Il DORA interessa il settore dei servizi finanziari dell’UE e questa normativa sta per fare scalpore nel settore finanziario. Ecco una panoramica di alcuni degli obblighi DORA che le istituzioni finanziarie devono rispettare.

Il settore dei servizi finanziari è da tempo un innovatore e un innovatore tecnologico. I progressi nel settore bancario e finanziario hanno fatto sì che la trasformazione digitale del settore abbia fatto passi da gigante. Ma le nuove tecnologie e i nuovi modi di lavorare attirano i criminali informatici. Il risultato è che gli attacchi contro il settore finanziario sono in aumento.

Nel 2021, il settore bancario ha registrato unaumentodel 1.318% degli attacchi ransomware, e Il 65% delle grandi organizzazioni finanziarie ha subito un attacco informatico nel 2020. La gravità degli attacchi informatici sempre più complessi e dannosi nel settore finanziario ha portato all’introduzione di una nuova legislazione nel lessico della regolamentazione dei servizi finanziari, il cui nome è  DORA (Digital Operational Resilience Act).

Nozioni di base di DORA

La prima bozza della DORA è stata pubblicata il 24 settembre 2020 e il 10 settembre 2022 è stata approvata dal Parlamento europeo. La normativa avrà un ruolo centrale nel “pacchetto finanza digitale”, utilizzato per consentire l’innovazione e la concorrenza nel settore della finanza digitale, mitigando al contempo i rischi derivanti dalla digitalizzazione dell’industria.

L’articolo 114 del Trattato sul Funzionamento dell’Unione Europea (TFUE) è la base giuridica del DORA; la legislazione si concentra sull’armonizzazione delle linee guida sulla sicurezza informatica in tutto il settore. 

L’UE ama utilizzare strumenti normativi per consolidare e armonizzare le migliori pratiche; il GDPR è un esempio di regolamento armonizzato sulla privacy dei dati; il DORA è il tentativo dell’UE di consolidare e migliorare la gestione del rischio ICT in tutto il settore finanziario, e il DORA ha un impatto sulle imprese di servizi finanziari dell’UE e sui loro fornitori (critici) di ICT.

Il DORA richiederà alle imprese del settore finanziario di implementare misure che le proteggano dai rischi legati all’ICT: per questo motivo, il DORA estende i requisiti anche a terze parti, come i fornitori di cloud.

Quali obblighi richiede la DORA al settore finanziario?

L’obiettivo è quello di creare un ambiente resiliente in tutto l’ecosistema dei servizi finanziari. Il quadro di riferimento del DORA si basa su una serie di regole progettate per aiutare le istituzioni finanziarie a sviluppare solidi processi di gestione del rischio. Alcuni dei requisiti fondamentali e della copertura del DORA sono i seguenti:

Ambito di applicazione di DORA

Quasi tutti i tipi di entità finanziarie rientreranno nel DORA. Le entità coperte includono istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi di cripto-asset, fondi di investimento alternativi, gestori di assicurazioni, ecc. Fanno eccezione i revisori dei conti, che attualmente non sono soggetti alle regole del DORA, ma è probabile che questo cambierà nelle future versioni della legge. Per un elenco completo delle entità coperte, consulta l’articolo 2 del DORA.

Anche i fornitori di servizi ICT che forniscono servizi alle entità coperte dal DORA devono attenersi alla legge. I fornitori di TIC sono considerati fondamentali per il settore finanziario e, in quanto tali, sono soggetti a regole rigorose ai sensi del DORA. I fornitori di servizi ICT critici non basati nell’UE che forniscono servizi a entità finanziarie nell’UE devono stabilire una filiale all’interno dell’UE.

