Il Digital Operational Resilience Act (DORA) è un regolamento dell’UE di recente applicazione che mira a migliorare la resilienza digitale degli istituti finanziari e dei loro fornitori di servizi terzi. Invece il Regolamento generale sulla protezione dei dati (GDPR) disciplina le modalità con cui le organizzazioni raccolgono, archiviano, elaborano e proteggono i dati personali delle persone all’interno dell’UE.
Entrambe le normative mirano a rafforzare la sicurezza e a proteggere le organizzazioni e gli individui nello spazio digitale. Comprendere le differenze e le analogie tra DORA e GDPR è fondamentale per le istituzioni che operano nell’UE, soprattutto perché la dipendenza dal digitale cresce, aumentando il rischio di minacce informatiche.
Questa guida si propone di fare un confronto tra DORA e GDPR, concentrandosi sulle definizioni, gli scopi, le differenze principali, le analogie e le implicazioni per le aziende delle due normative.
Che cos’è il DORA?
Il Digital Operational Resilience Act (DORA) è un regolamento di cybersecurity dell’UE progettato per rafforzare la resilienza operativa delle istituzioni finanziarie (come banche, società di investimento e compagnie assicurative) e dei loro fornitori terzi di servizi (compresi i fornitori di servizi di data reporting e cloud).
Serve a regolamentare e ad affrontare la crescente dipendenza del settore finanziario dalla tecnologia digitale e i crescenti rischi per la sicurezza che ne derivano. Il DORA fornisce un approccio standardizzato, strutturato su cinque pilastri fondamentali, per garantire pratiche di resilienza ICT coerenti in tutto il settore:
- Gestione del rischio ICT – Promuovere la comprensione dei rischi ICT e stabilire strategie o quadri di gestione solidi per ridurre i rischi informatici e garantire la continuità aziendale.
- Segnalazione degli incidenti legati alle TIC – Obbligo di segnalare gli incidenti legati alle TIC alle autorità di regolamentazione entro un termine definito.
- Test di resilienza operativa digitale – Test regolari dei sistemi IT per valutare la resilienza e identificare le vulnerabilità, compresi test di penetrazione, red teaming e altre valutazioni di sicurezza.
- Gestione del rischio ICT di terzi – Vigilanza sui fornitori di servizi terzi, compresi chiari termini contrattuali sulla gestione del rischio e sugli standard di sicurezza.
- Condivisione di informazioni e intelligence – Condivisione di informazioni sulle minacce alla sicurezza informatica per migliorare la resilienza collettiva del settore.
Requisiti e scadenze di conformità DORA
Poiché il DORA è un regolamento obbligatorio per tutti gli istituti finanziari e i loro fornitori di servizi terzi nell’UE, la mancata conformità può comportare multe e danni alla reputazione. Il DORA è stato completamente implementato il 17 gennaio 2025, il che significa che le organizzazioni devono ora aderire ai suoi standard. Ecco i principali requisiti di conformità e le scadenze da tenere a mente:
- Gestione del rischio ICT
- Supervisione delle terze parti
- Reportistica degli incidenti
- Governance
- Documentazione del sistema
- Contratti con i fornitori
- Rischi di concentrazione
- Monitoraggio
- Formazione dei dipendenti
- Miglioramento continuo
Entro il 30 aprile 2025, le istituzioni finanziarie devono presentare il proprio Registro delle informazioni, compresa la documentazione dei fornitori di TIC, delle funzioni critiche e degli accordi di subappalto. In futuro, saranno richiesti report trimestrali e annuali sugli incidenti ICT in corso, sulle metriche di resilienza e sulle valutazioni dei test durante l’anno.
Che cos’è il GDPR?
Il General Data Protection Regulation (GDPR) è una legge dell’Unione Europea che regola la raccolta, il trattamento e la protezione dei dati personali di tutti gli individui dell’Unione Europea. È considerata la legge più severa al mondo in materia di privacy e sicurezza, che impone obblighi a tutte le aziende di tutto il mondo che trattano i dati personali dei cittadini dell’UE, indipendentemente dalla loro ubicazione. Questo regolamento garantisce ai cittadini dell’UE un maggiore controllo sui loro dati personali e sul modo in cui le organizzazioni li utilizzano.
Vediamo i sette principi fondamentali del GDPR :
- Liceità, correttezza e trasparenza – La raccolta e il trattamento dei dati personali devono avvenire in modo lecito, equo e trasparente nei confronti dell’interessato.
