Che cos'è la legge sulla resilienza operativa digitale (DORA)?

Il Digital Operational Resilience Act (DORA) è una legislazione basata sull'Unione Europea volta a migliorare e standardizzare la resilienza digitale e il settore finanziario. DORA si fonda sulla semplice idea che le società finanziarie devono essere preparate a gestire le minacce alle tecnologie dell'informazione e della comunicazione (ICT).

Il panorama digitale moderno è irto di minacce sofisticate e frequenti agli asset critici e le istituzioni finanziarie devono dare priorità alla loro resilienza informatica.

Guardi un demo Scopri di più

Che cos'è la legge sulla resilienza operativa digitale (DORA)?

Che cos'è la Conformità DORA?

DORA incoraggia le organizzazioni a creare capacità flessibili di resilienza operativa all'interno di un quadro normativo previsto dalla legislazione, tra cui:

Sviluppo di solide pratiche di gestione del rischio
Conduzione di audit interni e autovalutazioni
Implementazione di controlli per minimizzare i rischi ICT

DORA si distingue per il fatto che mira a promuovere una governance forte, consentendo al contempo a ciascuna azienda di adattarsi al proprio contesto individuale. Alla luce di DORA, le aziende del settore finanziario devono essere pronte a rispondere efficacemente a varie forme di interruzioni digitali, dai guasti del sistema agli attacchi informatici, il tutto mantenendo le loro operazioni aziendali.

Perché è necessario DORA?

Il settore finanziario opera in un ambiente digitale altamente interconnesso.

Questa crescente dipendenza dalle TIC e dai fornitori di servizi di terze parti per i sistemi e le infrastrutture mission-critical ha aumentato la superficie di attacco digitale e quindi le organizzazioni finanziarie hanno un'esposizione molto maggiore alle minacce alla sicurezza informatica . Gli attacchi informatici che compromettono o interrompono i sistemi, alterano o esfiltrano dati sensibili e distruggono la reputazione istituzionale minacciano la stabilità dell'intero sistema finanziario.

Tenendo conto dei requisiti di conformità DORA, è importante che le organizzazioni che operano nella sfera finanziaria rafforzino le capacità di gestione del rischio IT e di resilienza operativa. Un approccio efficace comprende tutti gli aspetti del rischio correlato alle TIC, tra cui:

Implementando i requisiti di DORA, gli istituti finanziari fanno passi da gigante per proteggersi dalle minacce informatiche, mantenere la continuità aziendale e rafforzare la fiducia con i propri clienti.

Cosa copre il DORA?

Il suo obiettivo principale è la resilienza operativa per garantire la continuità delle operazioni in un ambiente digitale potenzialmente ostile. Per rispondere rapidamente alle minacce ICT, le aziende che operano nel settore dei servizi finanziari devono dare priorità ai loro piani di resilienza in base a questi sei principi fondamentali:

Gestione del rischio: creazione di un quadro di gestione del rischio ICT, che includa una governance interna completa, autovalutazioni e controlli per identificare e ridurre al minimo il rischio.
Condivisione di informazioni e intelligence: le entità finanziarie sono incoraggiate a disporre di processi per segnalare e condividere informazioni sulle minacce informatiche all'interno della comunità della sicurezza.
Gestione del rischio di terze parti: DORA richiede che le organizzazioni implementino misure di sicurezza che coprano la catena di approvvigionamento.
Pianificazione della continuità aziendale: i servizi finanziari devono disporre di un piano di continuità completo e ben collaudato per mantenere le operazioni durante gli incidenti di sicurezza.
Risposta agli incidenti e gestione delle crisi: una componente chiave della resilienza digitale, DORA impone la presenza di un piano di risposta agli incidenti ben sviluppato per classificare, gestire e segnalare gli incidenti ICT.
Test e monitoraggio continui: DORA richiede alle organizzazioni di condurre test e monitoraggio regolari dei sistemi per attività anomale per garantire che siano resilienti contro le minacce informatiche.

I requisiti primari di DORA

I seguenti elementi rappresentano i requisiti fondamentali che gli istituti finanziari e i fornitori di servizi devono rispettare mentre lavorano per raggiungere la piena conformità DORA:

Le organizzazioni devono implementare controlli per ridurre al minimo il rischio ICT e devono essere in grado di dimostrare la resilienza attraverso test regolari, dimostrando di essere in grado di resistere agli incidenti di sicurezza senza interruzioni significative dei servizi.
DORA impone l'istituzione di solidi processi di gestione del rischio ICT, che prevedono autovalutazioni approfondite per identificare l'attuale posizione di sicurezza dell'organizzazione e le potenziali vulnerabilità.
Le organizzazioni devono allocare risorse per migliorare la resilienza alle minacce informatiche. Ciò include l'incoraggiamento della presenza di personale qualificato con esperienza nella gestione dei sistemi ICT.
Le organizzazioni devono inoltre preparare una documentazione dettagliata che elabori le misure adottate per garantire la resilienza delle operazioni digitali. Ciò include piani di continuità, piani di risposta agli incidenti per rispondere agli incidenti legati alle TIC, strutture di governance dei dati e attività di test e reporting.
I controlli introdotti da DORA nei confronti dei sistemi ICT di terze parti (es. cloud fornitori) incoraggiano le organizzazioni a classificare e valutare i contratti, richiedono ulteriori garanzie di conformità dai fornitori di servizi e aggiornano la copertura assicurativa per soddisfare i nuovi requisiti.

In che modo le organizzazioni possono iniziare a prepararsi per DORA?

Gli istituti finanziari devono iniziare i preparativi completando una valutazione delle lacune per identificare le aree in cui è necessario migliorare. La valutazione del divario dovrebbe determinare la conformità DORA con le linee guida ESA, NIS e CROE insieme agli standard di gestione del rischio IT come NIST CSF, ISO, ITIL e COBIT.

A seconda delle specifiche della tua organizzazione, anche la conformità HIPAA può essere un fattore.

In definitiva, questa analisi aiuterà a identificare le aree chiave che non rientrano nella conformità con DORA e informerà la creazione di una strategia di resilienza digitale.

Dopo aver completato la valutazione delle lacune, le organizzazioni devono creare una roadmap che definisca le tempistiche di implementazione e aiuti a dare priorità ai piani per l'allocazione delle risorse e l'implementazione dei sistemi di sicurezza per soddisfare i requisiti di conformità.

DORA avrà un impatto sulla mia organizzazione?

Un aspetto chiave di DORA è l'aumento della vigilanza sulle entità finanziarie da parte delle autorità di vigilanza europee (ESA). Ciò porterà a controlli più rigorosi per garantire la resilienza digitale.

Le organizzazioni del settore finanziario avranno bisogno di investimenti significativi nella gestione del rischio IT e nelle capacità di rilevamento e sicurezza delle minacce informatiche. Inoltre, la direttiva NIS2, uno standard di sicurezza informatica parallelo a DORA, interesserà un'ampia gamma di settori aziendali. Insieme, queste normative possono portare a un aumento dei costi poiché le organizzazioni riorganizzano i propri sistemi e il personale per conformarsi ai loro severi requisiti.

Tenendo conto di tutte queste sfide, è fondamentale adottare un approccio proattivo per aderire ai requisiti DORA. DORA porterà a un maggiore controllo e a normative più severe sulle imprese del settore finanziario, il che si tradurrà in costi più elevati per queste istituzioni.

Iniziando ora, le organizzazioni possono navigare meglio in questo nuovo panorama normativo in modo da essere completamente preparate per i requisiti DORA.

Stato attuale di DORA

DORA è entrato in vigore nel gennaio 2023 e le organizzazioni hanno tempo fino a gennaio 2025 per conformarsi pienamente al regolamento, quindi è essenziale che le organizzazioni inizino immediatamente il lavoro di preparazione della conformità.

Con l'avvicinarsi della scadenza per la conformità, è sempre più importante per i professionisti della sicurezza nel settore finanziario capire quali misure devono adottare per garantire la conformità DORA.

Due tappe fondamentali da tenere presenti prima di gennaio 2025 sono i processi di certificazione da parte delle ESA e l'avvio dei test di penetrazione basati sulle minacce (TLPT) obbligatori, che forniranno un quadro di riferimento per valutare la preparazione delle istituzioni finanziarie.

Come le soluzioni Check Point aiutano con la Conformità DORA

Mentre navighiamo tra le complessità di DORA, con l'avvicinarsi della scadenza per la piena conformità, le organizzazioni devono adottare misure proattive per garantire la conformità.

Per soddisfare le normative per la segnalazione rapida degli incidenti, la gestione del rischio di terze parti e l'aumento dei requisiti di audit, è essenziale adottare misure proattive per comprendere l'attuale prontezza e identificare le aree dell'organizzazione che potenzialmente non rientrano nella conformità.

La valutazione della prontezza NIS2/DORACheck Point può aiutarti a migliorare o raggiungere la conformità preparando la tua organizzazione per DORA prima della scadenza di gennaio 2025.

Check Point Software è ben attrezzato per collaborare con te per prepararti a NIS2 e DORA. Lavorando insieme, possiamo promuovere una cultura della resilienza operativa all'interno della tua organizzazione per ridurre il rischio di minacce informatiche e di non conformità normativa.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK