{"id":445794,"date":"2025-04-01T07:01:23","date_gmt":"2025-04-01T07:01:23","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=445794"},"modified":"2025-04-30T15:33:51","modified_gmt":"2025-04-30T15:33:51","slug":"5-pilastri-della-normativa-dora","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/5-pilastri-della-normativa-dora\/","title":{"rendered":"Quali sono i 5 pilastri della normativa DORA?"},"content":{"rendered":"

Il Digital Operational Resilience Act (DORA<\/a>) dell’Unione Europea centralizza gli standard di sicurezza digitale per le entit\u00e0 finanziarie nei suoi territori membri. Questi sono esemplificati principalmente dalle iniziative chiave del quadro, note anche come i 5 pilastri del DORA<\/strong>:<\/p>\n

    \n
  1. Gestione del rischio ICT<\/li>\n
  2. Segnalazione di incidenti<\/li>\n
  3. Test di resilienza operativa digitale<\/li>\n
  4. Gestione del rischio legato a terze parti<\/li>\n
  5. Condivisione delle informazioni<\/li>\n<\/ol>\n

    La DORA integra la direttiva rafforzata Network and Information Security 2 (NIS2<\/a>). Tuttavia, a differenza del NIS2, il DORA \u00e8 un regolamento applicabile simile al Regolamento generale sulla protezione dei dati (GDPR<\/a>) dell’UE. Se lavori nel settore informatico o finanziario, ecco tutto ci\u00f2 che devi sapere sui requisiti di cybersecurity della DORA.<\/p>\n

    I 5 pilastri della normativa DORA<\/h2>\n

    Le istituzioni finanziarie sono note per le loro complesse infrastrutture IT. Queste tecnologie consentono alle organizzazioni di ottimizzare le prestazioni e le misure di sicurezza in modi nuovi, ma richiedono anche soluzioni di gestione del rischio pi\u00f9 solide.<\/p>\n

    Il DORA mira a colmare queste lacune introducendo una serie di requisiti che innalzano il livello degli standard delle tecnologie dell’informazione e della comunicazione (ICT) nel settore finanziario. A conti fatti, la filosofia e la visione di DORA sono racchiuse nei seguenti pilastri:<\/p>\n

      \n
    1. \n

      Gestione del rischio ICT<\/h3>\n<\/li>\n<\/ol>\n

      La gestione del rischio IT<\/a>\u00a0\u00e8 la pietra angolare del framework DORA. Comprende le strategie, i criteri e gli strumenti necessari per proteggere i dati e le risorse da sfide ICT significative.<\/p>\n

      Questo pilastro garantisce che le istituzioni finanziarie e i vari stakeholder monitorino, valutino e contengano tempestivamente e accuratamente le vulnerabilit\u00e0 legate alle ICT (tecnologie informatiche e di comunicazione). Inoltre, si occupa delle modalit\u00e0 di report e di risposta a tali incidenti. Le societ\u00e0 finanziarie e i fornitori di servizi di terze parti ad esse associati devono essere preparati ad affrontare regolarmente audit e valutazioni di sicurezza.<\/p>\n

      I responsabili IT devono sviluppare un quadro completo di gestione del rischio ICT per soddisfare i requisiti di conformit\u00e0 della DORA. Ci\u00f2 pu\u00f2 significare sfruttare i protocolli esistenti e ridefinire alcuni obiettivi e ruoli nell’organizzazione. Un piano d’azione approfondito dovrebbe essere caratterizzato da un approccio proattivo e coerente alla gestione del rischio.<\/p>\n

        \n
      1. \n

        Reporting di incidenti legati alle ICT<\/h3>\n<\/li>\n<\/ol>\n

        Secondo il DORA, le organizzazioni devono collaborare con le autorit\u00e0 competenti per affrontare gli incidenti pi\u00f9 gravi legati alle ICT.<\/p>\n

        Gli incidenti devono anche essere immediatamente classificati in base al loro impatto e al potenziale di interruzione dei livelli di servizio. Devono inoltre essere segnalati alle autorit\u00e0 competenti attenendosi alle\u00a0rigide tempistiche di notifica indicate da DORA<\/a>\u00a0e ai modelli standard.<\/p>\n

        Considerata l’importanza del reporting degli incidenti ICT, i responsabili IT dovrebbero cercare di rafforzare le procedure interne di revisione e documentazione. Un modo per raggiungere questo obiettivo \u00e8 l’automazione.<\/p>\n

