Sicurezza informatica 
Puoi proteggere la tua impronta digitale eliminando gli account che non usi più, modificando le impostazioni della privacy, evitando di condividere troppo sui social media e
Pubblicato il Ottobre 16, 2024
Il Digital Operational Resilience Act (DORA) è un regolamento che rafforza la sicurezza digitale degli istituti finanziari nell’Unione europea (UE). Sebbene sia già entrato in vigore nel 2023, il regolamento DORA sarà adottato in modo definitivo da tutti gli enti finanziari dell’UE e dai fornitori di servizi terzi nel campo della tecnologia dell’informazione e della comunicazione a partire da gennaio 2025, con l’obiettivo di migliorare le difese contro le potenziali minacce informatiche.
Continua a leggere per scoprire quali sono gli obiettivi del regolamento DORA, i suoi pilastri della conformità e come la tua organizzazione può prepararsi per la sua implementazione.
Finalità del regolamento DORA
I due obiettivi principali del DORA sono migliorare il modo in cui i servizi finanziari gestiscono i rischi TIC (tecnologie dell’informazione e della comunicazione) e uniformare le normative esistenti in materia di gestione del rischio TIC nei singoli Stati membri dell’UE.
Affrontare la gestione del rischio TIC nel settore finanziario
Negli istituti finanziari dell’UE, le normative sulla gestione del rischio si concentrano sull’obiettivo di garantire che le organizzazioni abbiano abbastanza denaro per gestire i rischi operativi. Il problema legato a tale approccio è che alcune organizzazioni hanno elaborato delle linee guida TIC, mentre altre no. Senza un insieme unico di standard di sicurezza o regole per la gestione del rischio TIC, ogni Stato membro dell’UE ha dovuto elaborare i propri requisiti in autonomia. Il regolamento DORA renderà il settore finanziario più sicuro e in grado di gestire meglio i rischi legati ai sistemi online e alle vulnerabilità tecnologiche standardizzando tali requisiti.
Armonizzare le normative sulla gestione del rischio in un unico framework
Con il DORA, l’UE può contare su un quadro di sicurezza coerente per gestire i rischi TIC, principalmente nel settore dei servizi finanziari. Ciò eliminerà le incongruenze tra i diversi Paesi dell’UE per quanto riguarda i rispettivi standard e renderà più facile seguire la procedura di conformità per gli istituti finanziari. Il regolamento DORA aiuterà le organizzazioni a capire meglio cosa fare in caso di rischi legati alla sicurezza.
I 5 pilastri della conformità DORA
Le organizzazioni dell’UE interessate dal DORA dovranno seguire i cinque pilastri della conformità entro il 17 gennaio 2025.
1. Gestione del rischio TIC
La gestione del rischio TIC è alla base del DORA, dal momento che il regolamento rileva e analizza i rischi associati all’utilizzo della tecnologia da parte delle organizzazioni. Le istituzioni finanziarie devono seguire un framework di gestione del rischio TIC con l’aiuto di stakeholder cruciali e membri di gestione con più esperienza per stabilire una comunicazione efficace sui potenziali rischi legati alla sicurezza. La procedura di gestione del rischio TIC deve descrivere in dettaglio gli strumenti, i documenti e i processi appropriati per difendere un’organizzazione dai rischi operativi e dalle minacce informatiche. Senza un’adeguata gestione del rischio TIC, le organizzazioni avranno maggiori probabilità di subire violazioni dei dati e altri problemi di sicurezza che potrebbero danneggiare le loro attività e la loro reputazione.
2. Segnalazione degli incidenti TIC
Una volta stabilito un framework di gestione del rischio TIC, le organizzazioni devono sapere come segnalare gli incidenti che si verificano. Con il DORA, la segnalazione degli incidenti TIC diventerà più semplice e i report verranno consolidati in un canale più snello. Le organizzazioni finanziarie dovranno presentare a un hub unificato a livello europeo un report relativo alle cause principali di eventuali problemi TIC entro un mese dalla data in cui si è verificato un grave incidente in base alle nuove regole di segnalazione dell’UE. Una volta inviato tale report, l’hub dell’UE esaminerà tutti i materiali relativi alle TIC ricevuti e raccoglierà i dati per determinare se ci sono vulnerabilità di sicurezza comuni tra gli istituti finanziari.
3. Test di resilienza operativa digitale
Alcune entità finanziarie attualmente richiedono a terzi indipendenti di condurre regolarmente test di resilienza operativa digitale, grazie a cui vengono testati metodologie, procedure, strumenti e sistemi di recupero in preparazione a eventuali rischi legati alle TIC. Sebbene esistano già framework che coprono i test di resilienza operativa digitale per alcune organizzazioni finanziarie, il DORA consentirà di estendere tali requisiti a tutto il settore dei servizi finanziari. Ciò aumenterà il numero di organizzazioni necessarie per condurre test di resilienza operativa digitale, riducendo al minimo il costo dell’assunzione di terze parti indipendenti e minimizzando le probabilità che le organizzazioni subiscano attacchi informatici.
