Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale per la sicurezza informatica

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

Leadership

Il team di leadership di MetaCompliance

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Che cos'è il Digital Operational Resilience Act (DORA)?

DORA

sull'autore

Condividi questo post

Il DORA interessa il settore dei servizi finanziari dell'UE e questa normativa sta per fare scalpore nel settore finanziario. Ecco una panoramica di alcuni degli obblighi DORA che le istituzioni finanziarie devono rispettare.

Il settore dei servizi finanziari è da tempo un innovatore e un innovatore tecnologico. I progressi nel settore bancario e finanziario hanno fatto sì che la trasformazione digitale del settore abbia fatto passi da gigante. Ma le nuove tecnologie e i nuovi modi di lavorare attirano i criminali informatici. Il risultato è che gli attacchi contro il settore finanziario sono in aumento.

Nel 2021, il settore bancario ha registrato unaumentodel 1.318% degli attacchi ransomware e il 65% delle grandi organizzazioni finanziarie ha subito un attacco informatico nel 2020. La gravità degli attacchi informatici sempre più complessi e dannosi nel settore finanziario ha portato all'introduzione di una nuova legislazione nel lessico della regolamentazione dei servizi finanziari, il cui nome è DORA (Digital Operational Resilience Act).

Nozioni di base di DORA

La prima bozza della DORA è stata pubblicata il 24 settembre 2020 e il 10 settembre 2022 è stata approvata dal Parlamento europeo. La normativa avrà un ruolo centrale nel "pacchetto finanza digitale", utilizzato per consentire l'innovazione e la concorrenza nel settore della finanza digitale, mitigando al contempo i rischi derivanti dalla digitalizzazione del settore.

L'articolo 114 del Trattato sul funzionamento dell'Unione europea (TFUE) è la base giuridica della DORA; la legislazione si concentra sull'armonizzazione delle linee guida sulla sicurezza informatica in tutto il settore. 

L'UE ama utilizzare strumenti normativi per consolidare e armonizzare le migliori pratiche; il GDPR è un esempio di regolamento armonizzato sulla privacy dei dati; il DORA è il tentativo dell'UE di consolidare e migliorare la gestione del rischio ICT nel settore finanziario, con un impatto sulle imprese di servizi finanziari dell'UE e sui loro fornitori (critici) di ICT.

Il DORA richiederà alle imprese del settore finanziario di implementare misure di protezione contro i rischi legati all'ICT: per questo motivo, il DORA estende i requisiti a terze parti, come i fornitori di cloud.

Quali obblighi richiede la DORA al settore finanziario?

L'obiettivo è creare un ambiente resiliente in tutto l'ecosistema dei servizi finanziari. Il quadro di riferimento del DORA si basa su una serie di regole concepite per aiutare le istituzioni finanziarie a sviluppare solidi processi di gestione del rischio. Alcuni dei requisiti fondamentali e della copertura del DORA includono i seguenti:

Ambito di applicazione del DORA

Quasi tutti i tipi di entità finanziarie rientreranno nel campo di applicazione della DORA. Le entità coperte comprendono istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi di cripto-asset, fondi di investimento alternativi, gestori di assicurazioni, ecc. Fanno eccezione i revisori dei conti, che attualmente non sono soggetti alle norme DORA, ma è probabile che questo cambi nelle future versioni della legge. Per un elenco completo delle entità coperte, si veda l'articolo 2 del DORA.

Anche i fornitori di TIC che forniscono servizi alle entità coperte dal DORA devono attenersi alla legge. I fornitori di TIC sono considerati fondamentali per il settore finanziario e, in quanto tali, sono soggetti a norme rigorose ai sensi del DORA. I fornitori di servizi ICT critici non basati nell'UE che forniscono servizi a entità finanziarie nell'UE devono stabilire una filiale all'interno dell'UE.

