Uomo alla lavagna spiega in cosa consiste il Regolamento DORA (Digital Operational Resilience Act)

Regolamento DORA (Digital Operational Resilience Act)

Comprendere il Digital Operational Resilience Act (DORA) e il suo ruolo nel garantire solide misure di cybersecurity per le istituzioni finanziarie.

Comprendere il Digital Operational Resilience Act (DORA) e il suo ruolo nel garantire solide misure di cybersecurity per le istituzioni finanziarie.

Nel panorama finanziario attuale, le istituzioni dipendono più che mai da piattaforme digitali, servizi cloud e fornitori terzi (anche definite terze parti, ossia tutti i fornitori esterni di servizi ICT con cui un'entità finanziaria intrattiene rapporti contrattuali). Tuttavia, questa crescente dipendenza comporta anche rischi, come minacce informatiche, vulnerabilità nella catena di fornitura e potenziali destabilizzazioni del mercato. 

Un singolo attacco informatico o un guasto di sistema può avere effetti a catena sull’intero ecosistema finanziario. Riconoscendo questi rischi, l’Unione Europea ha introdotto il Regolamento sulla Resilienza Operativa Digitale (DORA) come parte del Digital Finance Package (DFP), per rafforzare la sicurezza informatica e garantire che le istituzioni finanziarie siano resilienti alle interruzioni digitali. 

Che cos’è il Digital Operational Resilience Act (DORA)? 

Il Digital Operational Resilience Act (DORA) è un regolamento dell’UE (Regolamento (UE) 2022/2554) concepito per standardizzare la sicurezza informatica, la gestione dei rischi ICT e la resilienza operativa in tutto il settore finanziario europeo. 
Con effetto a partire da gennaio 2025, DORA si applica a tutte le istituzioni finanziarie dell’UE e ai loro fornitori critici di servizi IT. 
Stabilisce requisiti chiari e applicabili per garantire che gli enti siano in grado di resistere, rispondere e riprendersi da interruzioni digitali, rafforzando così la stabilità finanziaria e la fiducia dei consumatori. 

 

Perché è importante conformarsi a DORA? 

DORA non è solo una misura prudente di gestione del rischio, ma anche un obbligo legale. La mancata conformità può comportare sanzioni significative e provvedimenti correttivi. La conformità a DORA garantisce: 


✓ Migliore gestione dei rischi ICT: definisce quadri normativi standardizzati per la sicurezza informatica, la segnalazione degli incidenti, la gestione dei rischi di terze parti e la continuità operativa in tutta l’UE. 

✓ Stabilità finanziaria e di mercato: riduce il rischio di guasti sistemici e shock informatici. 

✓ Resilienza dei fornitori terzi: garantisce che i fornitori critici ICT rispettino gli stessi standard di sicurezza. 

✓ Fiducia di consumatori e investitori: protegge da interruzioni dei servizi, violazioni dei dati e disservizi finanziari

Per saperne di più contattaci

Quali sono gli aspetti chiave di DORA? 

DORA mira ad assicurare la stabilità e la continuità del settore finanziario europeo introducendo un quadro normativo armonizzato e vincolante. Si concentra su cinque aree principali per potenziare la resilienza: 

  • Gestione dei rischi ICT: stabilisce quadri solidi, strutture di governance e monitoraggio continuo per identificare, valutare e mitigare efficacemente i rischi informatici. 
  • Segnalazione degli incidenti: impone il rilevamento tempestivo, la classificazione e la segnalazione interna ed esterna degli incidenti informatici significativi entro tempistiche rigorose. 
  • Test di resilienza operativa digitale: richiede test regolari per convalidare la resilienza del framework di gestione rischio ICT , inclusi test di penetrazione, stress test e test di penetrazione basati sulle minacce (TLPT). 
  • Gestione del rischio di terze parti: introduce una supervisione rigorosa sui fornitori di servizi ICT, garantendo che le istituzioni finanziarie conducano valutazioni approfondite dei rischi e due diligence. 
  • Condivisione delle informazioni: promuove la collaborazione tra enti finanziari, autorità di regolamentazione ed esperti di cybersecurity per migliorare ll’intelligence sulle minacce all’interno delle comunità finanziaria dell’UE. 

 

Come possono prepararsi le aziende a DORA? 

Con l’obbligo di conformità a partire da gennaio 2025, le istituzioni finanziarie devono agire subito per migliorare la resilienza digitale e l’allineamento normativo. Un approccio strutturato garantisce la conformità, rafforza la sicurezza informatica, riduce i rischi e assicura la continuità operativa. 

Passaggi chiave per conformarsi a DORA: 

  • Valutare la resilienza digitale: condurre una valutazione approfondita dell’ attuale stato di cybersecurity per analizzare la gestione del rischio ICT, la risposta agli incidenti e la supervisione dei fornitori terzi rispetto ai requisiti DORA. 
  • Sviluppare una roadmap di conformità: creare un piano di implementazione graduale con governance chiara, controlli di sicurezza e meccanismi di reporting. 
  • Formare e sensibilizzare il personale: educare i dipendenti sui rischi di cybersecurity, le best practice, le responsabilità di conformità normative e i protocolli di risposta agli incidenti. 
  • Validare e migliorare continuamente: condurre valutazioni regolari, audit e test di resilienza per garantire la conformità continua e l’adattamento alle minacce emergenti. 

Come può aiutare TÜV SÜD? 

Con decenni di esperienza nella certificazione, nella cybersecurity e nella gestione dei rischi, TÜV SÜD offre soluzioni complete per aiutare istituzioni finanziarie e fornitori ICT a raggiungere la conformità a DORA, rafforzare la cybersecurity e migliorare la resilienza operativa. 

Le nostre soluzioni end-to-end per la conformità a DORA includono: 

Valutazione della preparazione a DORA e roadmap di conformità 

  • Conduzione di audit di conformità e di gap analisys per valutare la gestione dei rischi ICT, la risposta agli incidenti e la preparazione alla continuità operativa. 
  • Sviluppo di una roadmap chiara per colmare le lacune di conformità e allinearsi alla regolamentazione DORA. 

Framework di cybersecurity e gestione dei rischi 

  • Stabilire una strategia di sicurezza conforme a DORA, allineata a ISO/IEC 27001 o altri standard di cybersecurity riconosciuti a livello internazionale. 
  • Implementare soluzioni avanzate di rilevamento minacce, monitoraggio continuo e sistemi di Security Information and Eventi Management SIEM per identificare e rispondere alle minacce cyber in tempo reale. 
  • Condurre regolari valutazioni di vulnerabilità e test di penetrazione per rilevare e risolvere proattivamente i rischi di sicurezza. 

Rilevamento, segnalazione e risposta agli incidenti 

  • Progettazione ed implementare framework di rilevamento e segnalazione (reporting) degli incidenti in linea con le tempistiche specifiche e agli obblighi normativi di DORA. 
  • Sviluppare piani strutturati di risposta agli incidenti con protocolli di comunicazione chiari e procedure di escalation. 
  • Configurare sistemi di automazione della risposta agli incidenti per ottimizzare il rilevamento, l’analisi e la segnalazione.. 

Continuità operativa e test di resilienza 

  • Sviluppo e test di strategie di continuità per garantire interruzioni minime durante le crisi. 
  • Conduzione di stress test, esercitazioni teoriche e simulazioni di attacchi cyber per valutare e migliorare la resilienza. 

Gestione dei rischi di terze parti e supervisione dei fornitori 

  • Esecuzioni di valutazioni del rischio e audit della catena di fornitura per garantire la conformità dei fornitori agli standard di resilienza operativa di DORA. 
  • Stabilire Framework di monitoraggio continuo per gestire efficacemente i rischi di fornitori terzi . 

Formazione e sensibilizzazione del personale 

  • Offrire formazione specializzata e workshop personalizzati per sviluppare la la resilienza del personale di tutti i livelli dell’organizzazione. 
  • Fornire formazione per i dirigenti per allineare la conformità con la strategia aziendale. 

Parla coi nostri esperti 

FAQ

 

  • Chi è obbligato a conformarsi a DORA?

    DORA si applica a:

    • Società finanziarie: banche, compagnie assicurative, imprese di investimento, fornitori di servizi di pagamento, fornitori di servizi di cripto-assetattività.
    • Fornitori terzi di servizi ICT: provider cloud, data center, aziende FinTech e altri fornitori che supportano istituzioni finanziarie dell’UE.
    • Aziende extra-UE: anche le imprese con sede fuori dall’UE che offrono servizi a clienti nell’UE devono rispettare DORA..

  • In che modo il DORA si allinea agli standard esistenti?

    DORA integra framework come ISO/IEC 27001 (sicurezza delle informazioni) e ISO 22301 (continuità operativa). Tuttavia, aggiunge requisiti giuridicamente vincolanti specifici per le entità finanziarie europee, come i TLPT obbligatori (test di penetrazione guidati da minacce) e requisiti più severi per la segnalazione degli incidenti.

  • Cosa succede se la mia organizzazione non è conforme?

    I rischi di non conformità includono:

    • Sanzioni finanziarie: Multe fino al 2% del fatturato globale annuo o all'1% del fatturato medio giornaliero.
    • Restrizioni operative: Le autorità di regolamentazione possono sospendere i servizi non conformi.
    • Danni alla reputazione: Le azioni di contrasto pubblico erodono la fiducia degli stakeholder.
  • Perché scegliere TÜV SÜD?

    ★ Soluzioni di conformità end-to-end: Dalla valutazione all'implementazione e alla certificazione, offriamo un approccio olistico al DORA.

    ★ Profonda esperienza in ambito normativo e di cybersecurity: Combinando le conoscenze tecniche di cybersecurity con la conoscenza delle normative, garantiamo la conformità alla DORA e alle best practice globali.

    ★ Autorità riconosciuta a livello mondiale: In qualità di fornitore leader di test, ispezioni e certificazioni (TIC), TÜV SÜD offre valutazioni imparziali e riconosciute a livello internazionale. 

Come possiamo aiutarti?

// Contattaci
// Newsletter
// Uffici
LinkedIn Instagram Youtube

Site Selector

Global

Americas

Asia

Europe

Middle East and Africa