/
/

Lista di controllo essenziale per la conformità alla normativa DORA per le società finanziarie

di Andrew Gono, IT Technical Writer   |  
translated by Sergio Oricci
Elenco di controllo per la conformità DORA (Digital Operational Resilience Act)

Riepilogo

Questo post del blog NinjaOne offre un elenco completo di comandi CMD di base e un’analisi approfondita dei comandi di Windows con oltre 70 comandi cmd essenziali sia per i principianti che per gli utenti avanzati. La guida si propone si piegare in modo pratico i comandi del prompt dei comandi per la gestione dei file, la navigazione nelle directory, la risoluzione dei problemi di rete, le operazioni su disco e l’automazione, con esempi reali per migliorare la produttività. Che tu voglia imparare i comandi cmd fondamentali o padroneggiare gli strumenti avanzati della CLI di Windows, questa guida ti aiuterà a utilizzare il Prompt dei comandi in modo più efficace.

Punti chiave

  • Approfondisci il regolamento DORA: Il Digital Operational Resilience Act (DORA) — che è entrato in vigore il 17 gennaio 2025 — impone standard di sicurezza informatica a livello di Unione Europea per gli istituti finanziari e i fornitori terzi di servizi ICT critici.
  • Chi è tenuto a rispettare le disposizioni: Il regolamento DORA si applica a banche, istituti di credito e di pagamento, assicuratori, società di investimento, fornitori di servizi relativi alle cripto-attività, infrastrutture dei mercati finanziari, società di revisione e di analisi dei dati e fornitori di tecnologie dell’informazione e della comunicazione (TIC) che operano nell’UE.
  • Lista di controllo per la conformità alla normativa DORA
    • Effettua un’analisi delle lacune di conformità: Valuta l’attuale infrastruttura digitale, individua le lacune e definisci i piani di progetto con scadenze precise.
    • Implementa la gestione dei rischi ICT: Individua le vulnerabilità, elabora piani di emergenza e monitora costantemente i sistemi critici.
    • Definisci la segnalazione degli incidenti ICT: Attieniti ai protocolli di segnalazione dell’UE: invia la notifica entro 4 ore, fornisci un aggiornamento entro 72 ore e completa la procedura entro 1 mese.
    • Applica la gestione dei rischi di terze parti: Stipula contratti, sottoponi i fornitori a revisione contabile e fai in modo che le clausole dell’articolo 30 del DORA (ad esempio, diritti di revisione contabile, strategie di uscita) vengano rispettate.
    • Promuovi la condivisione delle informazioni: Entra a far parte delle reti di intelligence dell’UE sulle minacce informatiche (ENISA, FS-ISAC) per collaborare e individuare tempestivamente le minacce.
    • Verifica la resilienza digitale: Esegui programmi annuali di test delle TIC, compreso il TLPT ogni 3 anni per i sistemi critici.
  • I cinque pilastri della conformità alla normativa DORA: Si tratta della gestione dei rischi informatici, della segnalazione degli incidenti, dei test di resilienza, della gestione dei rischi legati a soggetti terzi e della condivisione delle informazioni.
  • Conseguenze della mancata conformità: Le sanzioni comprendono multe, ispezioni, avvisi pubblici, la cessazione coatta dell’attività e costosi interventi di bonifica.
  • Best practice per la conformità continua: Organizza corsi di formazione periodici per il personale e i fornitori in materia di sicurezza informatica, utilizza strumenti di automazione e intelligenza artificiale per l’applicazione dei criteri e la gestione degli endpoint, e garantisci la conformità della documentazione, degli audit e delle revisioni annuali alle disposizioni del DORA.

Il Digital Operational Resilience Act (DORA) stabilisce lo standard di protezione digitale per le istituzioni finanziarie che operano nell’Unione Europea (UE), coinvolgendo fornitori di servizi critici di terze parti e autorità di altri continenti. Questa legge impone regole severe per affrontare le moderne minacce informatiche che colpiscono il settore finanziario, e seguire questo elenco di controllo per la conformità DORA potrà semplificare il percorso verso la conformità.

Questo articolo propone un elenco di controllo completo per la conformità DORA, i componenti chiave e i passi concreti da compiere.

Questo articolo illustra la lista di controllo completa per la conformità al regolamento DORA destinata agli istituti finanziari dell’UE, compresi i pilastri o gli elementi chiave del regolamento e le misure concrete da adottare per semplificare il percorso di conformità della propria organizzazione.

Che cos’è DORA?