        L’automazione pu\u00f2 servire a implementare un piano di gestione del rischio pi\u00f9 completo e connesso. Per cominciare, un\u00a0software di monitoraggio avanzato<\/a>\u00a0pu\u00f2 aiutare le organizzazioni a prevenire potenziali problemi con il monitoraggio in tempo reale e il rilevamento delle minacce e la risposta. Allo stesso tempo, questo approccio moderno pu\u00f2 rafforzare le pratiche di backup e ripristino.<\/p>\n

          \n
        1. \n

          Test di resilienza operativa digitale<\/h3>\n<\/li>\n<\/ol>\n

          Il DORA sostiene inoltre con forza la necessit\u00e0 di testare regolarmente le misure di resilienza digitale. In altre parole, ci si aspetta che le organizzazioni analizzino l’impatto di scenari specifici e di interruzioni significative della loro attivit\u00e0 aziendale. In relazione a ci\u00f2, alle grandi istituzioni pu\u00f2 essere richiesto di seguire protocolli di analisi pi\u00f9 completi e frequenti.<\/p>\n

          Alcune misure proattive che gli operatori IT possono organizzare includono test di sicurezza della rete e varie valutazioni delle vulnerabilit\u00e0. Dovresti anche organizzare valutazioni periodiche delle minacce per aiutare a identificare le lacune nei processi e a rafforzare gli schemi di sicurezza esistenti e i piani di correzione. Le entit\u00e0 finanziarie devono anche includere terze parti ICT in programmi di formazione sulla resilienza della cybersecurity come parte dei requisiti.<\/p>\n

            \n
          1. \n

            Gestione del rischio ICT di terze parti<\/h3>\n<\/li>\n<\/ol>\n

            Uno dei punti cruciali della normativa DORA riguarda la gestione dei rischi e della conformit\u00e0 di terzi.<\/p>\n

            Da una prospettiva pi\u00f9 ampia, si concretizza la responsabilit\u00e0 estesa delle organizzazioni finanziarie nei territori membri di aderire alle disposizioni e alle leggi dell’UE in materia di ICT.<\/p>\n

            In base a questa linea guida, le entit\u00e0 finanziarie devono garantire che i contratti con i fornitori terzi di servizi ICT, anche quelli al di fuori dell’UE, definiscano in modo chiaro e accurato gli obblighi e i diritti di entrambe le parti. Devono inoltre monitorare e valutare regolarmente la conformit\u00e0 di terzi.<\/p>\n

            Le societ\u00e0 finanziarie non possono dipendere fortemente da un unico fornitore per le loro funzioni principali e per le infrastrutture IT critiche. Per questo motivo, devono prendere l’iniziativa di diversificare le infrastrutture IT e sviluppare protocolli rigorosi per mantenere la conformit\u00e0 in tutti i settori.<\/p>\n

            A questo proposito, anche i fornitori di servizi ICT di terze parti per le operazioni principali o cruciali saranno soggetti alla supervisione diretta delle autorit\u00e0 di vigilanza europee (ESA) competenti.<\/p>\n

              \n
            1. \n

              Condivisione di informazioni e intelligence<\/h3>\n<\/li>\n<\/ol>\n

              Le istituzioni sono inoltre incoraggiate a partecipare a iniziative di condivisione delle informazioni per aumentare collettivamente gli standard del settore. Oltre a migliorare il processo di reporting, la documentazione e la collaborazione tra dipartimenti che si occupano di funzioni diverse all’interno dell’azienda, gli operatori ICT dovrebbero sfruttare la collaborazione con le autorit\u00e0 e i fornitori di servizi terzi.<\/p>\n

              Implicazioni del DORA per le imprese<\/h2>\n

              Il DORA mira principalmente a migliorare la sicurezza informatica e la resilienza operativa nel settore finanziario.<\/p>\n

              Le aziende che sono al centro di questa iniziativa sono istituti bancari e di credito, societ\u00e0 di investimento, compagnie di assicurazione e fornitori di servizi di elaborazione dei pagamenti.<\/p>\n

              Inoltre, i fornitori di servizi cloud e le societ\u00e0 di analisi dei dati che gestiscono servizi essenziali per gli istituti finanziari possono essere classificati come fornitori terzi critici ed essere soggetti a disposizioni e leggi altrettanto rigorose.<\/p>\n

              Per prepararsi all’implementazione del DORA, le organizzazioni devono comprendere la portata e i requisiti del DORA per loro e per i partner commerciali. Inoltre, potranno trarre vantaggio dalla collaborazione con fornitori di servizi terzi che gi\u00e0 osservano le linee guida NIS2, GDPR e DORA.<\/p>\n

