Punti chiave
- Approfondisci il regolamento DORA: Il Digital Operational Resilience Act (DORA) — che è entrato in vigore il 17 gennaio 2025 — impone standard di sicurezza informatica a livello di Unione Europea per gli istituti finanziari e i fornitori terzi di servizi ICT critici.
- Chi è tenuto a rispettare le disposizioni: Il regolamento DORA si applica a banche, istituti di credito e di pagamento, assicuratori, società di investimento, fornitori di servizi relativi alle cripto-attività, infrastrutture dei mercati finanziari, società di revisione e di analisi dei dati e fornitori di tecnologie dell’informazione e della comunicazione (TIC) che operano nell’UE.
- Lista di controllo per la conformità alla normativa DORA:
- Effettua un’analisi delle lacune di conformità: Valuta l’attuale infrastruttura digitale, individua le lacune e definisci i piani di progetto con scadenze precise.
- Implementa la gestione dei rischi ICT: Individua le vulnerabilità, elabora piani di emergenza e monitora costantemente i sistemi critici.
- Definisci la segnalazione degli incidenti ICT: Attieniti ai protocolli di segnalazione dell’UE: invia la notifica entro 4 ore, fornisci un aggiornamento entro 72 ore e completa la procedura entro 1 mese.
- Applica la gestione dei rischi di terze parti: Stipula contratti, sottoponi i fornitori a revisione contabile e fai in modo che le clausole dell’articolo 30 del DORA (ad esempio, diritti di revisione contabile, strategie di uscita) vengano rispettate.
- Promuovi la condivisione delle informazioni: Entra a far parte delle reti di intelligence dell’UE sulle minacce informatiche (ENISA, FS-ISAC) per collaborare e individuare tempestivamente le minacce.
- Verifica la resilienza digitale: Esegui programmi annuali di test delle TIC, compreso il TLPT ogni 3 anni per i sistemi critici.
- I cinque pilastri della conformità alla normativa DORA: Si tratta della gestione dei rischi informatici, della segnalazione degli incidenti, dei test di resilienza, della gestione dei rischi legati a soggetti terzi e della condivisione delle informazioni.
- Conseguenze della mancata conformità: Le sanzioni comprendono multe, ispezioni, avvisi pubblici, la cessazione coatta dell’attività e costosi interventi di bonifica.
- Best practice per la conformità continua: Organizza corsi di formazione periodici per il personale e i fornitori in materia di sicurezza informatica, utilizza strumenti di automazione e intelligenza artificiale per l’applicazione dei criteri e la gestione degli endpoint, e garantisci la conformità della documentazione, degli audit e delle revisioni annuali alle disposizioni del DORA.
Il Digital Operational Resilience Act (DORA) stabilisce lo standard di protezione digitale per le istituzioni finanziarie che operano nell’Unione Europea (UE), coinvolgendo fornitori di servizi critici di terze parti e autorità di altri continenti. Questa legge impone regole severe per affrontare le moderne minacce informatiche che colpiscono il settore finanziario, e seguire questo elenco di controllo per la conformità DORA potrà semplificare il percorso verso la conformità.
Questo articolo propone un elenco di controllo completo per la conformità DORA, i componenti chiave e i passi concreti da compiere.
Questo articolo illustra la lista di controllo completa per la conformità al regolamento DORA destinata agli istituti finanziari dell’UE, compresi i pilastri o gli elementi chiave del regolamento e le misure concrete da adottare per semplificare il percorso di conformità della propria organizzazione.
Che cos’è DORA?
La normativa DORA (Digital Operational Resilience Act)— in vigore in tutta l’Unione Europea (UE) dal 17 gennaio 2025 — stabilisce norme armonizzate per gli istituti finanziari e istituisce un quadro di vigilanza dell’UE per i fornitori terzi di servizi TIC critici (CTTP), sotto la guida di ESA (European Supervisory Authorities). In sostanza, questo regolamento impone norme rigorose per prevenire le moderne minacce informatiche che prendono di mira il settore finanziario dell’UE.
Per saperne di più su DORA, guarda la nostra video-guida: Che cos’è la conformità al Digital Operational Resilience Act (DORA)?
A chi si applica il DORA?
L’ambito di applicazione dei requisiti di conformità alla direttiva DORA riguarda gli istituti finanziari che operano negli Stati membri dell’UE, inclusi, a titolo esemplificativo ma non esaustivo, i seguenti:
- Banche
- Istituzioni di credito e di pagamento
- Compagnie assicurative
- Società di investimento
- Fornitori di servizi relativi alle criptovalute e al crowdfunding
- Servizi di analisi dei dati e di revisione contabile
- Infrastrutture del mercato finanziario
Migliora il tuo livello di sicurezza grazie alla gestione autonoma dell’IT.
→ Scopri come potenziare la sicurezza IT aziendale con NinjaOne
Elenco di controllo della conformità DORA
Prima di iniziare, è importante controllare la legislazione completa del DORA con il tuo team legale per verificare se si applica alla tua organizzazione. Ecco come gli istituti finanziari dell’UE e i fornitori di servizi critici possono garantire la totale conformità ai requisiti di cybersecurity del DORA.
1. Effettuare un’analisi delle lacune in materia di conformità
- Effettuare una prima analisi: Effettua un’analisi completa delle esigenze di DORA e definisci la portata del progetto e il budget necessario per la sua implementazione.
- Identifica ciò che manca: Confronta la tua attuale infrastruttura digitale con i requisiti del DORA.
- Classificali in base all’importanza: Assegna una priorità strategica alle “lacune” più significative della tua infrastruttura.
- Crea un piano di progetto: Delinea i potenziali sottoprogetti e le tappe fondamentali.
- Lavora con una scadenza: Crea piani d’azione tempestivi per colmare le lacune all’interno della struttura e avvicinarti il più possibile agli standard DORA.
2. Attuare la gestione dei rischi informatici
- Individua i rischi: Individua i punti più vulnerabili della tua infrastruttura e documenta la procedura.
- Preparati per eventuali imprevisti: Pianifica come affrontare determinati incidenti, assegna le responsabilità e prepara le procedure di continuità operativa nel caso in cui il sistema venga attaccato.
- Monitora i sistemi critici: Tieni d’occhio le parti più importanti della tua infrastruttura ICT 24 ore su 24, 7 giorni su 7, per rilevare/individuare tempestivamente le minacce.
Valuta le vulnerabilità del tuo sistema, compresi i potenziali rischi, e prepara un piano di risposta efficace. La gestione del rischio legato a catastrofi è al centro del DORA e i suoi principali pilastri ruotano attorno ad essa.
3. Segnalazione di incidenti informatici
- Individua, segnala, a crea report: Segui i protocolli specifici del DORA quando organizzi i flussi di lavoro per i report sugli incidenti e il modo in cui li organizzi secondo priorità.
- Stabilisci una tempistica: Tutte le segnalazioni devono essere documentate, inviate e trasmesse rapidamente a un’autorità competente designata dallo Stato dell’UE.
- Progetta flussi di lavoro in linea con le scadenze relativi a incidenti gravi nel settore delle TIC: Ciò richiede una notifica iniziale entro 4 ore dalla classificazione e non oltre 24 ore dal rilevamento, un rapporto intermedio entro 72 ore e un rapporto finale entro 1 mese. Inoltre, informa l’autorità competente nazionale utilizzando i modelli dell’UE.
Le banche e le compagnie assicurative sono obbligate per legge a divulgare gli incidenti che si verificano nell’UE e oltre. Per questo motivo, per accelerare il processo vengono quasi sempre coinvolte aziende ICT di terze parti che, essendo legate in modo significativo alle infrastrutture chiave, devono essere tenute in considerazione quando si parla di DORA.
4. Applicare la gestione dei rischi legati a soggetti terzi
- Valuta i fornitori in termini di rischi potenziali: Le istituzioni finanziarie devono monitorare i contratti di subappalto ICT che possono metterle in pericolo.
- Assicurati di stipulare contratti vincolanti: Gli accordi legalmente vincolanti aggiungono un notevole incentivo a rispettare le aspettative di sicurezza e conformità.
- Tieni sotto controllo i fornitori terzi: Monitora l’accesso di ciascun fornitore ai tuoi sistemi ICT.
- Inserisci le clausole contrattuali previste dall’articolo 30 del regolamento DORA: Tra questi figurano i diritti di audit e di accesso, le sedi di trattamento dei dati, la notifica e la gestione degli incidenti, le condizioni di subappalto, la risoluzione del contratto e il supporto alla cessazione del rapporto, nonché i piani di uscita e di transizione.
Un registro completo di quello che è stato fatto in passato è essenziale quando scegli un partner commerciale, e lo stesso vale per i fornitori terzi delle società di investimento dell’UE. Queste cose possono essere ulteriormente verificate attraverso programmi di formazione per garantire che tutti siano sulla stessa lunghezza d’onda.
5. Condivisione delle informazioni e collaborazione
- Tieniti informato sulle nuove minacce: Iscriviti ai forum dedicati all’intelligence sulle minacce informatiche e impara da altri settori per preparare la tua organizzazione a difendersi dai nuovi malware.
- Parla su linee protette: Crea metodi interni di comunicazione e reporting.
- Segui lo standard UE: Gli enti normativi dell’UE hanno tutti degli standard di cybersecurity a cui gli istituti di pagamento devono allinearsi. Tra queste figura l’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA), che fornisce supporto specialistico per rafforzare la sicurezza informatica e la resilienza dell’UE.
- Partecipa alle comunità affidabili: Tra queste figurano il Financial Services Information Sharing and Analysis Center (FS-ISAC), che promuovono la condivisione volontaria di informazioni sulle minacce informatiche nel rispetto della riservatezza, del GDPR e delle norme sulla concorrenza.
DORA sostiene lo scambio di conoscenze sulle minacce informatiche emergenti in modo trasversale per migliorare la resilienza digitale dell’UE nel settore finanziario.
