Le novità del Digital Operational Resilience Act (DORA) | NTT DATA

mar, 20 febbraio 2024

Digital Operational Resilience Act (DORA): le novità che ci attendono

Dal prossimo gennaio nei Paesi membri dell’UE verrà applicato DORA, un regolamento che impatterà la gestione della cybersecurity e della resilienza nelle organizzazioni. Scopri in questo articolo le novità che verranno introdotte.

Digital Operational Resilience Act (DORA): i contenuti del regolamento

A cura di Daniela Mazzarone, responsabile della practice Cybersecurity Strategy & Governance

La resilienza operativa digitale rappresenta la capacità di un'organizzazione di costruire e assicurare nel tempo la propria affidabilità operativa anche in occasione di perturbazioni, siano esse provocate da attacchi informatici, guasti tecnici o altre minacce.
Il Regolamento DORA, da applicare a partire dal 17 gennaio 2025 nel settore finanziario e nel mercato dei servizi digitali crea un quadro generale di resilienza digitale per i 27 Stati membri e definisce i criteri da applicare per raggiugere questi obiettivi. 
Il testo del regolamento sottolinea l’importanza di una gestione proattiva dei rischi, con adattamenti continui in risposta alle nuove minacce e ai cambiamenti tecnologici, accompagnata dall’adozione di controlli di sicurezza che aiutino a ridurre l'incidenza delle minacce digitali e ne attenuino l’impatto qualora si verificassero; il monitoraggio continuo per rilevare attività anomale e rispondere tempestivamente a minacce emergenti, la conduzione dei test periodici di risposta agli incidenti e di continuità operativa, la formazione costante di tutto il personale e l’attenzione al livello di sicurezza delle terze parti che contribuiscono all’operatività. 

I 5 pilastri di DORA

In particolare DORA si articola su 5 pilastri che stabiliscono delle linee guida per le organizzazioni in materia di sicurezza.

  1. Gestione del Rischio ICT (Articoli 5-16)
    Il primo pilastro del DORA riguarda la gestione del rischio operativo. Le entità finanziarie sono tenute a identificare, categorizzare e gestire i rischi operativi associati alle loro attività digitali, ponendo l'accento sul coinvolgimento di tutta l’Organizzazione verso l'adozione e il mantenimento di misure che consentono di rispettare il livello di tollerenza identificata, con particolare enfasi sulle funzioni critiche e sull'evoluzione della Continuità Operativa in sistemi di resilienza completi.

  2. Gestione degli Incidenti ICT (Articoli 17-23)
    La gestione degli incidenti è un aspetto fondamentale per garantire la resilienza operativa nel settore finanziario e nei servizi digitali  e il Regolamento DORA stabilisce linee guida che implicano una risposta rapida, coordinata e ben pianificata agli eventi che minacciano la sicurezza e la continuità operativa delle aziende nel contesto digitale, nonchè la conduzione di un'analisi post-mortem per identificare le lezioni apprese e le aree di miglioramento. Questo processo di apprendimento continuo è essenziale per rafforzare la resilienza operativa e prevenire futuri incidenti simili.

  3. Test di Resilienza Operativa Digitale (Articoli 24-27)
    In ottica di raggiungimento della resilienza operativa è  importante l'adozione di test come parte integrante della strategia di gestione dei rischi. I test di resilienza operativa digitale, conformi al DORA, mirano a valutare la capacità di un'organizzazione di resistere e riprendersi da eventi avversi nel contesto digitale.
     
  4. Gestione del Rischio ICT di Terze Parti (Articoli 28-30)
    La gestione delle terze parti secondo il Regolamento DORA richiede alle aziende una gestione proattiva e attenta delle relazioni con le terze parti per proteggere le infrastrutture digitali e garantire la resilienza operativa, valutando  e monitorando i rischi associati alla catena di approvvigionamento dei fornitori ICT in relazione alla tipologia,  criticità e numerosità  dei servizi erogati. Si richiede alle entità finanziarie di condurre una due diligence accurata prima di impegnarsi con una terza parte e monitorarla nel tempo, integrare requisiti di sicurezza nei contratti, nonché misure di contingenza in caso di risoluzione del contratto.

