Digital Operations Resilience Act
Maggio 2022
Maggio 2022
Il regolamento dell’Unione Europea sulla resilienza operativa digitale (DORA) promuove la convergenza a livello europeo in merito ai requisiti che gli enti finanziari devono adottare per innalzare la sicurezza dei propri sistemi digitali. Si applica a tutti gli operatori del settore finanziario, inclusi i fornitori di servizi ICT quali i provider di servizi cloud computing, software, data analytics e data center, ovvero terze parti che, attraverso la tecnologia, favoriscano il percorso degli attori finanziari verso la digitalizzazione.
La norma entrerà in vigore a metà del 2022 e dovrà essere implementata dalle organizzazioni interessate entro la metà del 2023. La conformità degli operatori alle regole emanate dalla normativa sarà assicurata da un costante monitoraggio svolto dalle autorità europee competenti che avranno facoltà di applicare sanzioni in caso di violazione.
I requisiti definiti dal regolamento fanno riferimento alle seguenti aree:
ICT Governance. L’organo di gestione degli operatori deve a mantenere un ruolo attivo e cruciale nella gestione dei rischi di sicurezza e dovrà garantire il rispetto di una scrupolosa igiene informatica. Devono altrettanto essere garantiti relativamente alla sicurezza: una chiara definizione di ruoli e responsabilità aziendali, un impegno costante nel controllo e nel monitoraggio dei rischi tramite processi definiti, una adeguata allocazione di investimenti e formazione.
1
Coinvolgere direttamente l’organo di gestione nel processo di valutazione del rischio ICT e prevedere l’esplicita valutazione e il controllo dei rischi residui.
2
Prevedere investimenti specifici dedicati alla sicurezza.
3
Implementare e documentare l’esecuzione dei programmi di security awareness.
ICT Risk Management. Gli operatori devono minimizzare continuativamente il rischio ICT implementando le adeguate misure di protezione e devono definire soluzioni di continuità in grado di coprire tutti gli scenari rilevanti.
1
Aggiornare il framework di gestione del rischio ICT, prevendendone l’integrazione con un piano di Business Continuity e Disaster Recovery.
2
Evolvere il piano di Business Continuity e Disaster Recovery verso un piano di Operational Resilience considerando gli scenari di attacchi cyber e le relative contromisure.
ICT incident reporting. Gli operatori devono implementare un processo per il monitoraggio e la gestione degli incidenti IT, prevedendone la classificazione sulla base di criteri prescritti che saranno sviluppati da un comitato congiunto delle Autorità di Vigilanza Europee (ESAs).
1
Predisporre report costantemente aggiornati sugli incidenti in essere, prevedendo di informare i clienti sugli eventuali impatti qualora li coinvolgessero.
2
Definire o modificare i processi di segnalazione degli incidenti attualmente implementati, in aderenza alle nuove linee guida.
Digital operational resilience testing. In accordo al principio di proporzionalità, cioè in funzione delle dimensioni, del profilo commerciale e di rischio delle entità finanziarie, vi è l’obbligo di condurre test di penetrazione avanzati basati su minacce di strumenti, sistemi e processi ad uso dei servizi digitali. Sono previsti requisiti specifici per il personale che esegue questi test e il riconoscimento dei risultati dei test in tutta l'Unione per ogni entità finanziaria operante negli Stati membri.
1
Prevedere il coinvolgimento di Terze Parti qualificate nella conduzione di attività di red-teaming in accordo al framework TIBER-EU.
2
Richiedere esplicitamente l’utilizzo di personale avente le qualifiche richieste per l’esecuzione dei test.
ICT Third-Party management. Abilitare un monitoraggio completo del rischio delle Terze Parti ICT durante le fasi preliminari, di esecuzione, e post-contrattuali del rapporto. Mantenere un Registro delle Terze Parti definendo precisi requisiti e clausole all’interno dei contratti tra Entità Finanziarie e Terze Parti ICT.
1
Prevedere processi continuativi di definizione e revisione delle misure di sicurezza contrattuali e tecniche relative alle terze parti in funzione dei livelli di servizio erogati.
Reporting alle Autorità. Stabilire modalità di scambio e condivisione delle informazioni tra gli operatori in merito a minacce e incidenti di sicurezza con l’obiettivo di ridurne la propagazione e sostenere le capacità di difesa.
1
Definire il protocollo di scambio e condivisione delle informazioni con altri operatori finanziari in merito a minacce relative alla sicurezza, anche avvalendosi del supporto delle strutture dei sistema nazionali.
Per rispondere ai requisiti regolamentari in modo adeguato è necessario identificare delle azioni specifiche che, oltre a consentire di raggiungere la conformità alla normativa, consentano di rafforzare in modo misurabile il livello di sicurezza aziendale.
Tra le azioni che Accenture Security, in aggiunta ai servizi di definizione e improvement dei processi e delle soluzioni di sicurezza del nostro catalogo servizi offerto ai principali Clienti italiani da anni, evidenziamo:
Accenture in Italia conta numerose risorse dedicate alla sicurezza che operano su attività di consulenza, trasformazione, validazione, risposta agli incidenti e gestione in outsourcing di soluzioni di sicurezza. L’unione di queste persone genera un mix unico di competenze che consente di offrire soluzioni di adeguamento ai requisiti normativi che vanno oltre la semplice conformità normativa e garantiscono una vista concreta dei rischi sui servizi digitali dei nostri Clienti.