- Limitazione delle finalità – La raccolta dei dati deve essere effettuata solo per finalità specifiche e legittime, che devono essere chiaramente comunicate all’interessato al momento della raccolta.
- Principio dei minimi dati necessari – Per adempiere alle finalità specificate è necessario raccogliere solo i dati minimi necessari.
- Precisione – I dati devono essere accurati e aggiornati.
- Limitazione dell’archiviazione – I dati devono essere archiviati solo se necessari e le organizzazioni devono eliminarli quando non sono più necessari.
- Integrità e riservatezza – Le organizzazioni devono elaborare i dati in modo sicuro, garantendone l’integrità e la riservatezza e proteggendoli da violazioni e accessi non autorizzati.
- Responsabilità – Le organizzazioni devono dimostrare la conformità al GDPR aderendo a questi principi.
Requisiti di conformità al GDPR e sanzioni
La conformità al GDPR va oltre il semplice rispetto dei requisiti elencati, ma implica la dimostrazione dei criteri e delle procedure che le organizzazioni hanno messo in atto per sostenere i suoi principi fondamentali. Ecco una descrizione dettagliata dei requisiti di conformità al GDPR:
- Base legale e trasparenza – Le organizzazioni devono tenere un registro aggiornato delle attività di trattamento dei dati, dei dettagli di accesso e delle misure di protezione, compresi i criteri di conservazione. Per i trattamenti ad alto rischio, il GDPR richiede una valutazione d’impatto sulla protezione dei dati (DPIA), idealmente condotta durante la pianificazione del progetto. Anche se non è sempre obbligatorio, contribuisce a dimostrare la conformità al GDPR. Se si impiega un responsabile della protezione dei dati (DPO), è necessario consultarlo per garantire la conformità legale.
- Sicurezza dei dati – Le organizzazioni devono implementare misure tecniche e organizzative per proteggere i dati, come la crittografia e l’anonimizzazione. Devono inoltre formare il personale sulle procedure di trattamento dei dati e conservare le registrazioni di tale formazione. Inoltre, le organizzazioni devono disporre di un protocollo chiaro per rispondere alle violazioni di dati che espongono dati personali e devono segnalare le violazioni entro 72 ore.
- Responsabilità e governance – Le organizzazioni devono nominare un responsabile della conformità al GDPR incaricato di supervisionare l’implementazione e di fungere da punto di contatto principale. Questa persona deve essere esperta di GDPR, di leggi sulla protezione dei dati e della loro applicazione. Per questo ruolo è generalmente consigliato un responsabile della protezione dei dati (DPO).
- Diritti sulla privacy – Le organizzazioni devono assicurarsi che gli interessati comprendano i loro diritti in materia di privacy. Ciò include la richiesta di copie dei propri dati personali e l’invocazione del “diritto all’oblio”, che consente di richiedere l’eliminazione permanente dei dati. Le organizzazioni devono garantire che queste richieste vengano prese in considerazione e devono essere trasparenti su questi processi.
- Concetto di consenso – Le organizzazioni devono implementare un sistema di consenso che permetta agli interessati di acconsentire esplicitamente prima della raccolta dei dati. Non sono ammesse caselle di opt-in preselezionate. Le opzioni di consenso devono essere fornite separatamente dai termini e dalle condizioni e con modalità diverse. Inoltre, le organizzazioni devono conservare le registrazioni dei consensi ottenuti.
È importante tenere presente che la mancata conformità al GDPR può comportare gravi sanzioni finanziarie fino a 20 milioni di euro o al 4% del fatturato globale annuo (a seconda di quale sia il valore più alto).
LEGGI ANCHE: Perché NinjaOne protegge la privacy dei clienti per essere conforme al GDPR
DORA e GDPR a confronto: Differenze chiave
DORA e GDPR condividono l’obiettivo comune di garantire la sicurezza e la protezione dei dati degli interessati. Tuttavia, partono da prospettive diverse che è fondamentale comprendere. Ecco le principali differenze tra DORA e GDPR:
Ambito di applicazione del DORA e ambito di applicazione del GDPR
Il DORA si concentra sulla resilienza operativa delle ICT, fornendo un quadro armonizzato per le istituzioni finanziarie e i loro fornitori terzi per salvaguardarsi dai rischi di cybersecurity e ICT che potrebbero interrompere le operazioni.
Il GDPR invece si concentra sulla privacy e sulla protezione dei dati, regolando la raccolta, l’elaborazione, l’archiviazione e la condivisione dei dati personali degli individui nell’UE. Il GDPR dà priorità ai diritti degli utenti, con l’obiettivo di prevenire l’uso improprio dei dati e di garantire pratiche trasparenti di trattamento dei dati.
