gli istituti finanziari dell’UE e i fornitori di servizi critici possono garantire la totale conformità ai requisiti di cybersecurity del DORA.

1. Effettua un’analisi delle lacune di conformità

  • Esegui una revisione iniziale: Esegui una revisione completa delle esigenze legate al DORA e determina le dimensioni del progetto e il budget per l’adozione.
  • Identifica ciò che manca: Confronta la tua attuale infrastruttura digitale con i requisiti del DORA.
  • Classificali in base all’importanza: Dai priorità strategica alle lacune maggiori della tua infrastruttura.
  • Crea un piano di progetto: Delinea i potenziali sottoprogetti e le tappe fondamentali.
  • Lavora con una scadenza: Crea piani d’azione tempestivi per colmare le lacune all’interno della struttura e avvicinarti il più possibile agli standard DORA.

2. Gestione del rischio relativo alle tecnologie informatiche e di comunicazione (ICT)

  • Individua i rischi: Identifica i punti più deboli della tua infrastruttura di tecnologie informatiche e di comunicazione e documenta il processo.
  • Preparati per eventuali imprevisti: Pianifica come affrontare determinati incidenti, assegna le responsabilità e prepara le procedure di continuità operativa nel caso in cui il sistema venga attaccato.
  • Monitora i sistemi critici: Tieni d’occhio le parti più importanti della tua infrastruttura ICT 24 ore su 24, 7 giorni su 7, per rilevare/individuare tempestivamente le minacce.

Valuta le vulnerabilità del tuo sistema e i rischi potenziali, e prepara un piano di risposta efficace. La gestione del rischio legato a catastrofi è al centro del DORA e i suoi principali pilastri ruotano attorno ad essa.

3. Reporting di incidenti ICT

  • Individua, segnala, a crea report: Segui i protocolli specifici del DORA quando organizzi i flussi di lavoro per i report sugli incidenti e il modo in cui li organizzi secondo priorità.
  • Stabilisci una tempistica: Tutte le segnalazioni devono essere documentate, inviate e trasmesse rapidamente a un’autorità competente designata dallo Stato dell’UE.
  • Segnala correttamente alle giurisdizioni locali: Gli istituti devono segnalare alle autorità competenti le attività illegali (per esempio evasione fiscale, riciclaggio di denaro).

Le banche e le compagnie assicurative sono obbligate per legge a divulgare gli incidenti che si verificano nell’UE e oltre. Per questo motivo, per accelerare il processo vengono quasi sempre coinvolte aziende ICT di terze parti che, essendo legate in modo significativo alle infrastrutture chiave, devono essere tenute in considerazione quando si parla di DORA.

4. Gestione del rischio di terzi

  • Valuta i fornitori in termini di rischi potenziali: Le istituzioni finanziarie devono monitorare i contratti di subappalto ICT che possono metterle in pericolo.
  • Assicurati di stipulare contratti vincolanti: Gli accordi legalmente vincolanti aggiungono un notevole incentivo a rispettare le aspettative di sicurezza e conformità.
  • Tieni sotto controllo i fornitori terzi: Monitora l’accesso di ciascun fornitore ai tuoi sistemi ICT.
  • Organizza sessioni di formazione sul DORA: Invita i fornitori di ICT di terze parti a seminari sulla conformità DORA per fare in modo che tutti abbiano le stesse informazioni.

Un registro completo di quello che è stato fatto in passato è essenziale quando scegli un partner commerciale, e lo stesso vale per i fornitori terzi delle società di investimento dell’UE. Queste cose possono essere ulteriormente verificate attraverso programmi di formazione per garantire che tutti siano sulla stessa lunghezza d’onda.

5. Condivisione delle informazioni e collaborazione

  • Tieniti informato sulle nuove minacce: Partecipa ai forum di intelligence sulle minacce informatiche e scambia informazioni con altri settori per preparare la tua organizzazione contro le nuove minacce informatiche.
  • Parla su linee protette: Crea metodi interni di comunicazione e reporting.
  • Segui lo standard UE: Gli enti normativi dell’UE hanno tutti degli standard di cybersecurity a cui gli istituti di pagamento devono allinearsi. Tra questi, l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), che fornisce un supporto di esperti per migliorare la sicurezza e la resilienza informatica dell’UE, e il Comitato interistituzionale per la sicurezza informatica (IICB), che supervisiona l’attuazione delle misure di sicurezza informatica.

DORA sostiene lo scambio di conoscenze sulle minacce informatiche emergenti in modo trasversale per migliorare la resilienza digitale dell’UE nel settore finanziario.

6. Test di resilienza operativa digitale

  • Testa i tuoi limiti ogni anno: Definisci gli obiettivi di punto di ripristino (RPO) e di tempo di ripristino (RTO) per migliorare ogni anno i limiti della resilienza della tua infrastruttura in linea con i requisiti DORA.
  • Effettua simulazioni di sicurezza: I test di penetrazione guidati dalle minacce (TLPT) simulano attacchi informatici reali per testare le vostre difese.
  • Impara dalle tue scoperte: Analizza le tue scoperte e utilizzale per perfezionare continuamente le misure difensive e affrontare i tuoi punti deboli.

Testare le difese con simulazioni di attacchi reali è il modo migliore per misurare la sicurezza informatica dell’organizzazione. La gestione del rischio ICT DORA richiede alle società finanziarie dell’UE di verificare regolarmente i punti deboli della propria infrastruttura e di progettare nuovi modi per proteggere i dati dei clienti.

I componenti chiave di DORA

Ti sei mai chiesto come fanno le grandi banche a essere sicure? I database online distribuiti e i database elettronici centralizzati sono utilizzati come moderni caveau e le istituzioni finanziarie seguono regolamenti come il DORA per mantenere la loro sicurezza inattaccabile, salvaguardando i conti dei loro clienti.

I cinque pilastri della conformità DORA:

  1. Gestione del rischio ICT
  2. Reporting degli incidenti ICT
  3. Test di resilienza operativa digitale
  4. Gestione del rischio di terzi
  5. Condivisione delle informazioni

I pilastri principali della DORA creano un quadro solido per garantire la sicurezza delle istituzioni finanziarie. Si tratta di una sorta di manuale di istruzioni per la sicurezza digitale che mantiene inattaccabili attività importanti come banche e compagnie assicurative.

L’automazione di alcuni aspetti dei criteri e della gestione degli endpoint può facilitare il processo e portare la tua organizzazione a un passo dalla gestione totale del rischio in conformità con DORA.

Perché gli istituti finanziari devono rispettare la normativa DORA

Il mancato rispetto della normativa DORA ha conseguenze importanti per le istituzioni finanziarie che operano nell’UE. DORA autorizza ogni Stato membro ad applicare le proprie sanzioni, che possono includere:

  • Multe salate
  • Ispezioni e misure correttive
  • Avvisi pubblici
  • Cessazione delle attività
  • Un processo di correzione costoso
  • Sanzioni penali previste dalla legge di uno Stato membro

Nel caso delle entità finanziarie, l’allineamento al DORA è essenziale per continuare a operare nell’UE, soprattutto perché il quadro normativo si basa sulle maggiori normative di conformità dell’UE. Per esempio, segue l’esempio della ISO 27001 e la amplia con misure specifiche come la gestione da parte di terzi e i protocolli di risposta agli incidenti, integrando al tempo stesso il Network and Information Security 2 Directive (NIS2) , una direttiva per la sicurezza dei sistemi, attraverso una solida riduzione del rischio legato alle minacce informatiche. E soprattutto, DORA sostiene l’enfasi posta dal GDPR sulla privacy dei dati in generale, tenendo d’occhio le minacce in evoluzione.

Best practice per mantenere la conformità DORA

Controlla tutto in modo impeccabile e fai in modo che tutti siano sulla stessa lunghezza d’onda. Organizza regolarmente seminari di formazione per il tuo personale e per gli appaltatori terzi, per aggiornare la tua forza lavoro sugli attuali standard legali in materia di cybersecurity.

La tecnologia emergente può eliminare le attività più noiose con la semplice pressione di un pulsante. Per lavorare meglio e più velocemente, familiarizza con gli strumenti più recenti utilizzati per automatizzare i protocolli di sicurezza, come software RMM all-in-one e i migliori strumenti di intelligenza artificiale.

Infine, applica gli standard di documentazione conformi al DORA a tutti i livelli e organizza audit annuali e verifiche di conformità. Devi rimanere tra i migliori del settore, e questo è il modo in cui lo puoi dimostrare alla concorrenza.

Eleva i tuoi standard di cybersicurezza con un elenco di controllo per la conformità DORA per istituti finanziari

Per essere in linea con tutti i punti dell’elenco di controllo per la conformità DORA, individua e risolvi i punti deboli, segnala tempestivamente gli incidenti alle autorità e simula attacchi reali al sistema per testare i limiti della tua sicurezza informatica. Dovrai valutare anche i fornitori terzi. Partecipa agli scambi di informazioni sulle minacce informatiche a livello mondiale per rimanere vigile contro le minacce nuove ed emergenti.

L’adozione di questo quadro di riferimento consente alle banche e alle compagnie di assicurazione di essere proattive nei confronti della loro sicurezza informatica, riducendo le possibilità di vulnerabilità e rafforzando la fiducia degli stakeholder. Farlo ti permetterà non solo di rimanere in linea con le normative internazionali, ma posizionerà la tua organizzazione come leader nella sicurezza informatica, attirando più clienti a fare affari con te.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento di erogazione dei servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Scopri di più su NinjaOne Endpoint Management, fai un tour dal vivoinizia la tua prova gratuita della piattaforma NinjaOne.

Inizia la tua prova gratuita

Potresti trovare interessante anche

Come modificare la soglia di separazione di svchost.exe in Windows Immagine banner del blog

Come modificare la soglia di separazione di svchost.exe in Windows 10/11

Come ripristinare OneDrive in Windows 11 Immagine del banner del blog

Come ripristinare OneDrive in Windows 11

Illustration of a magnifying glass inspecting documents representing compliance audit

Che cos’è un audit di conformità? Definizione e importanza

I 10 migliori prompt di chat gpt con esempi per i fornitori di servizi gestiti (MSP)

Come i prompt di ChatGPT migliorano i flussi di lavoro degli MSP

Come visualizzare e cancellare la cronologia di risoluzione dei problemi in Windows 10

Come visualizzare e cancellare la cronologia di risoluzione dei problemi in Windows 10

Come attivare o disattivare il feedback visivo del touchscreen in Windows Immagine del banner del blog

Come abilitare o disabilitare il feedback visivo del touchscreen in Windows

Torna alla pagina iniziale del blog
Pronto a semplificare le parti più complesse dell'IT?
Inizia una prova gratuita
Richiedi una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto