Comprendere il Decreto sulla resilienza operativa digitale (DORA)

Il Digital Operational Resilience Act è un regolamento dell'Unione Europea (UE) che riguarda il modo in cui gli istituti finanziari e i loro partner tecnologici per le informazioni e le comunicazioni (ICT) gestiscono il rischio informatico. Crea un quadro di controllo vincolante e stabilisce gli standard tecnici che gli enti finanziari dell’UE e i loro fornitori di servizi devono implementare nei loro sistemi ICT.

La Commissione Europea aveva proposto DORA nel settembre 2020 e il Parlamento Europeo l’ha approvato due anni dopo. Infine, il 17 gennaio 2024, l’Autorità Bancaria Europea (EBA), l’Autorità per gli strumenti finanziari e i mercati (ESMA) e l’Autorità per le assicurazioni e le pensioni aziendali e professionali (EIOPA) hanno pubblicato gli standard tecnici definitivi. DORA è entrato ufficialmente in vigore lo stesso giorno.

In questo modo le entità finanziarie e i fornitori di servizi ICT dell'UE hanno tempo fino al 17 gennaio 2025 per conformarsi ai requisiti di DORA. Ogni Stato membro dell'UE è responsabile dell'applicazione della normativa. Un'autorità di regolamentazione designata, nota come "autorità competente", può richiedere alle entità di adottare misure di sicurezza specifiche e porre rimedio alle vulnerabilità note. 

Le sanzioni per la non conformità sono severe. I fornitori di TIC ritenuti "critici" dalla Commissione Europea sono supervisionati da "Lead Overseer". Queste organizzazioni possono penalizzare i fornitori non conformi con multe fino all'1% del fatturato medio giornaliero mondiale realizzato nell'anno d'esercizio precedente.

In che modo i requisiti DORA influiscono sulla tua organizzazione?

Il DORA si applica più direttamente alle organizzazioni che forniscono servizi finanziari nell'Unione Europea. Queste includono banche, cooperative di credito, società di investimento, compagnie assicurative e altri tipi di istituti finanziari. Tuttavia, l’ambito non si ferma qui.

Anche i fornitori di servizi ICT sono soggetti alla conformità DORA. In altre parole, qualsiasi azienda tecnologica che fornisce sistemi ICT al settore finanziario della UE deve rispettarne le normative. Secondo DORA, queste includono qualsiasi fornitore ICT con sede al di fuori della UE, ma che opera comunque all’interno della sua giurisdizione.

Supponiamo che la tua organizzazione abbia sede negli Stati Uniti e fornisca servizi cloud e analisi dei dati a clienti austriaci. In questo caso, la tua azienda deve creare una filiale all’interno dell’UE per agevolare una governance efficace.

Complessivamente, secondo PricewaterhouseCoopers (PwC), DORA si applica a oltre 22.000 società finanziarie e operatori di servizi ICT. In quanto standard tecnico normativo, il DORA stabilisce molti requisiti operativi. Ne parleremo più in dettaglio più avanti, ma a livello elevato

• Le entità interessate devono stabilire una strategia completa di resilienza operativa digitale che integri valutazioni dei rischi per la sicurezza informatica, piani di continuità aziendale e protocolli di risposta agli incidenti.
• Le entità sono tenute a segnalare tempestivamente alle autorità nazionali gli incidenti significativi che influenzano le loro operazioni digitali, garantendo una risposta coordinata in tutta l'UE.
• Gli istituti finanziari devono gestire e monitorare i rischi associati ai loro fornitori di ICT di terze parti. Ciò include l'esecuzione della due diligence e la garanzia che i fornitori soddisfino i requisiti contrattuali.
• Le organizzazioni devono collaudare regolarmente il quadro di resilienza operativa per identificare e affrontare i punti deboli.
• Le entità devono disporre di strutture di governance con dirigenti e consigli di amministrazione responsabili della supervisione della resilienza e della garanzia di conformità.
• DORA incoraggia le organizzazioni a condividere informazioni sulle minacce e sulle prassi ottimali, migliorando collettivamente la gestione del rischio operativo.

Perché DORA è necessario?

I fornitori di servizi finanziari sono a rischio. DORA mira a rafforzare la resilienza informatica in due modi:

1. Per affrontare su vasta scala la gestione del rischio ICT per gli istituti finanziari
2. Per armonizzare le norme sulla gestione del rischio in un quadro coeso

In precedenza, le normative UE si concentravano principalmente sul garantire che le società finanziarie disponessero di capitale sufficiente per coprire i rischi operativi e le interruzioni. Alcuni enti normativi hanno pubblicato le linee guida sulla gestione del rischio ICT, ma non si sono applicate in modo uniforme a tutte le entità. Inoltre, si basavano su pratiche ottimali generiche, non su standard tecnici.

Senza un quadro di supervisione unificato, ogni Stato membro della UE aveva emanato i propri requisiti. Questo aveva creato un labirinto di normative sconnesse in cui le imprese transfrontaliere non riuscivano a orientarsi facilmente.

DORA risolve questo problema con un unico standard tecnico normativo per tutti i soggetti coperti, indipendentemente dal luogo in cui operano nell'UE. Grazie all'armonizzazione della gestione del rischio nel settore finanziario, DORA riduce al minimo la confusione e innalza il livello della sicurezza ICT, della gestione del rischio operativo e della continuità aziendale.

Che cos’è la resilienza informatica?

DORA è stato progettato per rafforzare la "resilienza informatica" delle entità finanziarie regolamentate. Questo termine comprende la capacità di un’organizzazione di supportare l’integrità operativa e la continuità aziendale in caso di interruzioni, come violazioni dei dati e attacchi informatici. 

La continuità è particolarmente vitale nel settore finanziario, dove i sistemi ICT svolgono un ruolo chiave nell'accesso e nella gestione dei fondi da parte dei consumatori. Secondo ESMA, i servizi finanziari sono diventati fortemente dipendenti dalle tecnologie digitali per la conduzione delle operazioni quotidiane. Questa dipendenza, a sua volta, ha aumentato esponenzialmente il rischio informatico.

In effetti, anche un singolo incidente ICT può avere notevoli effetti a catena sulle infrastrutture critiche. Se non gestiti adeguatamente, i rischi possono interrompere la fornitura di servizi finanziari, con ripercussioni su altre entità, settori e persino sull’economia europea nel suo insieme.

Immagina uno scenario in cui la piattaforma di trading di terze parti di una banca di investimenti va offline durante un attacco denial-of-service. Questo non solo potrebbe compromettere l’esperienza dell’utente finale, ma potrebbe anche costare ai clienti moltissimo denaro sul mercato.

A complicare ulteriormente le cose, gli eventi geopolitici hanno dato origine ad aggressori sponsorizzati dagli stati e ad attivisti disonesti nel campo informatico che prendono di mira i servizi finanziari. La guerra russo-ucraina, ad esempio, nel 2023 ha spinto criminali informatici filo-russi ad attaccare l'infrastruttura di rete della Banca europea per gli investimenti. Fortunatamente, l'incidente ha influito solo brevemente sulla disponibilità del sito web della banca.

Il quadro globale di DORA è strutturato su cinque pilastri. Ciascuno affronta un aspetto diverso della resilienza informatica e della gestione del rischio, ma insieme costituiscono le basi per creare un settore finanziario forte e sicuro.

1. Gestione e governance del rischio ICT

Secondo l'Articolo 5, gli organi di gestione sono responsabili dell'implementazione di un quadro di gestione del rischio ICT "sano, completo e ben documentato" che consenta loro di mitigare il rischio informatico e garantire la resilienza operativa a un livello commisurato alle loro esigenze aziendali, alle dimensioni e alla complessità. I dirigenti che non lo fanno possono essere ritenuti personalmente responsabili per la mancata conformità.

In generale, le organizzazioni sono tenute a disporre di sistemi per garantire la continuità aziendale in caso di incidente ICT. I quadri di gestione del rischio dovrebbero includere strategie, politiche, procedure e strumenti per proteggere i componenti fisici e l’infrastruttura digitale da accessi non autorizzati o danni.

Inoltre le imprese sono tenute a:

• Mappare i propri sistemi ICT per identificare risorse, funzioni e dipendenze critiche tra i fornitori
• Condurre valutazioni periodiche del rischio sui propri sistemi ICT per documentare, classificare e pianificare in caso di minacce informatiche
• Analizzare completamente l'impatto sull'azienda per comprendere in che modo le interruzioni più gravi potrebbero influire sulle operazioni
• Implementare misure di sicurezza informatica adeguate, come strumenti di gestione di accessi e identità (IAM) sistemi di rilevamento automatizzato delle minacce e così via
• Stabilire piani per la continuità aziendale e il ripristino di emergenza in caso di attacchi informatici, disservizi e disastri naturali
• Completare le revisioni post-incidente per imparare dagli eventi passati e promuovere il miglioramento continuo

2. Segnalazione degli incidenti

L'Articolo 15 impone agli enti finanziari di definire e implementare un processo di gestione degli incidenti connessi all'ICT. Nello specifico, le organizzazioni devono mettere in atto sistemi di allerta precoce per rilevare, mitigare e segnalare gli incidenti il più rapidamente possibile. Sono inoltre tenute a definire i processi per monitorare gli incidenti durante e dopo il fatto, consentendo ai team di identificare ed eliminare le cause profonde.

Inoltre, secondo gli articoli 16-20, le organizzazioni devono:

• Classificare gli incidenti legati all'ICT con i criteri che si applicano ai diversi livelli di impatto.
• Creare un modello o una procedura comune per segnalare gli incidenti all’autorità di vigilanza.
• Informare senza indugio gli utenti finali e i clienti di un incidente grave, insieme a tutte le misure adottate per mitigarne le conseguenze.
• Segnalare gli eventi entro la fine della giornata lavorativa o entro quattro ore dall'inizio della giornata lavorativa successiva (se l'incidente si verifica entro due ore dalla fine della giornata precedente).

In particolare, DORA richiede alle entità di presentare tre diversi tipi di segnalazioni:

1. Prima segnalazione per informare le autorità
2. Rapporto intermedio per comunicare lo stato di avanzamento nella risoluzione dell'incidente
3. Rapporto finale per analizzare le cause profonde dell’incidente e la sua risoluzione

3. Test della resilienza operativa digitale

DORA stabilisce alcuni requisiti di base relativi ai test di resilienza. L’esecuzione dei test consente alle organizzazioni di valutare la preparazione in caso di incidenti legati all'ICT, rilevare le vulnerabilità e implementare misure correttive.

Secondo l'Articolo 21, le entità devono:

• Stabilire un programma di test commisurato alle dimensioni, alle attività e ai profili di rischio
• Includere una serie di valutazioni, test, metodologie e strumenti
• Seguire un approccio basato sul rischio, tenendo conto dell'evoluzione del panorama dei rischi ICT
• Garantire che i test siano condotti da soggetti indipendenti
• Assegnare le priorità, classificare e risolvere completamente tutti i problemi e le vulnerabilità rilevati
• Testare tutti i sistemi e le applicazioni ICT critici almeno una volta all'anno

Inoltre, l'Articolo 23 stabilisce che anche gli enti finanziari dovrebbero condurre test di penetrazione basati su minacce almeno ogni tre anni. Questo mira ad affrontare livelli più elevati di esposizione al rischio, come i processi ICT sottostanti che supportano funzioni e servizi critici (compresi quelli esternalizzati a un fornitore di servizi).

4. Gestione del rischio relativo a terze parti

DORA si aspetta che le società finanziarie gestiscano attivamente il loro panorama di rischio verso terze parti e tengano presente la resilienza operativa quando negoziano gli accordi contrattuali. Nello specifico, DORA stabilisce le seguenti regole in merito alla gestione del rischio connesso a terzi:

• Gli enti finanziari devono tenere un registro delle informazioni relative agli accordi contrattuali con fornitori terzi di servizi ICT.
• Le imprese devono comunicare alle autorità competenti, almeno una volta all'anno, quanti nuovi contratti hanno firmato con fornitori ICT.
• Le entità devono esercitare la due diligence nella valutazione dei contratti, identificando tutti i rischi rilevanti e i potenziali conflitti di interessi. Devono anche negoziare clausole che comprendano strategie di uscita, audit e obiettivi prestazionali di accessibilità e sicurezza.
• I diritti e gli obblighi dell'ente finanziario e del fornitore terzo di servizi ICT dovrebbero essere assegnati e stabiliti per iscritto, con accessibilità da entrambe le parti. 
• I fornitori di ICT critici sono soggetti alla supervisione diretta da parte di un’autorità di vigilanza competente.

Secondo il regolamento, agli enti è vietato trattare con aziende ICT che non soddisfano gli standard tecnici appropriati. Le autorità competenti possono persino sospendere o risolvere i contratti non conformi.