Fornitori di TIC e DORA

La gestione del rischio di terze parti è una parte fondamentale del DORA. L'attenzione ai fornitori di ICT è una reazione all'aumento degli attacchi alla catena di fornitura, come l'aggiornamento del software SolarWinds Orion. L'Agenzia dell'Unione Europea per la Cybersecurity (ENISA) ha segnalato un aumento della sofisticazione e del volume degli attacchi alla catena di fornitura, con gli aggressori che prendono di mira la catena di fornitura per rubare dati e beni finanziari. La DORA coordina i requisiti utilizzando i quadri di riferimento esistenti, come le Linee guida sull'outsourcing dell'Autorità bancaria europea (EBA). (Si veda anche l'articolo 14 del DORA)

In base al DORA, le imprese finanziarie possono definire alcuni fornitori di TIC come "critici". In quanto tale, un fornitore di TIC critico che fornisce servizi a un'entità coperta dal DORA sarà soggetto a regole rigorose applicate tramite un impegno diretto con le autorità FS (servizi finanziari) dell'UE.

Misure chiave di sicurezza informatica

I valori fondamentali della legislazione DORA sono il mantenimento di sistemi ICT resilienti. A tal fine, sono state definite le seguenti linee guida:

Gestione del rischio e resilienza

Al centro del DORA ci sono le linee guida per la gestione del rischio che aiutano il settore dei servizi finanziari a costruire infrastrutture più resilienti. I programmi e le valutazioni di gestione del rischio che ne derivano sono utilizzati come base per i test di resilienza. Inoltre, la normativa prevede che vengano effettuate analisi dell'impatto sul business basate su scenari di "grave interruzione dell'attività".

I test di resilienza e vulnerabilità devono essere eseguiti da esperti indipendenti e includere regolari test di penetrazione guidati dalle minacce. È importante che tutti i sistemi ICT critici siano testati annualmente.

Misure di protezione (si veda anche l'articolo 8)

Esempi di misure di protezione richieste sono:

  • Utilizzare politiche appropriate e complete per le patch e gli aggiornamenti.
  • Implementare politiche e protocolli per meccanismi di autenticazione forte.
  • Seguire un approccio basato sul rischio per stabilire una solida gestione della rete e dell'infrastruttura.
  • Implementare politiche che limitino l'accesso fisico e virtuale alle risorse e ai dati del sistema ICT.
  • Prevenire la fuga di informazioni

Gestione delle TIC e degli incidenti

L'articolo 15 contiene dettagli sui requisiti per la gestione e il controllo degli incidenti di sicurezza, comprese le procedure per "rilevare, gestire e notificare gli incidenti legati alle TIC e mettere in atto indicatori di allarme rapido come allarmi".

Segnalazione di incidenti di sicurezza informatica

Le entità coperte devono fornire un mezzo per monitorare, descrivere e segnalare alle autorità competenti qualsiasi incidente significativo basato sulle TIC. Le regole di segnalazione sono più severe per i fornitori di TIC critici. Esse prevedono una prima notifica entro la fine della giornata lavorativa o, se l'incidente significativo si è verificato più di 2 ore prima della fine della giornata lavorativa, entro 4 ore dall'inizio della giornata lavorativa successiva.

Da qui, è richiesto un rapporto intermedio entro una settimana dalla notifica iniziale, seguito da un rapporto finale quando l'analisi delle cause è stata completata entro un mese dall'invio del rapporto iniziale.

Responsabilità di gestione e sicurezza

La DORA pone la responsabilità dei rischi ICT e delle minacce informatiche in capo al gruppo dirigente dei servizi finanziari. L'offerta di una formazione di sensibilizzazione alla sicurezza contribuirà a garantire che il livello C e l'intera azienda si concentrino sulla sicurezza.

La DORA copre anche aspetti essenziali della gestione e della risposta in materia di sicurezza informatica, come la condivisione delle informazioni (cfr. articolo 40).

Quale sarà il prossimo passo di DORA?

Il regolamento prevede un periodo di attuazione di 24 mesi per le entità finanziarie e i loro fornitori di servizi critici di terze parti a partire dall'entrata in vigore della normativa. Pertanto, si consiglia alle entità coperte di utilizzare i 24 mesi che intercorrono tra la data di entrata in vigore della normativa e l'implementazione di misure conformi per effettuare un'analisi delle lacune: misure come i test di penetrazione guidati dalle minacce e le regole di segnalazione rigorose potrebbero altrimenti cadere in questa lacuna.

Cyber Security Awareness per Dummies | Formazione sulla consapevolezza della sicurezza per i fornitori di terze parti

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti