/
/

Tutto quello che devi sapere sulla conformità DORA di AWS

Tutto quello che devi sapere sulla conformità DORA di AWS

In questa guida parleremo dei meccanismi della conformità DORA di AWS (Amazon Web Services) e del modo migliore per ottenerla, soprattutto per le entità di servizi finanziari dell’Unione Europea (UE) che lavorano a stretto contatto con i fornitori di informazioni e comunicazioni (ICT).

Tieni presente che abbiamo mantenuto questa guida il più possibile sintetica per fornire solo una panoramica di come ottenere la conformità DORA di AWS. Per una discussione più approfondita, ti consigliamo di leggere la Guida utente AWS al Digital Operational Resilience Act (DORA).

Che cos’è DORA?

DORA, o Digital Operational Resilience Act, è un quadro legislativo introdotto con la normativa 2022/2554. Il suo obiettivo è rafforzare le strategie di resilienza operativa e informatica, soprattutto per le istituzioni finanziarie.

La normativa prevede requisiti rigorosi per le organizzazioni ICT di terze parti, al fine di proteggere se stesse e i loro utenti finali dagli attori delle minacce, in particolare per resistere, rispondere e riprendersi rapidamente da attacchi informatici comuni e dalle minacce in evoluzione. Questo approccio include l’allocazione di capitale per coprire le potenziali perdite. Abbiamo anche pubblicato la guida “Cos’è la conformità al Digital Operational Resilience Act (DORA)”. 

Perché è importante? Ecco alcune statistiche chiave del World Economic Forum’s Global Cybersecurity Outlook 2025:

  • Il 49% delle organizzazioni del settore pubblico dichiara di non disporre delle risorse necessarie per raggiungere gli obiettivi di cybersecurity , un aumento preoccupante rispetto al 33% del 2024.
  • Il 35% delle piccole organizzazioni ritiene inadeguate le proprie strategie di resilienza informatica, con un aumento di sette volte rispetto al 2022.
  • Il 15% degli intervistati europei e nordamericani non ha fiducia nella capacità del proprio Paese di rispondere a sofisticati attacchi informatici.
  • Tra i CEO, uno su tre dichiara che la perdita di proprietà intellettuale è la sua principale preoccupazione, sia per le minacce esterne che per quelle interne.

DORA ha richiesto alle istituzioni finanziarie di ottenere la conformità il 17 gennaio 2025. Le entità finanziarie e le rispettive terze parti ICT (Registers of information—RoI) devono consegnare un report alle autorità competenti per determinare il loro attuale livello di conformità, e per capire come migliorarlo o mantenerlo. L’inosservanza dei requisiti può comportare gravi sanzioni finanziarie e conseguenze legali. (L’elenco completo degli aggiornamenti DORA è disponibile sul sito web ufficiale).

Servizi AWS per la conformità alle normative finanziarie

In risposta, Amazon ha pubblicato una lettera che illustra nei dettagli la sicurezza di AWS per i servizi finanziari. AWS aiuta le organizzazioni a soddisfare questi standard normativi offrendo un’ampia gamma di strumenti per la sicurezza, la conformità e la resilienza, tra cui i test di penetrazione guidati dalle minacce (TLPT) e la segnalazione degli incidenti ICT.

Ne parleremo più avanti nella sezione “Come AWS supporta la conformità DORA“.

Comprendere i requisiti di conformità DORA

Abbiamo scritto una guida più dettagliata sui 5 pilastri della normativa DORA, ma ecco una sintesi:

  1. Gestione del rischio ICT: Le organizzazioni devono sviluppare un solido quadro di gestione del rischio ICT che includa strategie, criteri e strumenti per la protezione di tutte le risorse ICT, compresi software, hardware e server.
  2. Segnalazione degli incidenti: Le organizzazioni devono segnalare alle autorità competenti tutti i principali incidenti legati alle ICT. Le entità finanziarie devono inoltre tenere un registro dettagliato di tutti gli incidenti informatici.
  3. Test di resilienza: Le organizzazioni devono testare regolarmente la solidità dei loro sistemi ICT per garantire la continuità aziendale e mantenere l’efficienza operativa.
  4. Gestione del rischio di terze parti: Le entità finanziarie devono garantire che i loro RoI (Register of Information) soddisfino i requisiti normativi DORA.
  5. Condivisione delle informazioni: Le organizzazioni sono incoraggiate a collaborare e a condividere le strategie di sicurezza informatica per costruire una resilienza collettiva.

Come AWS supporta la conformità DORA

AWS opera secondo un modello di responsabilità condivisa, il che significa che mentre AWS gestisce la sicurezza della sua infrastruttura cloud, i clienti sono responsabili della sicurezza dei propri dati all’interno del cloud.

Se da un lato ciò segue da vicino i requisiti normativi della DORA, dall’altro significa che ogni istituto finanziario e i suoi RoI (Register of Information) devono apportare le modifiche necessarie. I clienti AWS sono invitati a contattare il proprio team di account per discutere i requisiti specifici di conformità DORA.

  • TLPT: AWS può assistere i clienti con i loro requisiti TLPT per DORA. Tutte le informazioni sensibili vengono condivise con le autorità competenti in base alla necessità.
  • Segnalazione degli incidenti ICT: AWS non ha una visibilità completa dei dati caricati nell’account di un cliente per il modello di responsabilità condivisa. Tuttavia, AWS può aiutare i clienti a gestire in modo sicuro le informazioni sensibili e la relativa reportistica.

Vale la pena notare che AWS sta ancora perfezionando i requisiti DORA con le Autorità di vigilanza europee (ESA), poiché alcune disposizioni richiedono un’ulteriore elaborazione. Per esempio, il team di gestione di AWS ha suggerito di chiarire ulteriormente la definizione di “subappaltatore ICT” per evitare errori di comunicazione e punizioni indebite per migliaia di subappaltatori.

Ciononostante, AWS offre diversi documenti prescrittivi per la preparazione del DORA, come la formazione dei clienti sulla progettazione di un quadro del ciclo di vita della resilienza.

💡AWS possiede diverse certificazioni di sicurezza e conformità riconosciute a livello internazionale, tra cui ISO 27001, SOC 2GDPR, tutte comunque collegate anche ai requisiti DORA.

Servizi AWS per la conformità DORA

La ricerca di servizi di assistenza per il “Digital Operational Resilience Act con AWS” darà i seguenti risultati:

Gestione del rischio e resilienza

  • AWS Security Hub fornisce una posizione centrale per la gestione della sicurezza e della conformità e aiuta le organizzazioni a rilevare le vulnerabilità di sicurezza in tempo reale.
  • AWS Config tiene costantemente traccia delle modifiche alla configurazione delle risorse AWS.
  • AWS Backup consente di automatizzare i criteri di backup, migliorando la resilienza contro la perdita di dati.

Segnalazione e monitoraggio degli incidenti

  • AWS CloudTrail registra le chiamate API di AWS e aiuta a tracciare gli accessi non autorizzati e le modifiche agli ambienti cloud.
  • Amazon GuardDuty utilizza il machine learning per analizzare le attività cloud e rilevare i comportamenti sospetti.
  • AWS Audit Manager valuta la tua posizione di conformità automatizzando la raccolta delle prove e semplificando gli audit.

Test di resilienza

  • AWS Resilience Hub aiuta le organizzazioni a identificare i punti deboli dei loro piani di backup e disaster recovery .
  • AWS Fault Injection Simulator crea esperimenti controllati di ingegneria del caos per verificare come le applicazioni rispondono ai guasti.

Gestione del rischio di terzi

  • AWS Marketplace può aiutarti a raggiungere la conformità DORA con AWS fornendo una selezione di soluzioni di sicurezza di terze parti verificate.
  • AWS Control Tower può aiutarti a mantenere le best practice di sicurezza durante l’utilizzo di AWS su larga scala.

Implementazione della conformità DORA con AWS

I passaggi consigliati di seguito mostrano come implementare i requisiti DORA con AWS.

⚠️ Tieni presente che non esistono ancora regole precise da seguire, poiché AWS sta perfezionando i requisiti di conformità DORA. I passi elencati di seguito sono solo raccomandazioni. Per istruzioni più specifiche, rivolgiti al tuo account manager AWS. 

