Digital Operational Resilience Act (DORA): le prossime tappe
A cura di Lorenzo Arlechino, Executive Manager
A partire dal 17 gennaio 2025, le entità operanti nel settore finanziario - inclusi gli operatori insurance - dovranno garantire la piena conformità al nuovo Regolamento DORA, che crea un quadro generale di resilienza digitale per i 27 Paesi UE, ed alle misure da esso definite per assicurare la resilienza operativa digitale delle funzioni essenziali di business.
Il primo passo fondamentale per un’entità finanziaria per raggiungere la compliance a DORA entro le tempistiche previste, è quello di acquisire consapevolezza circa il proprio livello attuale di conformità. Solo partendo dalla conoscenza del punto di partenza, si potranno identificare e pianificare tutte le azioni di remediation necessarie per attuare o rinforzare le misure che dovessero risultare mancanti o carenti.
Come affrontare il percorso di compliance a DORA : l’approccio “fast” di NTT DATA, in 3 fasi
Per l’esecuzione di un assessment finalizzato a valutare l’attuale livello di conformità ai requisiti definiti da DORA, ed identificare conseguentemente una roadmap di adeguamento, come NTT DATA proponiamo ai nostri Clienti un approccio “fast”.
“Fast” perchè l’obiettivo dell’assessment è completare la valutazione nel minor tempo possibile, indicativamente 8 settimane ma variabili a seconda dalle dimensioni e dal perimetro del Cliente, in maniera da avere più tempo possibile a disposizione per l’attuazione delle remediation entro le scadenze imposte dall’UE.
Fase 1: assessment del livello di conformità al Regolamento
L’assessment si focalizza pertanto sull’identificazione delle aree sulle quali il Cliente dovrà intervenire prioritariamente per assicurarsi che non si stiano trascurando le tematiche principali declinate da DORA. Eventuali approfondimenti verticali su tematiche già adeguatamente presidiate dal Cliente, potranno invece essere rimandate alla fase di remediation. Ciò è basato anche sul fatto che alcuni dei documenti di specifica tecnica sulle modalità implementative di determinati requisiti DORA, denominati Regulatory Technical Standards (RTS) e Implementing Technical Standards (ITS), sono stati pubblicati soltanto in modalità “open public consultation” e la versione finale sarà emessa nel mese di luglio 2024.
La prima fase dell’assessment DORA che proponiamo prevede la valutazione del livello di conformità ai requisiti del Regolamento, a livello complessivo e singolarmente per ciascuno dei 5 pillar DORA: Gestione del rischio ICT, Gestione degli incidenti ICT, Test di resilienza operativa digitale, Gestione del rischio ICT di terze parti, Condivisione di informazioni e intelligence.
Le valutazioni di conformità sono basate su un modello proprietario di NTT DATA, in cui ciascuno degli articoli del Regolamento è stato scomposto in requisiti specifici e autoconsistenti. Il modello adottato si fonda inoltre su una logica di “pesatura” sulla base della rilevanza: ciascun articolo, all’interno del pillar di appartenenza, ha un peso percentuale diverso ai fini della valutazione del livello di conformità al pillar, così come all’interno di un singolo articolo ciascun requisito ha un peso percentuale diverso per la conformità all’articolo stesso.
L’approccio metodologico prevede che per ciascun requisito sia valutato il livello di conformità attuale, sulla base di analisi della documentazione disponibile ed interviste con i referenti identificati dal Cliente, secondo livelli di copertura predefiniti. Nella valutazione dei singoli requisiti del Regolamento, il nostro approccio prevede di tenere in considerazione anche quelli che sono le misure definite da RTS e ITS, in particolare per quelli già emessi in versione finale, comunque sempre secondo un approccio “fast” mirato a identificare in primis le macro-tematiche da indirizzare.
Sulla base delle valutazioni della copertura dei singoli requisiti, sarà possibile valutare il livello attuale di conformità al Regolamento DORA; la metodologia NTT DATA prevede di fornire al Cliente, per ciascun pillar e a livello complessivo, due diverse misurazioni del livello di conformità:
- la “percentuale di conformità”, che rappresenta una media matematica della percentuale di conformità dei singoli requisiti che compongono un articolo, e il relativo pillar;
- il “punteggio di conformità”, che rappresenta una media ponderata della percentuale di conformità dei singoli requisiti rispetto all’articolo, e dei singoli articoli rispetto al pillar, sulla base del peso assegnato a requisiti e articoli.
In questo modo il Cliente, oltre ad avere una vista sul proprio grado di conformità attuale al Regolamento, può avere un’indicazione generale sull’effort necessario per l’adeguamento.
Fase 2: valutazione del modello di governo con logica end-to-end
Il vero elemento innovativo del Regolamento DORA, più che le tematiche verticali declinate nei singoli pillar, è rappresentato dall’introduzione del concetto di governo end-to-end, secondo il quale per garantire la resilienza è necessario adottare un approccio organizzativo collaborativo tra i diversi processi e funzioni aziendali coinvolti. Per tale motivo, la seconda fase del nostro assessment DORA prevede l’analisi del modello di governo in essere.
L’obiettivo di questa fase è di valutare le interazioni in essere tra i diversi processi e controlli che concorrono alla resilienza operativa digitale, identificando possibili ottimizzazioni che possano consentire il raggiungimento di un modello di governo end-to-end e il superamento della frammentazione che può crearsi quando le funzioni organizzative operano a “silos” all’interno del loro perimetro di responsabilità. Abilitando invece interazioni in maniera trasversale, l’efficacia di un controllo/processo può essere notevolmente amplificata.
L’analisi viene condotta a partire da una “mappa delle relazioni” ideale, definita da NTT DATA, che rappresenta quelle che sulla base dei requisiti DORA dovrebbero essere le interazioni tra i diversi processi/controlli che concorrono alla resilienza operativa digitale. Sulla base dell’analisi documentale e delle interviste condotte nella prima fase, con eventuali approfondimenti specifici, vengono valutate quali interazioni sono in essere presso il Cliente e quali invece sono assenti o da rinforzare.
Fase 3: costruzione della roadmap di conformità
L’ultima fase dell’assessment DORA di NTT DATA prevede la definizione di una roadmap implementativa per il raggiungimento della piena conformità a DORA.
Il punto di partenza per la costruzione di tale roadmap è rappresentato dalla declinazione delle azioni di remediation necessarie per sanare i gap evidenziati dall’assessment sui requisiti DORA e dall’analisi del modello di governo. Per ciascuna azione viene poi definita una priorità, sulla base di valutazioni che tengono in conto fattori quali tempi, benefici, costi, rilevanza. Sono poi identificate le dipendenze tra le diverse azioni di remediation, al fine di definire il corretto ordine di esecuzione. La roadmap implementativa viene quindi costruita definendo per ciascuna azione elapsed temporale e ownership.
A questo punto, il Cliente è pronto per avviare la fase implementativa per l’adeguamento a DORA, e noi come NTT DATA siamo in grado di accompagnarlo a 360° anche nella messa a terra di tutte le eventuali azioni, che siano di natura organizzativa, procedurale/documentale o tecnica.