Su cosa si concentrano DORA e GDPR
Ciò che distingue il DORA dal GDPR è la sua forte attenzione alla gestione del rischio di cybersecurity. Il DORA è pensato per affrontare la crescente dipendenza delle istituzioni finanziarie dalla tecnologia digitale, nonché i crescenti rischi. Il suo obiettivo è garantire operazioni digitali sicure e resilienza contro le minacce informatiche.
Invece, il GDPR dà la priorità alla privacy dei dati personali, offrendo agli utenti un maggiore controllo sulle loro informazioni personali, indipendentemente dall’azienda o dal settore con cui interagiscono in tutto il mondo.
Entità a cui si applicano DORA e GDPR
Il DORA si applica a istituzioni finanziarie come banche, compagnie assicurative, società di investimento, istituti di credito, fornitori di servizi di cripto-asset e processori di pagamento, nonché a fornitori di servizi ICT di terze parti, tra cui fornitori di servizi cloud, data center e fornitori di software all’interno dell’UE.
Il GDPR invece si applica a tutte le organizzazioni di tutto il mondo che trattano i dati personali dei cittadini dell’UE, indipendentemente dalla loro ubicazione.
Conformità DORA e conformità GDPR a confronto
La conformità al DORA si concentra sull’implementazione di solidi framework di gestione del rischio ICT, che includono il monitoraggio continuo, i test di cybersecurity, la segnalazione degli incidenti e la garanzia che i fornitori terzi soddisfino gli standard di sicurezza.
La conformità al GDPR riguarda invece misure di protezione dei dati più ampie, tra cui la gestione dei dati personali. Le organizzazioni devono dimostrare come forniscono l’accesso e la portabilità dei dati, l’archiviazione e la crittografia sicure, come soddisfano le richieste di eliminazione dei dati e come gestiscono le notifiche di violazione.
Applicazione delle normative DORA e GDPR a confronto
Il DORA è supervisionato e fatto rispettare dalle autorità di regolamentazione finanziaria che comprendono l’Autorità bancaria europea (EBA), l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA), l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e le autorità nazionali di regolamentazione finanziaria.
Il GDPR viene fatto rispettare dalle autorità per la protezione dei dati, come l’European Data Protection Board (EDPB), le agenzie nazionali per la protezione dei dati in ogni Stato membro dell’UE e le autorità di vigilanza.
Analogie tra DORA e GDPR
Pur partendo da prospettive diverse, DORA e GDPR condividono aspetti che li rendono complementari l’uno all’altro. Alcune delle principali analogie tra il DORA e il GDPR includono:
Gestione del rischio e segnalazione degli incidenti
Sia il DORA che il GDPR sono stati istituiti per affrontare i rischi crescenti nello spazio digitale in espansione. Queste normative impongono alle entità che rientrano nel loro ambito di applicazione solidi quadri di gestione del rischio.
Inoltre, entrambi richiedono la segnalazione degli incidenti entro scadenze rigorose per garantire un miglioramento continuo della gestione del rischio. Il DORA impone di segnalare gli incidenti di cybersecurity alle autorità di regolamentazione entro tempi prestabiliti, mentre il GDPR richiede alle organizzazioni di segnalare le violazioni dei dati entro 72 ore.
Requisiti di conformità e sanzioni rigorose
Esistono enormi differenze tra i requisiti di conformità DORA e GDPR. Tuttavia, entrambi applicano rigorosi standard di conformità. Il DORA impone test di resilienza, quadri di sicurezza e verifiche di conformità, mentre il GDPR si concentra su criteri legati alla privacy dei dati, sulla crittografia, sul consenso e sulla gestione dei dati.
Entrambi i regolamenti prevedono anche gravi sanzioni. Il DORA prevede multe severe, restrizioni aziendali e conseguenze legali, mentre il GDPR prevede multe fino a 20 milioni di euro o al 4% del fatturato globale, senza contare i potenziali danni alla reputazione in caso di violazione.
Proteggere i consumatori e le imprese dalle minacce informatiche
Più di ogni altra cosa, DORA e GDPR condividono lo stesso obiettivo: proteggere i consumatori e le aziende dalle minacce informatiche. Entrambe le normative forniscono linee guida standardizzate per aiutare le organizzazioni a proteggere se stesse e i loro consumatori mentre si affidano alla tecnologia digitale per le operazioni quotidiane, dato che la tecnologia continua a evolversi e a diventare più complessa.
