Digital Operational Resilience Act (DORA): i contenuti del regolamento
A cura di Daniela Mazzarone, responsabile della practice Cybersecurity Strategy & Governance
La resilienza operativa digitale rappresenta la capacità di un'organizzazione di costruire e assicurare nel tempo la propria affidabilità operativa anche in occasione di perturbazioni, siano esse provocate da attacchi informatici, guasti tecnici o altre minacce.
Il Regolamento DORA, da applicare a partire dal 17 gennaio 2025 nel settore finanziario e nel mercato dei servizi digitali crea un quadro generale di resilienza digitale per i 27 Stati membri e definisce i criteri da applicare per raggiugere questi obiettivi.
Il testo del regolamento sottolinea l’importanza di una gestione proattiva dei rischi, con adattamenti continui in risposta alle nuove minacce e ai cambiamenti tecnologici, accompagnata dall’adozione di controlli di sicurezza che aiutino a ridurre l'incidenza delle minacce digitali e ne attenuino l’impatto qualora si verificassero; il monitoraggio continuo per rilevare attività anomale e rispondere tempestivamente a minacce emergenti, la conduzione dei test periodici di risposta agli incidenti e di continuità operativa, la formazione costante di tutto il personale e l’attenzione al livello di sicurezza delle terze parti che contribuiscono all’operatività.
I 5 pilastri di DORA
In particolare DORA si articola su 5 pilastri che stabiliscono delle linee guida per le organizzazioni in materia di sicurezza.
- Gestione del Rischio ICT (Articoli 5-16)
Il primo pilastro del DORA riguarda la gestione del rischio operativo. Le entità finanziarie sono tenute a identificare, categorizzare e gestire i rischi operativi associati alle loro attività digitali, ponendo l'accento sul coinvolgimento di tutta l’Organizzazione verso l'adozione e il mantenimento di misure che consentono di rispettare il livello di tollerenza identificata, con particolare enfasi sulle funzioni critiche e sull'evoluzione della Continuità Operativa in sistemi di resilienza completi.
- Gestione degli Incidenti ICT (Articoli 17-23)
La gestione degli incidenti è un aspetto fondamentale per garantire la resilienza operativa nel settore finanziario e nei servizi digitali e il Regolamento DORA stabilisce linee guida che implicano una risposta rapida, coordinata e ben pianificata agli eventi che minacciano la sicurezza e la continuità operativa delle aziende nel contesto digitale, nonchè la conduzione di un'analisi post-mortem per identificare le lezioni apprese e le aree di miglioramento. Questo processo di apprendimento continuo è essenziale per rafforzare la resilienza operativa e prevenire futuri incidenti simili.
- Test di Resilienza Operativa Digitale (Articoli 24-27)
In ottica di raggiungimento della resilienza operativa è importante l'adozione di test come parte integrante della strategia di gestione dei rischi. I test di resilienza operativa digitale, conformi al DORA, mirano a valutare la capacità di un'organizzazione di resistere e riprendersi da eventi avversi nel contesto digitale.
- Gestione del Rischio ICT di Terze Parti (Articoli 28-30)
La gestione delle terze parti secondo il Regolamento DORA richiede alle aziende una gestione proattiva e attenta delle relazioni con le terze parti per proteggere le infrastrutture digitali e garantire la resilienza operativa, valutando e monitorando i rischi associati alla catena di approvvigionamento dei fornitori ICT in relazione alla tipologia, criticità e numerosità dei servizi erogati. Si richiede alle entità finanziarie di condurre una due diligence accurata prima di impegnarsi con una terza parte e monitorarla nel tempo, integrare requisiti di sicurezza nei contratti, nonché misure di contingenza in caso di risoluzione del contratto.
- Condivisione di Informazioni e Intelligence (Articolo 45)
Il quinto pilastro del DORA promuove la collaborazione e la condivisione di informazioni tra le entità finanziarie e autorità competenti al fine di proteggersi da minacce comuni, vulnerabilità, e per sostenere le capacità di difesa complessive per affrontare in modo efficace le minacce digitali anche transfrontaliere.
Le innovazioni introdotte da DORA
Il vero elemento innovativo del Regolamento DORA è, però, l’introduzione del concetto di governo end-to-end perché evidenzia che per garantire la resilienza è necessario adottare un approccio organizzativo collaborativo tra tutte le funzioni aziendali: la robustezza e la sicurezza dei servizi, delle infrastrutture e dei sistemi deve essere considerata come un obiettivo comune da perseguire, richiede un impegno continuo che si estende oltre le tematiche tecniche.
Ecco perché, come NTT DATA, supportiamo i nostri clienti nella costruzione di un modello di governance in cui la resilienza agisce come un “orchestratore”, definisce gli obiettivi e stabilisce i requisiti, coordina e sincronizza le diverse componenti tecniche, organizzative e di processo, al fine di guidare le decisioni aziendali verso l’obiettivo comune di garantire la resilienza dei servizi di business importanti.
L’approccio applicato in questo modello di governance è il superamento della frammentazione che inevitabilmente può crearsi quando le funzioni organizzative operano a “silos” all’interno del loro perimetro di responsabilità; abilitando invece le interazioni in maniera trasversale l’efficacia di un controllo/processo può essere notevolmente amplificata.
È evidente che la resilienza digitale va oltre la conformità normativa, ma conferisce anche un vantaggio competitivo perché questo approccio è una chiave per affrontare le sfide della digitalizzazione, garantendo la sostenibilità e la prosperità delle organizzazioni nel panorama digitale in continua evoluzione.