DORA: nuove regole per la resilienza digitale nel settore finanziario

Il DORA è diventato realtà nel gennaio 2025. Per molti fornitori di servizi finanziari, questo significa maggiori sforzi, nuovi processi e, allo stesso tempo, l'opportunità di integrare strategicamente la sicurezza e la resilienza.

Quasi nessun altro settore dipende dalle infrastrutture digitali come il settore finanziario. Che si tratti di transazioni di pagamento, di negoziazione di titoli o di comunicazione con i clienti, oggi tutto funziona attraverso sistemi in rete. E sono proprio questi sistemi a essere sempre più spesso bersaglio di attacchi informatici. I cyberattacchi e le violazioni dei dati sono purtroppo diventati quasi una consuetudine, il che ha alimentato la necessità di quadri normativi più severi.

L'UE sta rispondendo con una serie completa di regolamenti che forniscono uno scudo digitale alle organizzazioni finanziarie: il Digital Operational Resilience Act (DORA). Ma cosa significa concretamente e come possono prepararsi le istituzioni finanziarie?

‍

Che cos'è il DORA?

In risposta alla crescente situazione di minaccia, l'Unione Europea ha creato per la prima volta un quadro europeo standardizzato per la resilienza digitale nel settore finanziario con DORA. Tuttavia, il DORA non mira solo a creare una base di vigilanza standardizzata, ma anche a garantire una maggiore sicurezza informatica e una migliore resilienza alle crisi nell'intero settore.

Chi è interessato?
In breve: quasi tutte le istituzioni finanziarie regolamentate - banche, compagnie di assicurazione, gestori patrimoniali, fornitori di servizi di pagamento e i loro fornitori di servizi informatici, anche se questi ultimi hanno sede al di fuori dell'UE.

Scadenza importante:
Il regolamento è in vigore dal gennaio 2023. Tutti i requisiti devono essere implementati entro il 17 gennaio 2025, senza eccezioni.

‍

Perché DORA conta ora

Le minacce informatiche sono in rapido aumento, come dimostrano i dati di Svizzera e Germania. Allo stesso tempo, crescono le aspettative delle autorità di vigilanza e dei clienti: La sicurezza, la trasparenza e la disponibilità non sono più un piacevole extra, ma requisiti critici per l'azienda.

In questo contesto, il DORA mette ordine in un panorama precedentemente frammentato di norme e regolamenti. Non si tratta di reagire alle influenze esterne, ma di praticare attivamente la resilienza digitale: i sistemi devono evitare le interruzioni, mantenere i processi aziendali e tornare a funzionare rapidamente, anche in caso di crisi.

In un'epoca di paesaggi IT sempre più complessi - dalle infrastrutture ibride agli ambienti multi-cloud - gli istituti finanziari si trovano ad affrontare una nuova realtà: la semplice protezione della propria infrastruttura IT non è più sufficiente; gli istituti finanziari devono essere in grado di dimostrare in qualsiasi momento come i dati sensibili vengono elaborati, archiviati e condivisi internamente ed esternamente - un compito impegnativo, ma anche un'enorme opportunità per portare la propria infrastruttura digitale a un nuovo livello.

‍

Cosa richiede il DORA: i requisiti più importanti

1. Gestione del rischio ICT
   È obbligatorio un quadro di riferimento completo e documentato. La responsabilità è chiaramente del management. Non è più sufficiente essere consapevoli dei rischi informatici, occorre valutarli e affrontarli sistematicamente.
   
   
2. Obblighi di segnalazione degli incidenti
   Gli incidenti informatici gravi, come quelli che causano interruzioni significative del servizio, violazioni della protezione dei dati o perdita di integrità, devono essere segnalati immediatamente all'autorità di vigilanza, anche se non si conoscono ancora tutti i dettagli. In questo caso sono fondamentali processi chiari e team ben coordinati.
   
   
3. Test di resilienza
   Le società finanziarie devono mettere regolarmente alla prova i propri sistemi, ad esempio effettuando test di penetrazione che simulino scenari di attacco realistici. Più grande è l'azienda, più severi sono i requisiti.
   
   
4. Tenere d'occhio i fornitori terzi
   La gestione dei fornitori di servizi IT è una questione particolarmente delicata. I contratti devono essere conformi al DORA, anche con i fornitori di servizi al di fuori dell'UE, ad esempio stipulando clausole contrattuali che garantiscano la conformità agli standard di resilienza e sicurezza dell'UE.

Le sfide e come affrontarle

Nelle discussioni con i clienti, incontriamo ripetutamente domande e incertezze simili:

• Come possiamo documentare in modo completo i nostri processi di trattamento dei dati?
• Come mantenere una visione d'insieme in ambienti multi-cloud?
• Come possiamo assicurarci che anche i nostri fornitori di servizi siano conformi al DORA?

"Non è più sufficiente proteggere la propria infrastruttura tecnica. Le banche e i fornitori di servizi finanziari devono essere in grado di dimostrare in qualsiasi momento come vengono elaborati, archiviati e trasmessi i dati sensibili, sia internamente che esternamente".

‍

"Non è più sufficiente proteggere la propria infrastruttura tecnica. Le banche e i fornitori di servizi finanziari devono essere in grado di dimostrare in qualsiasi momento come vengono elaborati, archiviati e trasmessi i dati sensibili, sia internamente che esternamente".

- Alexander Sommer, il nostro CEO, riassume il tutto in poche parole

‍

Cosa aiuta ora:

• Esecuzione di un'analisi delle lacune per valutare lo stato attuale
• Creazione di una solida gestione dei fornitori terzi con criteri e audit chiari.
• Introduzione di strumenti automatizzati per il monitoraggio, la reportistica e gli audit trail

‍

Conclusione: da un insieme di regole a una strategia di resilienza

Il DORA è più di un semplice obbligo normativo. È un'opportunità per ripensare la sicurezza digitale come parte integrante della strategia aziendale. Chi agisce ora non sarà solo conforme, ma anche resiliente.

‍

‍

Per tutti quelli che vogliono approfondire

Nel nostro ePaper abbiamo preparato DORA in modo pratico - inclusivo:

• Liste di controllo per ogni campo d'azione
• Raccomandazioni specifiche per l'attuazione
• Approfondimento delle soluzioni tecnologiche che possono fornire supporto già oggi

👉 Scarica ora gratuitamente