Il DORA interessa il settore dei servizi finanziari dell'UE e questa normativa sta per fare scalpore nel settore finanziario. Ecco una panoramica di alcuni degli obblighi DORA che le istituzioni finanziarie devono rispettare.
Il settore dei servizi finanziari è da tempo un innovatore e un innovatore tecnologico. I progressi nel settore bancario e finanziario hanno fatto sì che la trasformazione digitale del settore abbia fatto passi da gigante. Ma le nuove tecnologie e i nuovi modi di lavorare attirano i criminali informatici. Il risultato è che gli attacchi contro il settore finanziario sono in aumento.
Nel 2021, il settore bancario ha registrato unaumentodel 1.318% degli attacchi ransomware e il 65% delle grandi organizzazioni finanziarie ha subito un attacco informatico nel 2020. La gravità degli attacchi informatici sempre più complessi e dannosi nel settore finanziario ha portato all'introduzione di una nuova legislazione nel lessico della regolamentazione dei servizi finanziari, il cui nome è DORA (Digital Operational Resilience Act).
Nozioni di base di DORA
La prima bozza della DORA è stata pubblicata il 24 settembre 2020 e il 10 settembre 2022 è stata approvata dal Parlamento europeo. La normativa avrà un ruolo centrale nel "pacchetto finanza digitale", utilizzato per consentire l'innovazione e la concorrenza nel settore della finanza digitale, mitigando al contempo i rischi derivanti dalla digitalizzazione del settore.
L'articolo 114 del Trattato sul funzionamento dell'Unione europea (TFUE) è la base giuridica della DORA; la legislazione si concentra sull'armonizzazione delle linee guida sulla sicurezza informatica in tutto il settore.
L'UE ama utilizzare strumenti normativi per consolidare e armonizzare le migliori pratiche; il GDPR è un esempio di regolamento armonizzato sulla privacy dei dati; il DORA è il tentativo dell'UE di consolidare e migliorare la gestione del rischio ICT nel settore finanziario, con un impatto sulle imprese di servizi finanziari dell'UE e sui loro fornitori (critici) di ICT.
Il DORA richiederà alle imprese del settore finanziario di implementare misure di protezione contro i rischi legati all'ICT: per questo motivo, il DORA estende i requisiti a terze parti, come i fornitori di cloud.
Quali obblighi richiede la DORA al settore finanziario?
L'obiettivo è creare un ambiente resiliente in tutto l'ecosistema dei servizi finanziari. Il quadro di riferimento del DORA si basa su una serie di regole concepite per aiutare le istituzioni finanziarie a sviluppare solidi processi di gestione del rischio. Alcuni dei requisiti fondamentali e della copertura del DORA includono i seguenti:
Ambito di applicazione del DORA
Quasi tutti i tipi di entità finanziarie rientreranno nel campo di applicazione della DORA. Le entità coperte comprendono istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi di cripto-asset, fondi di investimento alternativi, gestori di assicurazioni, ecc. Fanno eccezione i revisori dei conti, che attualmente non sono soggetti alle norme DORA, ma è probabile che questo cambi nelle future versioni della legge. Per un elenco completo delle entità coperte, si veda l'articolo 2 del DORA.
Anche i fornitori di TIC che forniscono servizi alle entità coperte dal DORA devono attenersi alla legge. I fornitori di TIC sono considerati fondamentali per il settore finanziario e, in quanto tali, sono soggetti a norme rigorose ai sensi del DORA. I fornitori di servizi ICT critici non basati nell'UE che forniscono servizi a entità finanziarie nell'UE devono stabilire una filiale all'interno dell'UE.
Fornitori di TIC e DORA
La gestione del rischio di terze parti è una parte fondamentale del DORA. L'attenzione ai fornitori di ICT è una reazione all'aumento degli attacchi alla catena di fornitura, come l'aggiornamento del software SolarWinds Orion. L'Agenzia dell'Unione Europea per la Cybersecurity (ENISA) ha segnalato un aumento della sofisticazione e del volume degli attacchi alla catena di fornitura, con gli aggressori che prendono di mira la catena di fornitura per rubare dati e beni finanziari. La DORA coordina i requisiti utilizzando i quadri di riferimento esistenti, come le Linee guida sull'outsourcing dell'Autorità bancaria europea (EBA). (Si veda anche l'articolo 14 del DORA)
In base al DORA, le imprese finanziarie possono definire alcuni fornitori di TIC come "critici". In quanto tale, un fornitore di TIC critico che fornisce servizi a un'entità coperta dal DORA sarà soggetto a regole rigorose applicate tramite un impegno diretto con le autorità FS (servizi finanziari) dell'UE.
Misure chiave di sicurezza informatica
I valori fondamentali della legislazione DORA sono il mantenimento di sistemi ICT resilienti. A tal fine, sono state definite le seguenti linee guida:
Gestione del rischio e resilienza
Al centro del DORA ci sono le linee guida per la gestione del rischio che aiutano il settore dei servizi finanziari a costruire infrastrutture più resilienti. I programmi e le valutazioni di gestione del rischio che ne derivano sono utilizzati come base per i test di resilienza. Inoltre, la normativa prevede che vengano effettuate analisi dell'impatto sul business basate su scenari di "grave interruzione dell'attività".
I test di resilienza e vulnerabilità devono essere eseguiti da esperti indipendenti e includere regolari test di penetrazione guidati dalle minacce. È importante che tutti i sistemi ICT critici siano testati annualmente.
Misure di protezione (si veda anche l'articolo 8)
Esempi di misure di protezione richieste sono:
- Utilizzare politiche appropriate e complete per le patch e gli aggiornamenti.
- Implementare politiche e protocolli per meccanismi di autenticazione forte.
- Seguire un approccio basato sul rischio per stabilire una solida gestione della rete e dell'infrastruttura.
- Implementare politiche che limitino l'accesso fisico e virtuale alle risorse e ai dati del sistema ICT.
- Prevenire la fuga di informazioni
Gestione delle TIC e degli incidenti
L'articolo 15 contiene dettagli sui requisiti per la gestione e il controllo degli incidenti di sicurezza, comprese le procedure per "rilevare, gestire e notificare gli incidenti legati alle TIC e mettere in atto indicatori di allarme rapido come allarmi".
Segnalazione di incidenti di sicurezza informatica
Le entità coperte devono fornire un mezzo per monitorare, descrivere e segnalare alle autorità competenti qualsiasi incidente significativo basato sulle TIC. Le regole di segnalazione sono più severe per i fornitori di TIC critici. Esse prevedono una prima notifica entro la fine della giornata lavorativa o, se l'incidente significativo si è verificato più di 2 ore prima della fine della giornata lavorativa, entro 4 ore dall'inizio della giornata lavorativa successiva.
Da qui, è richiesto un rapporto intermedio entro una settimana dalla notifica iniziale, seguito da un rapporto finale quando l'analisi delle cause è stata completata entro un mese dall'invio del rapporto iniziale.
Responsabilità di gestione e sicurezza
La DORA pone la responsabilità dei rischi ICT e delle minacce informatiche in capo al gruppo dirigente dei servizi finanziari. L'offerta di una formazione di sensibilizzazione alla sicurezza contribuirà a garantire che il livello C e l'intera azienda si concentrino sulla sicurezza.
La DORA copre anche aspetti essenziali della gestione e della risposta in materia di sicurezza informatica, come la condivisione delle informazioni (cfr. articolo 40).
Quale sarà il prossimo passo di DORA?
Il regolamento prevede un periodo di attuazione di 24 mesi per le entità finanziarie e i loro fornitori di servizi critici di terze parti a partire dall'entrata in vigore della normativa. Pertanto, si consiglia alle entità coperte di utilizzare i 24 mesi che intercorrono tra la data di entrata in vigore della normativa e l'implementazione di misure conformi per effettuare un'analisi delle lacune: misure come i test di penetrazione guidati dalle minacce e le regole di segnalazione rigorose potrebbero altrimenti cadere in questa lacuna.