4. Condivisione di informazioni e intelligence
Una volta che il DORA sarà completamente messo in atto, le organizzazioni dovranno condividere le informazioni sulle minacce informatiche all’interno di comunità finanziarie affidabili. L’obiettivo principale è aiutare le altre organizzazioni a prendere coscienza delle potenziali minacce informatiche in modo da poter sviluppare le proprie soluzioni per proteggere le informazioni private. Le organizzazioni delineeranno e condivideranno le strategie utilizzate per contrastare le minacce informatiche al fine di migliorare la sicurezza generale della comunità dei servizi finanziari.
5. Gestione del rischio TIC legato alle terze parti
Le entità finanziarie devono avere contratti in essere con i fornitori di servizi TIC “critici”, evidenziando argomenti come la protezione dei dati e la gestione degli incidenti. Ciò che distingue alcuni fornitori di servizi TIC come “critici” è l’offerta di servizi fondamentali per lo svolgimento delle operazioni quotidiane di un’organizzazione. I contratti con tali fornitori di terze parti garantiscono che essi siano in grado di supportare le organizzazioni finanziarie affiliate in caso di violazione dei dati o di altri attacchi informatici. Ad esempio, quando viene firmato un contratto, il fornitore di terze parti dovrà condividere le informazioni appropriate e rispettare il più alto livello di standard di sicurezza per i servizi forniti a un’organizzazione finanziaria conforme al DORA per via del suo stato cosiddetto stato “critico”.
Come prepararsi per la conformità al DORA
La tua organizzazione può prepararsi a soddisfare i requisiti del DORA in vari modi, tra cui l’analisi del gap DORA, l’individuazione dei fornitori di terze parti critici e l’analisi del piano di risposta agli incidenti attuale.
Eseguire un’analisi del gap DORA
Per determinare tutte le lacune tra i sistemi TIC, la tua organizzazione deve eseguire un’analisi del gap DORA. Puoi esaminare le pratiche attuali confrontandole con quelle richieste dal DORA, il che ti aiuterà a individuare meglio le aree che la tua organizzazione deve migliorare per conformarsi ai nuovi requisiti. Sulla base dei risultati dell’analisi del gap DORA, potrebbe essere necessario creare una roadmap per colmare tali lacune all’interno della tua organizzazione. Ad esempio, se l’analisi del gap evidenzia che la tua organizzazione non partecipa alla condivisione delle informazioni, allora dovrai individuare tali azioni e stabilire una timeline per garantire che la conformità al DORA.
Individuare i fornitori di TIC di terze parti “critici”
La tua organizzazione deve determinare se stai lavorando con fornitori di TIC di terze parti “critici”, individuando tutte le caratteristiche che definiscono questa categorizzazione. Se utilizzi fornitori di servizi cloud di terze parti, il tuo team di sicurezza deve assicurarsi che anche questi fornitori siano conformi al DORA e abbiano contratti in essere. È importante individuare quali fornitori di servizi di terze parti rientrano nella categoria “critici”, perché potrebbe essere necessario stabilire dei team e apportare modifiche al software per garantire la conformità al DORA.
Valutare i piani attuali di risposta agli incidenti
Un piano di risposta agli incidenti assegna le responsabilità e indica le procedure da seguire in caso di violazione dei dati o di attacco informatico. Avendo stabilito un piano di risposta agli incidenti, la tua organizzazione non dovrà farsi prendere dal panico se qualcosa andrà storto, ma sarà pronta a individuare, valutare, porre rimedio e prevenire che gli attacchi si ripetano. Ipotizzando che la tua organizzazione abbia già un piano di risposta agli incidenti in essere, dovrai valutare nuovamente se il piano attuale è conforme o meno al DORA. Valuta il tuo piano attuale mettendolo a confronto con i requisiti del DORA per determinare se la tua organizzazione seguirà mandati specifici. Se testi il piano di risposta agli incidenti simulando una violazione dei dati e scopri vulnerabilità, dovrai anche apportare modifiche ai report interni per soddisfare gli standard del DORA.
Cosa succede se le aziende non rispettano il DORA?
Se un’entità finanziaria non è conforme al DORA, le autorità possono imporre multe fino al 2% delle entrate globali annuali dell’organizzazione. Oltre alle conseguenze negative per il mancato rispetto del DORA per tutta l’azienda, anche i singoli manager potranno ricevere una sanzione finanziaria fino a un milione di euro. Per i fornitori di TIC di terze parti “critici” che non rispettano il DORA, la sanzione potrebbe arrivare a cinque milioni di euro.
Come KeeperPAM® può aiutarti a soddisfare la conformità al DORA
La tua organizzazione può rafforzare la propria sicurezza e soddisfare determinati requisiti di conformità al DORA investendo in una soluzione di gestione degli accessi privilegiati (PAM) come KeeperPAM. Utilizzando KeeperPAM, la tua organizzazione sarà in grado di monitorare e gestire da vicino i dipendenti e i sistemi che gestiscono dati sensibili e account critici, riducendo notevolmente gli errori o le vulnerabilità che potrebbero portare a violazioni dei dati o attacchi informatici. KeeperPAM può aiutare le organizzazioni del settore finanziario a soddisfare la conformità al DORA riducendo la superficie di attacco, garantendo l’accesso sicuro per gli utenti autorizzati e ottenendo report completi per ogni account con privilegi.
Richiedi una demo di KeeperPAM oggi stesso per garantire che la tua organizzazione sia preparata per i requisiti di conformità al DORA e al sicuro, grazie ai più alti livelli di protezione per i dati sensibili.