La normativa DORA (Digital Operational Resilience Act)— in vigore in tutta l’Unione Europea (UE) dal 17 gennaio 2025 — stabilisce norme armonizzate per gli istituti finanziari e istituisce un quadro di vigilanza dell’UE per i fornitori terzi di servizi TIC critici (CTTP), sotto la guida di ESA (European Supervisory Authorities). In sostanza, questo regolamento impone norme rigorose per prevenire le moderne minacce informatiche che prendono di mira il settore finanziario dell’UE.

Per saperne di più su DORA, guarda la nostra video-guida: Che cos’è la conformità al Digital Operational Resilience Act (DORA)?

A chi si applica il DORA?

L’ambito di applicazione dei requisiti di conformità alla direttiva DORA riguarda gli istituti finanziari che operano negli Stati membri dell’UE, inclusi, a titolo esemplificativo ma non esaustivo, i seguenti:

  • Banche
  • Istituzioni di credito e di pagamento
  • Compagnie assicurative
  • Società di investimento
  • Fornitori di servizi relativi alle criptovalute e al crowdfunding
  • Servizi di analisi dei dati e di revisione contabile
  • Infrastrutture del mercato finanziario

Migliora il tuo livello di sicurezza grazie alla gestione autonoma dell’IT.

Scopri come potenziare la sicurezza IT aziendale con NinjaOne

Elenco di controllo della conformità DORA

Prima di iniziare, è importante controllare la legislazione completa del DORA con il tuo team legale per verificare se si applica alla tua organizzazione. Ecco come gli istituti finanziari dell’UE e i fornitori di servizi critici possono garantire la totale conformità ai requisiti di cybersecurity del DORA.

1. Effettuare un’analisi delle lacune in materia di conformità

  • Effettuare una prima analisi: Effettua un’analisi completa delle esigenze di DORA e definisci la portata del progetto e il budget necessario per la sua implementazione.
  • Identifica ciò che manca: Confronta la tua attuale infrastruttura digitale con i requisiti del DORA.
  • Classificali in base all’importanza: Assegna una priorità strategica alle “lacune” più significative della tua infrastruttura.
  • Crea un piano di progetto: Delinea i potenziali sottoprogetti e le tappe fondamentali.
  • Lavora con una scadenza: Crea piani d’azione tempestivi per colmare le lacune all’interno della struttura e avvicinarti il più possibile agli standard DORA.

2. Attuare la gestione dei rischi informatici

  • Individua i rischi: Individua i punti più vulnerabili della tua infrastruttura e documenta la procedura.
  • Preparati per eventuali imprevisti: Pianifica come affrontare determinati incidenti, assegna le responsabilità e prepara le procedure di continuità operativa nel caso in cui il sistema venga attaccato.
  • Monitora i sistemi critici: Tieni d’occhio le parti più importanti della tua infrastruttura ICT 24 ore su 24, 7 giorni su 7, per rilevare/individuare tempestivamente le minacce.

Valuta le vulnerabilità del tuo sistema, compresi i potenziali rischi, e prepara un piano di risposta efficace. La gestione del rischio legato a catastrofi è al centro del DORA e i suoi principali pilastri ruotano attorno ad essa.

3. Segnalazione di incidenti informatici

  • Individua, segnala, a crea report: Segui i protocolli specifici del DORA quando organizzi i flussi di lavoro per i report sugli incidenti e il modo in cui li organizzi secondo priorità.
  • Stabilisci una tempistica: Tutte le segnalazioni devono essere documentate, inviate e trasmesse rapidamente a un’autorità competente designata dallo Stato dell’UE.
  • Progetta flussi di lavoro in linea con le scadenze relativi a incidenti gravi nel settore delle TIC: Ciò richiede una notifica iniziale entro 4 ore dalla classificazione e non oltre 24 ore dal rilevamento, un rapporto intermedio entro 72 ore e un rapporto finale entro 1 mese. Inoltre, informa l’autorità competente nazionale utilizzando i modelli dell’UE.

Le banche e le compagnie assicurative sono obbligate per legge a divulgare gli incidenti che si verificano nell’UE e oltre. Per questo motivo, per accelerare il processo vengono quasi sempre coinvolte aziende ICT di terze parti che, essendo legate in modo significativo alle infrastrutture chiave, devono essere tenute in considerazione quando si parla di DORA.