Implicazioni per le imprese
DORA e GDPR sono normative complesse che hanno un impatto significativo sulle aziende. La non conformità può portare a sanzioni severe e a un danno per la reputazione, l’integrità e l’affidabilità di un’azienda. La conformità alle normative contribuisce a creare un ambiente sicuro per le istituzioni, il loro personale e i consumatori, garantendo fiducia e resilienza.
Come prepararsi alla conformità DORA e GDPR
Le organizzazioni devono comprendere i principi fondamentali di entrambe le normative e sviluppare strutture complete per rispettarle ai massimi livelli.
Per il DORA, gli istituti finanziari devono stabilire quadri di gestione del rischio ICT, test di resilienza e piani di risposta agli incidenti, e garantire che i fornitori terzi rispettino i requisiti di sicurezza del DORA.
Per il GDPR, le organizzazioni devono implementare i piani di protezione dei dati, la gestione del consenso e i criteri di trattamento dei dati, e applicare una forte crittografia e controlli dell’accesso per salvaguardare i dati personali.
Sovrapposizione dei requisiti di conformità per DORA e GDPR
Poiché entrambe le normative hanno un obiettivo comune, ci sono requisiti che si sovrappongono e di cui possono beneficiare le istituzioni tenute a rispettarle entrambe. DORA e GDPR sono rigorosi per quanto riguarda la segnalazione degli incidenti, la valutazione dei rischi e il monitoraggio continuo. Le organizzazioni devono allineare i propri criteri di sicurezza, conformità e privacy per garantire un approccio unificato alla protezione dei dati e alla cybersecurity.
Inoltre, le istituzioni finanziarie a cui si applica DORA sono anche soggette al GDPR. Chi tratta dati finanziari e personali deve integrare le misure di cybersecurity del DORA con i principi di protezione dei dati del GDPR.
Il ruolo della sicurezza informatica, dei team legali e dei responsabili della conformità nel garantire l’adesione alle normative
I team di sicurezza informatica sono responsabili del monitoraggio, della prevenzione e della risposta alle minacce informatiche, nonché dell’implementazione di misure di sicurezza dei dati per mantenere un ambiente digitale sicuro. Lavorano a stretto contatto con i team legali e di conformità, che garantiscono il pieno rispetto di tutti i requisiti normativi previsti da DORA e GDPR.
Digital Operational Resilience Act e General Data Protection Regulation a confronto: Conclusione
L’Unione Europea è impegnata nel combattere i rischi di cybersecurity, con DORA e GDPR che rappresentano passi importanti per la sicurezza del settore finanziario digitale. DORA aiuta il settore finanziario a gestire le complessità digitali e i rischi operativi, garantendo la resilienza delle operazioni quotidiane. GDPR invece si concentra sulla protezione dei dati dei soggetti, creando un ambiente digitale sicuro in cui i dati dei cittadini dell’UE sono protetti e in cui sono questi ultimi ad avere il controllo sulle loro informazioni personali.
Per le aziende che si trovano a doversi orientare tra entrambe le normative, l’adozione di un approccio integrato che allinei la gestione del rischio ICT con i principi di protezione dei dati può sostenere notevolmente gli sforzi di conformità. Anche la collaborazione interfunzionale tra i team di sicurezza informatica, legali e di conformità deve essere rigorosamente osservata per garantire la piena aderenza a DORA e GDPR.
Per ulteriori dettagli, consulta le risorse riportate di seguito.
- Che cos’è il Digital Operational Resilience Act (DORA)?
- Cos’è il GDPR, la nuova legge sulla protezione dei dati dell’UE?
- Sinergie tra DORA e GDPR: Un approccio completo alla sicurezza dei dati
Domande frequenti (FAQ)
-
Come influisce DORA sulle istituzioni finanziarie?
DORA impone misure più severe di cybersecurity e di gestione del rischio ICT per le istituzioni finanziarie e i loro fornitori di servizi terzi. L’obiettivo specifico è quello di prevenire le minacce informatiche e i fallimenti operativi nel settore finanziario.
-
Il GDPR si applica alla cybersecurity?
Sì, il GDPR prevede forti requisiti di cybersecurity relativi alla protezione dei dati, alla crittografia e alla notifica delle violazioni. La sua attenzione primaria alla privacy dei dati richiede l’implementazione delle best practice di cybersecurity.
-
Quali sono le aziende che devono conformarsi a DORA?
DORA si applica a tutte le istituzioni finanziarie dell’UE, nonché ai loro fornitori di servizi terzi che supportano il settore finanziario.