  5. Condivisione di Informazioni e Intelligence (Articolo 45)
    Il quinto pilastro del DORA promuove la collaborazione e la condivisione di informazioni tra le entità finanziarie e autorità competenti al fine di proteggersi da minacce comuni, vulnerabilità, e per sostenere le capacità di difesa complessive per affrontare in modo efficace le minacce digitali anche transfrontaliere. 
Persona che lavora al computer con le mani sui tasti della tastiera

Le innovazioni introdotte da DORA

Il vero elemento innovativo del Regolamento DORA è, però, l’introduzione del concetto di governo end-to-end perché evidenzia che per garantire la resilienza è necessario adottare un approccio organizzativo collaborativo tra tutte le funzioni aziendali: la robustezza e la sicurezza dei servizi, delle infrastrutture e dei sistemi deve essere considerata come un obiettivo comune da perseguire, richiede un impegno continuo che si estende oltre le tematiche tecniche. 

Ecco perché, come NTT DATA, supportiamo i nostri clienti nella costruzione di un modello di governance in cui la resilienza agisce come un “orchestratore”, definisce gli obiettivi e stabilisce i requisiti, coordina e sincronizza le diverse componenti tecniche, organizzative e di processo, al fine di guidare le decisioni aziendali verso l’obiettivo comune di garantire la resilienza dei servizi di business importanti.
L’approccio applicato in questo modello di governance è il superamento della frammentazione che inevitabilmente può crearsi quando le funzioni organizzative operano a “silos” all’interno del loro perimetro di responsabilità; abilitando invece le interazioni in maniera trasversale l’efficacia di un controllo/processo può essere notevolmente amplificata.
È evidente che la resilienza digitale va oltre la conformità normativa, ma conferisce anche un vantaggio competitivo perché questo approccio è una chiave per affrontare le sfide della digitalizzazione, garantendo la sostenibilità e la prosperità delle organizzazioni nel panorama digitale in continua evoluzione. 

Article Tags:

Blog Cybersecurity Cybersecurity

Related Insights

Cybersecurity

Next-Gen Authentication: l’autenticazione e la sua evoluzione nel tempo

Gli attacchi informatici sono una minaccia sempre più presente, sia nella vita lavorativa, sia in quella privata: come garantire la sicurezza degli account degli utenti, rendendo l’esperienza il più possibile semplice e intuitiva? Scoprilo in questo articolo.

Cybersecurity

DevSecOps: la nuova frontiera della sicurezza del software

In una realtà digitale in cui le potenziali minacce si moltiplicano, adottare delle misure non solo reattive, ma anche preventive è fondamentale: a questo serve il DevSecOps, un approccio che incorpora la sicurezza fin dalla progettazione del software. Leggi l’articolo per scoprirne tutti i vantaggi.

Cybersecurity

DORA e NIS2: come garantire una strategia di cybersecurity sostenibile ed efficace attraverso un approccio di conformità integrato

Con la recente entrata in vigore del decreto di recepimento della direttiva NIS 2 e con la piena applicabilità del regolamento DORA a partire da gennaio 2025, è importante capire i punti di contatto tra queste due normative per costruire una strategia di cybersecurity efficace: scoprili in questo articolo.

Cybersecurity

DORA e la sicurezza delle terze parti: cosa è necessario sapere

Il Digital Operational Resilience Act (DORA) dedica una particolare attenzione alle terze parti che hanno accesso ai sistemi aziendali per fornire i loro servizi, perché potrebbero essere una potenziale fonte di rischio. Scopri in questo articolo come NTT DATA guida le aziende nel gestire questi casi attraverso una soluzione dedicata.

About Us

Crea nuovo valore per il tuo business

CAREERS

Trasforma il tuo futuro

Contattaci ora

Entra in contatto con NTT DATA

Contattaci