6. Test di resilienza operativa digitale
- Mantieni un programma annuale di test basato sul rischio per i sistemi ICT: Se soddisfi i criteri, esegui un test di penetrazione basato sulle minacce (TLPT) , almeno ogni 3 anni sull’ambiente di produzione attivo, per le funzionalità critiche
- Effettua simulazioni di sicurezza: I test di penetrazione guidati dalle minacce (TLPT) simulano attacchi informatici reali per testare le vostre difese.
- Impara dalle tue scoperte: Analizza le tue scoperte e utilizzale per perfezionare continuamente le misure difensive e affrontare i tuoi punti deboli.
Testare le difese con simulazioni di attacchi reali è il modo migliore per misurare la sicurezza informatica dell’organizzazione. La gestione del rischio ICT DORA richiede alle società finanziarie dell’UE di verificare regolarmente i punti deboli della propria infrastruttura e di progettare nuovi modi per proteggere i dati dei clienti.
I componenti chiave di DORA
Ti sei mai chiesto come fanno le grandi banche a essere sicure? I database online distribuiti e i database elettronici centralizzati sono utilizzati come moderni caveau e le istituzioni finanziarie seguono regolamenti come il DORA per mantenere la loro sicurezza inattaccabile, salvaguardando i conti dei loro clienti.
I cinque pilastri della conformità al DORA
- Gestione del rischio ICT
- Reporting degli incidenti ICT
- Test di resilienza operativa digitale
- Gestione del rischio di terzi
- Condivisione delle informazioni
I pilastri principali della DORA creano un quadro solido per garantire la sicurezza delle istituzioni finanziarie. Si tratta di una sorta di manuale di istruzioni per la sicurezza digitale che mantiene inattaccabili attività importanti come banche e compagnie assicurative.
L’automazione di alcuni aspetti dei criteri e della gestione degli endpoint può facilitare il processo e portare la tua organizzazione a un passo dalla gestione totale del rischio in conformità con DORA.
Guarda come questi concetti lavorano insieme in un video: “Ottimizzazione delle soluzioni di sicurezza informatica Microsoft per la conformità alla normativa DORA“.
Perché gli istituti finanziari devono rispettare la normativa DORA
Il mancato rispetto della normativa DORA ha conseguenze importanti per le istituzioni finanziarie che operano nell’UE. DORA autorizza ogni Stato membro ad applicare le proprie sanzioni, che possono includere:
- Multe salate
- Ispezioni e misure correttive
- Avvisi pubblici
- Cessazione delle attività
- Un processo di correzione costoso
Nel caso delle entità finanziarie, l’allineamento al DORA è essenziale per continuare a operare nell’UE, soprattutto perché il quadro normativo si basa sulle maggiori normative di conformità dell’UE. Ad esempio, si ispira alla norma ISO 27001 e la integra con misure specifiche quali la gestione dei soggetti terzi e i protocolli di risposta agli incidenti, integrando al contempo il NIS2 (Network and Information Security 2 Directive) – una direttiva relativa alla sicurezza dei sistemi – attraverso una solida strategia di mitigazione delle minacce informatiche. E soprattutto, DORA sostiene l’enfasi posta dal GDPR sulla privacy dei dati in generale, tenendo d’occhio le minacce in evoluzione.
Sei alla ricerca di soluzioni per soddisfare costantemente rigorosi standard normativi?
→ Scopri come NinjaOne semplifica la gestione della conformità
Best practice per mantenere la conformità DORA
- Controlla tutto in modo impeccabile e fai in modo che tutti siano sulla stessa lunghezza d’onda. Organizza regolarmente seminari di formazione per il tuo personale e per gli appaltatori terzi, per aggiornare la tua forza lavoro sugli attuali standard legali in materia di cybersecurity.
- La tecnologia emergente può eliminare le attività più noiose con la semplice pressione di un pulsante. Per lavorare meglio e più velocemente, è importante che tutti acquisiscano familiarità con gli strumenti più recenti utilizzati per automatizzare i protocolli di sicurezza, come il software RMM “tutto in uno” e i migliori strumenti basati sull’intelligenza artificiale.
- Infine, applica gli standard di documentazione conformi al DORA a tutti i livelli e organizza audit annuali e verifiche di conformità. Devi rimanere tra i migliori del settore, e questo è il modo in cui lo puoi dimostrare alla concorrenza.
Eleva i tuoi standard di cybersicurezza con un elenco di controllo per la conformità DORA per istituti finanziari
Per soddisfare i requisiti di conformità DORA, individuare e risolvere i punti deboli. È necessario segnalare tempestivamente gli incidenti alle autorità e simulare attacchi realistici al proprio sistema per mettere alla prova i limiti della propria sicurezza informatica. È inoltre opportuno valutare i fornitori terzi e partecipare agli scambi internazionali di informazioni sulle minacce informatiche per mantenere alta la vigilanza nei confronti delle minacce nuove ed emergenti.
L’adozione di questo quadro di riferimento consente alle banche e alle compagnie di assicurazione di essere proattive nei confronti della loro sicurezza informatica, riducendo le possibilità di vulnerabilità e rafforzando la fiducia degli stakeholder. Farlo ti permetterà non solo di rimanere in linea con le normative internazionali, ma posizionerà la tua organizzazione come leader nella sicurezza informatica, attirando più clienti a fare affari con te.