5. Condivisione delle informazioni

Sebbene non venga applicato rigorosamente, il regolamento DORA incoraggia anche la collaborazione tra entità finanziarie affidabili, con l'intento di:

• Aumentare la consapevolezza dei rischi legati alle ICT
• Ridurre al minimo la diffusione dei vettori di minacce ICT
• Condividere tecniche difensive, strategie di mitigazione e informazioni sulle minacce

DORA è una delle numerose direttive UE relative alla resilienza informatica e alla sicurezza digitale. Il regolamento riveduto sulle reti e sui sistemi informativi (NIS 2) si sovrappone fortemente alla conformità DORA, e questo potrebbe indurre qualcuno a chiedersi quali linee guida debba seguire.

Nel settembre 2023, la Commissione europea ha chiarito la relazione tra i due decreti legislativi. Fondamentalmente, DORA è specifico del settore e influisce principalmente sulle organizzazioni che si occupano di servizi finanziari. NIS 2, al contrario, è un quadro normativo più ampio che copre infrastrutture critiche come l’energia e i trasporti.

Ai sensi dell’Articolo 4, paragrafi 1 e 2, della direttiva NIS, si applicano le disposizioni di DORA anziché quelle delineate in NIS 2. Ciò significa che DORA ha la precedenza per gli enti finanziari, almeno per quanto riguarda la gestione del rischio ICT, la segnalazione degli incidenti e i test di resilienza.

DORA fissa degli standard elevati per la gestione del rischio, quindi non sarà facile soddisfarne i requisiti. Fortunatamente, esiste un percorso chiaro che puoi intraprendere per iniziare:

1. Condurre un'analisi delle falle: Un’analisi iniziale delle falle implica la valutazione da cima a fondo dell’intero profilo aziendale, la definizione del suo stato di maturità informatica e la comprensione del quadro attuale di gestione del rischio. Questo esercizio aiuterà a determinare in che misura i processi e le procedure attuali dovrebbero essere aggiornati.
2. Obbligare alla formazione ICT: È opportuno creare un programma di formazione continua per tutti i dipendenti, inclusa la direzione. I dirigenti sono responsabili della non conformità DORA, quindi ci si deve accertare che tutti rimangano informati e vigili sulle ultime minacce alla sicurezza ICT.
3. Verificare i contratti di terze parti: Approfondire gli accordi contrattuali può aiutare a comprendere le dipendenze dai fornitori ICT. A sua volta, è possibile identificare e dare priorità alle misure di sicurezza per proteggere queste connessioni. Si devono inventariare tutti i contratti, inclusi fornitori di servizi cloud, fornitori di software e altri sistemi ICT. Quindi, ci si deve assicurare che dispongano di disposizioni in linea con i requisiti DORA.

Rafforzare la resilienza informatica con Entrust

Non lasciare al caso la conformità DORA. Che tu sia un'entità finanziaria o un fornitore ICT, il portafoglio di Entrust ha tutto ciò che ti serve per rafforzare le tue difese e proteggere le infrastrutture critiche.

Le nostre soluzioni includono:

• Moduli di sicurezza hardware (HSM): Gli HSM nShield contribuiscono a fornire un ambiente sicuro per generare, gestire e proteggere le chiavi crittografiche, fondamentali per la crittografia dei dati e la sicurezza delle comunicazioni.
• Gestione della posizione di sicurezza nel cloud: La piattaforma di sicurezza CloudControl di Entrust aiuta a proteggere gli ambienti cloud ibridi semplificando in un unico pannello di controllo l'identificazione, la correzione e la creazione di report su configurazione e conformità.
• Gestione delle chiavi: La gestione delle chiavi è essenziale per garantire la riservatezza e l’integrità dei dati e delle transazioni finanziarie. Entrust KeyControl ti aiuta a gestire le risorse crittografiche durante tutto il ciclo di vita, impedendo l'accesso non autorizzato ai sistemi ICT.
• Gestione di accessi e identità): Entrust Identity as a Service è una piattaforma intelligente che semplifica l'autenticazione, l'autorizzazione e il controllo degli accessi degli utenti. Connettiti con i tuoi consumatori attraverso portali sicuri, verifica dell'identità e altro ancora.
• Infrastruttura a chiave pubblica (PKI): PKI di Entrust aiuta a fornire una struttura per comunicazioni e autenticazione sicure, utilizzando certificati digitali per verificare le entità e crittografare i dati.