4. Applicare la gestione dei rischi legati a soggetti terzi

  • Valuta i fornitori in termini di rischi potenziali: Le istituzioni finanziarie devono monitorare i contratti di subappalto ICT che possono metterle in pericolo.
  • Assicurati di stipulare contratti vincolanti: Gli accordi legalmente vincolanti aggiungono un notevole incentivo a rispettare le aspettative di sicurezza e conformità.
  • Tieni sotto controllo i fornitori terzi: Monitora l’accesso di ciascun fornitore ai tuoi sistemi ICT.
  • Inserisci le clausole contrattuali previste dall’articolo 30 del regolamento DORA: Tra questi figurano i diritti di audit e di accesso, le sedi di trattamento dei dati, la notifica e la gestione degli incidenti, le condizioni di subappalto, la risoluzione del contratto e il supporto alla cessazione del rapporto, nonché i piani di uscita e di transizione.

Un registro completo di quello che è stato fatto in passato è essenziale quando scegli un partner commerciale, e lo stesso vale per i fornitori terzi delle società di investimento dell’UE. Queste cose possono essere ulteriormente verificate attraverso programmi di formazione per garantire che tutti siano sulla stessa lunghezza d’onda.

5. Condivisione delle informazioni e collaborazione

  • Tieniti informato sulle nuove minacce: Iscriviti ai forum dedicati all’intelligence sulle minacce informatiche e impara da altri settori per preparare la tua organizzazione a difendersi dai nuovi malware.
  • Parla su linee protette: Crea metodi interni di comunicazione e reporting.
  • Segui lo standard UE: Gli enti normativi dell’UE hanno tutti degli standard di cybersecurity a cui gli istituti di pagamento devono allinearsi. Tra queste figura l’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA), che fornisce supporto specialistico per rafforzare la sicurezza informatica e la resilienza dell’UE.
  • Partecipa alle comunità affidabili: Tra queste figurano il Financial Services Information Sharing and Analysis Center (FS-ISAC), che promuovono la condivisione volontaria di informazioni sulle minacce informatiche nel rispetto della riservatezza, del GDPR e delle norme sulla concorrenza.

DORA sostiene lo scambio di conoscenze sulle minacce informatiche emergenti in modo trasversale per migliorare la resilienza digitale dell’UE nel settore finanziario.

6. Test di resilienza operativa digitale

Testare le difese con simulazioni di attacchi reali è il modo migliore per misurare la sicurezza informatica dell’organizzazione. La gestione del rischio ICT DORA richiede alle società finanziarie dell’UE di verificare regolarmente i punti deboli della propria infrastruttura e di progettare nuovi modi per proteggere i dati dei clienti.

I componenti chiave di DORA

Ti sei mai chiesto come fanno le grandi banche a essere sicure? I database online distribuiti e i database elettronici centralizzati sono utilizzati come moderni caveau e le istituzioni finanziarie seguono regolamenti come il DORA per mantenere la loro sicurezza inattaccabile, salvaguardando i conti dei loro clienti.

I cinque pilastri della conformità al DORA

  1. Gestione del rischio ICT
  2. Reporting degli incidenti ICT
  3. Test di resilienza operativa digitale
  4. Gestione del rischio di terzi
  5. Condivisione delle informazioni

I pilastri principali della DORA creano un quadro solido per garantire la sicurezza delle istituzioni finanziarie. Si tratta di una sorta di manuale di istruzioni per la sicurezza digitale che mantiene inattaccabili attività importanti come banche e compagnie assicurative.

L’automazione di alcuni aspetti dei criteri e della gestione degli endpoint può facilitare il processo e portare la tua organizzazione a un passo dalla gestione totale del rischio in conformità con DORA.

Guarda come questi concetti lavorano insieme in un video: “Ottimizzazione delle soluzioni di sicurezza informatica Microsoft per la conformità alla normativa DORA“.

Perché gli istituti finanziari devono rispettare la normativa DORA

Il mancato rispetto della normativa DORA ha conseguenze importanti per le istituzioni finanziarie che operano nell’UE. DORA autorizza ogni Stato membro ad applicare le proprie sanzioni, che possono includere:

  • Multe salate
  • Ispezioni e misure correttive
  • Avvisi pubblici
  • Cessazione delle attività
  • Un processo di correzione costoso

Nel caso delle entità finanziarie, l’allineamento al DORA è essenziale per continuare a operare nell’UE, soprattutto perché il quadro normativo si basa sulle maggiori normative di conformità dell’UE. Ad esempio, si ispira alla norma ISO 27001 e la integra con misure specifiche quali la gestione dei soggetti terzi e i protocolli di risposta agli incidenti, integrando al contempo il NIS2 (Network and Information Security 2 Directive) – una direttiva relativa alla sicurezza dei sistemi – attraverso una solida strategia di mitigazione delle minacce informatiche. E soprattutto, DORA sostiene l’enfasi posta dal GDPR sulla privacy dei dati in generale, tenendo d’occhio le minacce in evoluzione.

