Regolamento DORA: che cos’è e come adeguarsi agli standard tecnici richiesti

Nell’era della trasformazione digitale, il settore finanziario è sempre più dipendente dalla tecnologia e perciò esposto ad attacchi, incidenti informatici e rischi di interruzione dell’operatività. Se non gestite correttamente, queste minacce possono mettere in seria difficoltà la tenuta del sistema finanziario, ormai interconnesso tra i Paesi, con un impatto anche sugli altri settori dell’economia globale.  

È proprio per rafforzare la resilienza del sistema che l’Unione europea ha introdotto il Digital Operational Resilience Act (DORA), il nuovo quadro normativo che disciplina la gestione del rischio delle tecnologie ICT per il settore finanziario. Vincolante a partire dal 17 gennaio 2025, il regolamento punta a rafforzare la sicurezza informatica e la resilienza di banche, compagnie assicurative e imprese di investimento.  

Nato per armonizzare le regole dei 27 Paesi membri sulla resilienza operativa dei soggetti che operano nei mercati finanziari e delle autorità di vigilanza, il DORA si applica a 20 diversi tipi di entità finanziarie e fornitori di servizi ICT: istituti di credito, istituti di pagamento, istituti di moneta elettronica, controparti centrali, fornitori di data service. L’obiettivo è garantire che il settore finanziario europeo sia in grado di mantenere continuità e stabilità in caso di gravi interruzioni operative.

Il regolamento si fonda su cinque pilastri fondamentali, che gli operatori del settore finanziario devono far propri per rafforzare la propria cybersecurity e garantire piena conformità alle norme europee. 

1. Gestione del rischio informatico – il DORA richiede alle entità finanziarie di istituire procedure appropriate per garantire il monitoraggio, la classificazione e il trattamento degli incidenti ICT. Definendo un quadro efficace di gestione del rischio, le organizzazioni possono identificare, valutare e mitigare in modo efficace i rischi. 
   
2. Gestione del rischio di terzi – grande attenzione dev’essere dedicata anche ai rapporti con terzi fornitori di servizi ICT. Gli operatori finanziari possono stipulare accordi soltanto con soggetti che soddisfano alti standard in materia di sicurezza e devono condurre la due diligence quando selezionano tali fornitori, applicando tutti i controlli necessari.
   
3. Test di resilienza operativa digitale – i soggetti che operano nel mercato finanziario devono adottare un programma di test solido ed esaustivo, che includa penetration test, metodologie, pratiche e strumenti per la gestione dei rischi informatici. Eseguendo periodicamente tali test, gli operatori devono accertare che tutti i punti deboli o le lacune di sicurezza siano colmati.
   
4. Segnalazione degli incidenti – le organizzazioni devono adottare un processo standardizzato per rilevare, gestire e notificare gli incidenti informatici significativi e sono tenute a segnalarli tempestivamente alle autorità di vigilanza competenti, affinché queste possano determinarne la rilevanza e valutarne i possibili impatti transfrontalieri.
   
5. Condivisione delle informazioni – le entità finanziarie possono scambiarsi reciprocamente informazioni e analisi delle minacce informatiche – inclusi indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme per la cybersicurezza e strumenti di configurazione – per aumentare la consapevolezza e contenere la diffusione delle stesse. 

L’introduzione del DORA rappresenta per le aziende un’opportunità per implementare piani di emergenza e sistemi di sicurezza più solidi, ma richiede anche un’attenta pianificazione dei passi da compiere e delle competenze necessarie per adeguarsi alla normativa. È infatti necessario, prima di tutto, lavorare a una seria valutazione del rischio e della postura di sicurezza dell’azienda: misure di cybersecurity già in uso, efficacia dei piani di risposta agli incidenti e capacità di resilienza a livello operativo. 

Occorre, poi, adottare procedure complete per la gestione del rischio. L’azienda deve avere policy definite per la segnalazione degli incidenti, la gestione del rischio ICT, quello legato a terze parti e i test di resilienza. Ciò richiede un monitoraggio regolare e una revisione periodica dei programmi di testing, per adeguarsi alle nuove minacce emergenti e alle migliori pratiche del settore, e la predisposizione di piani di risposta agli incidenti efficaci e completi. 

Infine, l’organizzazione deve rafforzare le misure di sicurezza informatica a tutto tondo: autenticazione a più fattori, sistemi di rilevamento delle minacce e delle intrusioni, crittografia, aggiornamento delle patch, backup e piani di recovery. Rivolgersi a partner esperti può aiutare l’azienda ad adottare il giusto approccio alla comprensione del DORA e all’adeguamento alle prescrizioni del regolamento, in modo coerente ai profili di rischio dell’organizzazione, alle sue operazioni e alle sue capacità.