Fornitori di ICT e DORA

La gestione del rischio di terze parti è una parte fondamentale del DORA. L’attenzione ai fornitori di ICT è una reazione all’aumento degli attacchi alla catena di fornitura, come l’aggiornamento del software SolarWinds Orion. L’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) ha segnalato un aumento della sofisticazione e del volume degli attacchi alla catena di fornitura, con gli aggressori che prendono di mira la catena di fornitura per rubare dati e beni finanziari. La DORA coordina i requisiti utilizzando i quadri di riferimento esistenti, come le linee guida sull’outsourcing dell’Autorità bancaria europea (EBA). (Vedi anche l’articolo 14 del DORA)

In base al DORA, le società finanziarie possono definire alcuni fornitori di ICT come “critici”. Per questo motivo, un fornitore di TIC critico che fornisce servizi a un’entità coperta dal DORA sarà soggetto a regole rigorose applicate tramite un impegno diretto con le autorità FS (servizi finanziari) dell’UE.

Misure chiave di sicurezza informatica

I valori fondamentali della legislazione DORA sono il mantenimento di sistemi ICT resilienti. Per raggiungere questo obiettivo, sono state definite le seguenti linee guida:

Gestione del rischio e resilienza

Al centro del DORA ci sono le linee guida per la gestione del rischio che aiutano il settore dei servizi finanziari a costruire infrastrutture più resilienti. I programmi e le valutazioni di gestione del rischio che ne derivano vengono utilizzati come base per i test di resilienza. Inoltre, la normativa prevede che vengano effettuate analisi dell’impatto aziendale basate su scenari di “grave interruzione dell’attività”.

I test di resilienza e vulnerabilità devono essere eseguiti da esperti indipendenti e devono includere regolari test di penetrazione guidati dalle minacce. È importante che tutti i sistemi ICT critici vengano testati annualmente.

Misure di protezione (vedi anche Articolo 8)

Esempi di misure di protezione necessarie sono:

  • Utilizza politiche appropriate e complete per le patch e gli aggiornamenti.
  • Implementa politiche e protocolli per i meccanismi di autenticazione forte.
  • Segui un approccio basato sul rischio per stabilire una solida gestione della rete e dell’infrastruttura.
  • Implementare politiche che limitino l’accesso fisico e virtuale alle risorse e ai dati del sistema ICT.
  • Prevenire la fuga di informazioni

Gestione degli incidenti ICT

L’articolo 15 contiene dettagli sui requisiti per la gestione e il controllo degli incidenti di sicurezza, tra cui le procedure per “rilevare, gestire e notificare gli incidenti legati alle TIC e mettere in atto indicatori di allarme precoce come avvisi”.

Segnalazione di incidenti di sicurezza informatica

Le entità coperte devono fornire un mezzo per monitorare, descrivere e segnalare alle autorità competenti qualsiasi incidente significativo basato sulle TIC. Le regole di segnalazione sono più severe per i fornitori di TIC critici. Esse prevedono una prima notifica entro la fine della giornata lavorativa o, se l’incidente significativo si è verificato più di 2 ore prima della fine della giornata lavorativa, entro 4 ore dall’inizio della giornata lavorativa successiva.

Da qui, è richiesto un rapporto intermedio entro una settimana dalla notifica iniziale, seguito da un rapporto finale al termine dell’analisi delle cause principali entro un mese dall’invio del rapporto iniziale.

Responsabilità della gestione e della sicurezza

Il DORA pone la responsabilità dei rischi ICT e delle minacce informatiche in capo al gruppo dirigente dei servizi finanziari. Fornire una formazione di sensibilizzazione sulla sicurezza aiuterà a garantire che il livello C e l’intera azienda si concentrino sulla sicurezza.

Il DORA copre anche aspetti essenziali della gestione e della risposta alla sicurezza informatica, come la condivisione delle informazioni (vedi articolo 40).

Quali sono le prossime mosse di DORA?

Il regolamento prevede un periodo di attuazione di 24 mesi per le entità finanziarie e i loro fornitori di servizi critici di terze parti a partire dall’entrata in vigore della normativa. Pertanto, si consiglia alle entità coperte di utilizzare i 24 mesi che intercorrono tra la data di entrata in vigore della normativa e l’implementazione di misure conformi per effettuare un’analisi delle lacune: misure come i test di penetrazione guidati dalle minacce e le regole di reporting più severe potrebbero altrimenti cadere in questa lacuna.

Formazione di sensibilizzazione sulla sicurezza per i fornitori di terze parti