  1. Valuta la posizione di sicurezza esistente: Conduci un’analisi completa delle lacune per identificare eventuali punti deboli in termini di sicurezza e carenze normative. È una buona idea confrontare i controlli di sicurezza esistenti con i requisiti DORA.
  2. Implementa i controlli di sicurezza secondo necessità: AWS ti offre diversi servizi per aiutarti ad applicare i controlli di sicurezza, come AWS Key Management Service e AWS Identity and Access Management. Per rafforzare ulteriormente la sicurezza, ti consigliamo di implementare l’autenticazione a più fattori (MFA) e di applicare i criteri di accesso con privilegio minimo .
  3. Imposta il monitoraggio e il reporting degli incidenti: Utilizza AWS CloudTrail e Amazon GuardDuty per monitorare costantemente l’ambiente AWS. Automatizzando la segnalazione degli incidenti, garantirai la conformità rispettando le rigide tempistiche di segnalazione del DORA.
  4. Effettua regolarmente test di resilienza: Valuta la possibilità di effettuare regolarmente test di penetrazione ed esercitazioni per il ripristino di emergenza, e di implementare meccanismi di failover automatizzati per garantire che l’organizzazione rimanga operativa anche in caso di attacco informatico o guasto del sistema.
  5. Gestione del rischio di terzi: AWS Control Tower può aiutarti a standardizzare le procedure su più account AWS, mentre AWS Audit Manager può ottimizzare e semplificare gli audit di entità terze.
  6. Automatizza il monitoraggio della conformità: È altamente consigliato sfruttare l’automazione per ridurre l’onere dei controlli di conformità manuali e garantire che i controlli di sicurezza rimangano efficaci. Valuta la possibilità di utilizzare AWS Config e AWS Audit Manager, che ti aiuteranno ad applicare automaticamente i requisiti normativi.

Sfide nella conformità DORA di AWS e nella risoluzione dei problemi

Gestione di ambienti multi-cloud e ibridi

Oggi la maggior parte delle entità finanziarie utilizza una combinazione di fornitori di cloud, infrastrutture on-premise e soluzioni di cloud ibrido, il che può rendere difficile la gestione del rischio ICT. Per risolvere questo problema, consigliamo di garantire criteri di sicurezza uniformi e quadri di governance standard su tutte le piattaforme.

Garantire i test di resilienza AWS end-to-end per DORA

I test di resilienza devono coprire tutti gli aspetti dell’intero ambiente ICT; tuttavia, l’esecuzione di questi test su più sistemi può essere complessa. Per risolvere questo problema, valuta lo sviluppo di un quadro di sicurezza strutturato per simulare efficacemente le interruzioni. Puoi anche sfruttare l’AWS Resilience Hub per un approccio unificato ai test di resilienza.

Affrontare la gestione del rischio di terzi

Una parte significativa dei requisiti normativi del DORA riguarda i fornitori di servizi terzi. Questa segmentazione delle entità può rendere difficile raggiungere la conformità al DORA. Consigliamo di utilizzare AWS Audit Manager e AWS Marketplace per monitorare la conformità delle terze parti. E ti suggeriamo anche di condurre valutazioni dei rischi dei fornitori in modo approfondito, per minimizzare efficacemente i rischi.

Automatizzare la conformità senza perdere il controllo

Se da un lato l’automazione può semplificare la conformità, dall’altro c’è sempre il rischio che vengano trascurate lacune nella sicurezza o che ci siano configurazioni errate, soprattutto se l’azienda si affida troppo agli strumenti automatizzati. È una buona idea concentrarsi su un approccio più stratificato, combinando controlli di conformità automatizzati con audit di sicurezza manuali. Anche AWS Config e AWS Security Hub possono rivelarsi utili in questo caso.

Domande frequenti (FAQ)

1. AWS fornisce la conformità out-of-the-box per DORA?

Attualmente AWS non dispone di strumenti specifici per il DORA, ma fornisce numerosi altri strumenti che possono aiutare a migliorare la postura di sicurezza.

2. Come si colloca AWS rispetto ad altri fornitori di cloud in termini di conformità al DORA?

AWS è paragonabile ad altri fornitori di cloud. Come illustrato in precedenza, offre un’ampia gamma di servizi di sicurezza e conformità. AWS ha compiuto sforzi significativi per allinearsi al DORA, proprio come altri fornitori di cloud. Il confronto dipenderebbe dai servizi specifici, dalle esigenze dei clienti e da fattori simili.

3. Quali sono le sanzioni per la mancata conformità al DORA?

La non conformità può comportare sanzioni finanziarie e conseguenze legali. Secondo Infosecurity Europe, la mancata conformità al DORA può portare a una multa fino al 2% del fatturato annuo globale o fino a 10 milioni di euro, a seconda di quale importo sia maggiore.

Garantire la conformità DORA con AWS

Le istituzioni finanziarie che operano nell’UE devono rispettare il DORA. Detto questo, essendo una normativa relativamente recente, ci sono ancora incertezze su suo impatto sugli utenti di AWS. Amazon Web Services dispone di una solida serie di strumenti che possono aiutarti a soddisfare queste disposizioni in modo efficiente, ma è comunque consigliabile parlare con il tuo team di account dedicato per sapere esattamente cosa fare per ottenere un ambiente cloud sicuro e conforme.

Potresti trovare interessante anche

Pronto a semplificare le parti più complesse dell'IT?
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.