              Per i leader e il personale ICT, la conformit\u00e0 deve essere trattata come un processo piuttosto che come un progetto. I protocolli ICT devono essere continuamente verificati e, se necessario, modificati, soprattutto quando si rendono disponibili nuove informazioni. L’approccio complessivo deve essere continuo nel tempo e tutti i soggetti coinvolti devono essere pronti a collaborare e a ricevere una formazione regolare.<\/p>\n

              Best practice per ottenere la conformit\u00e0 DORA<\/h2>\n

              Diversifica le infrastrutture IT<\/h3>\n

              Un modo per creare un’infrastruttura IT solida \u00e8 quello di diversificarla. Ci sono molti modi per mettere in pratica questo approccio, ma la maggior parte delle aziende pu\u00f2 innanzitutto considerare la modernizzazione di alcuni componenti e l’automazione IT<\/a>. Il monitoraggio e la manutenzione da remoto possono fare miracoli per l’efficienza<\/a> e la sicurezza in tempo reale.<\/p>\n

              Potenzia i canali interni per la formazione e la collaborazione interfunzionale<\/h3>\n

              Le lacune nell’ICT non riguardano solo il reparto IT. L’azienda ha bisogno di un approccio completo per identificare le vulnerabilit\u00e0 e rafforzare i protocolli. I canali di comunicazione che riguardano diversi reparti e unit\u00e0 aziendali sono importanti per aumentare la consapevolezza e la conformit\u00e0 dell’intera organizzazione.<\/p>\n

              Collabora con le parti interessate esterne<\/h3>\n

              I 5 pilastri del DORA hanno gi\u00e0 sottolineato l’importanza della collaborazione, e qui vogliamo evidenziarlo ulteriormente. La tua organizzazione dovrebbe mantenere la collaborazione con gli enti normativi per ottenere l’interpretazione pi\u00f9 accurata e aggiornata del DORA. Allo stesso modo, dovresti chiedere ai fornitori di rispettare gli stessi standard, soprattutto a quelli che si occupano dei settori critici delle tue operazioni. Includi quindi anche gli stakeholder esterni nella formazione su ICT e DORA, quando \u00e8 possibile.<\/p>\n

              Implementa il modello GRC nella tua strategia<\/h3>\n

              Il GRC<\/a> (Governance, Risk and Compliance) pu\u00f2 aiutare a posizionare la forza lavoro per raggiungere la conformit\u00e0 DORA in modo collaborativo. In sostanza, il framework GRC rimuove le barriere tradizionali tra le unit\u00e0 aziendali, elimina i processi scollegati e le ridondanze e allinea l’IT agli obiettivi aziendali.<\/p>\n

              Il quadro GRC pu\u00f2 essere particolarmente efficace per soddisfare le normative di settore e governative e per gestire i rischi. Per avere successo, questa iniziativa ha bisogno di un forte sostegno da parte di tutti i settori, in particolare dai responsabili delle decisioni. Anche la ricerca del software giusto per centralizzare le attivit\u00e0 GRC pu\u00f2 comportare sfide uniche per l’azienda.<\/p>\n

              Preparare la tua organizzazione alla conformit\u00e0 DORA<\/h2>\n

              Il DORA \u00e8 relativamente nuovo, ma le sue disposizioni sono per lo pi\u00f9 unificate dagli\u00a0standard di conformit\u00e0 IT<\/a>\u00a0esistenti come GDPR e NIS2. Di conseguenza, dovresti sfruttare queste risorse per rafforzare e stabilire quali saranno il tuo piano di gestione del rischio, le componenti IT e i programmi di formazione. Se da un lato le iniziative legate al DORA comportano molte nuove sfide, dall’altro i responsabili della conformit\u00e0 e i professionisti IT dovrebbero cogliere l’opportunit\u00e0 di armonizzare la loro strategia ITC e di spingere i responsabili delle decisioni ad aggiornare le infrastrutture IT con benefici e ramificazioni sia immediati che a lungo termine.<\/p>\n","protected":false},"excerpt":{"rendered":"

              Il Digital Operational Resilience Act (DORA) dell’Unione Europea centralizza gli standard di sicurezza digitale per le entit\u00e0 finanziarie nei suoi territori membri. Questi sono esemplificati principalmente dalle iniziative chiave del quadro, note anche come i 5 pilastri del DORA: Gestione del rischio ICT Segnalazione di incidenti Test di resilienza operativa digitale Gestione del rischio legato […]<\/p>\n","protected":false},"author":161,"featured_media":444687,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4367,4354],"tags":[],"class_list":["post-445794","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza","category-operazioni-it"],"acf":[],"modified_by":"Sergio Oricci","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/445794","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/161"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/comments?post=445794"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/posts\/445794\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media\/444687"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=445794"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/categories?post=445794"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/tags?post=445794"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}