Sei alla ricerca di soluzioni per soddisfare costantemente rigorosi standard normativi?

Scopri come NinjaOne semplifica la gestione della conformità

Best practice per mantenere la conformità DORA

  1. Controlla tutto in modo impeccabile e fai in modo che tutti siano sulla stessa lunghezza d’onda. Organizza regolarmente seminari di formazione per il tuo personale e per gli appaltatori terzi, per aggiornare la tua forza lavoro sugli attuali standard legali in materia di cybersecurity.
  2. La tecnologia emergente può eliminare le attività più noiose con la semplice pressione di un pulsante. Per lavorare meglio e più velocemente, è importante che tutti acquisiscano familiarità con gli strumenti più recenti utilizzati per automatizzare i protocolli di sicurezza, come il software RMM “tutto in uno” e i migliori strumenti basati sull’intelligenza artificiale.
  3. Infine, applica gli standard di documentazione conformi al DORA a tutti i livelli e organizza audit annuali e verifiche di conformità. Devi rimanere tra i migliori del settore, e questo è il modo in cui lo puoi dimostrare alla concorrenza.

Eleva i tuoi standard di cybersicurezza con un elenco di controllo per la conformità DORA per istituti finanziari

Per soddisfare i requisiti di conformità DORA, individuare e risolvere i punti deboli. È necessario segnalare tempestivamente gli incidenti alle autorità e simulare attacchi realistici al proprio sistema per mettere alla prova i limiti della propria sicurezza informatica. È inoltre opportuno valutare i fornitori terzi e partecipare agli scambi internazionali di informazioni sulle minacce informatiche per mantenere alta la vigilanza nei confronti delle minacce nuove ed emergenti.

L’adozione di questo quadro di riferimento consente alle banche e alle compagnie di assicurazione di essere proattive nei confronti della loro sicurezza informatica, riducendo le possibilità di vulnerabilità e rafforzando la fiducia degli stakeholder. Farlo ti permetterà non solo di rimanere in linea con le normative internazionali, ma posizionerà la tua organizzazione come leader nella sicurezza informatica, attirando più clienti a fare affari con te.

FAQs

La conformità alla normativa DORA si riferisce al rispetto dei requisiti previsti dal Digital Operational Resilience Act dell’UE, che stabilisce rigorosi standard in materia di sicurezza informatica, segnalazione degli incidenti e gestione dei rischi per gli istituti finanziari e i fornitori di servizi ICT.

Il regolamento DORA si applica alle banche, agli istituti di credito e di pagamento, alle compagnie assicurative, alle società di investimento, ai fornitori di servizi relativi alle cripto-attività e al crowdfunding, alle infrastrutture dei mercati finanziari, ai servizi di revisione contabile e di gestione dei dati, nonché ai fornitori terzi di servizi ICT critici che operano nell’UE.

I cinque pilastri DORA sono: la gestione dei rischi informatici, la segnalazione degli incidenti informatici, i test di resilienza operativa digitale, la gestione dei rischi legati a soggetti terzi e la condivisione delle informazioni nel settore dei servizi finanziari.

La lista di controllo comprende l’analisi delle lacune, la gestione dei rischi informatici, i termini obbligatori per la segnalazione degli incidenti, la supervisione dei contratti con i fornitori, la condivisione di informazioni sulle minacce informatiche e test periodici quali i test di penetrazione basati sulle minacce (TLPT).

Il mancato rispetto delle norme può comportare multe ingenti, ispezioni correttive, avvisi pubblici, la sospensione coatta delle attività commerciali o costosi interventi di bonifica imposti dalle autorità dell’UE.

Tra le best practice figurano la formazione periodica del personale e dei fornitori, l’adozione di strumenti di sicurezza basati sull’automazione e sull’intelligenza artificiale, la tenuta di una documentazione conforme alle linee guida DORA, lo svolgimento di audit annuali e la partecipazione attiva alle reti di intelligence sulle minacce informatiche.

Ti potrebbe interessare anche

Pronto a semplificare le parti più complesse dell'IT?