DORA: per la resilienza delle realtà finanziarie

di Massimiliano Galvagna - Country Manager per l’Italia di Vectra AI

In un’epoca caratterizzata da rapidi progressi tecnologici, garantire la resilienza e la sicurezza dei nostri sistemi finanziari è diventato più che mai fondamentale. Il Digital Operational Resilience Act (DORA), il nuovo quadro normativo recentemente introdotto dall’Unione Europea, si pone proprio in questa direzione, con l’obiettivo di rafforzare la cybersecurity e la resilienza operativa nel settore finanziario.

Il DORA si presenta come un potente strumento per armonizzare e rafforzare la resilienza operativa dei soggetti che operano nei mercati finanziari e delle autorità di vigilanza in tutta l’Unione Europea. Nato con l’obiettivo di perseguire continuità, cybersicurezza e stabilità, il nuovo quadro legislativo trascende i confini e promuove la collaborazione ai fini della salvaguardia delle funzioni critiche. Si applica a una vasta gamma di soggetti, tra cui istituti di credito, istituti di pagamento, istituti di moneta elettronica, controparti centrali e fornitori di data service.

5 pilastri per la compliance

Per garantire la conformità al DORA, gli operatori dei mercati finanziari devono conoscere e far propri i pilastri fondamentali della normativa, che si possono sintetizzare in cinque principi chiave:

1 Test di resilienza e scenari: secondo le linee guida del DORA, le organizzazioni sono chiamate a svolgere test di resilienza periodici per valutare la propria continuità operativa di fronte a minacce informatiche e legate all’IT. Creando ed eseguendo scenari realistici di stress-testing, vengono svelati vulnerabilità e punti deboli, aprendo la strada all’adozione di misure robuste e proattive.

2 Struttura di gestione del rischio ICT: il DORA pone un’enfasi giustificata sulla creazione di un quadro efficace di gestione del rischio dell’Information and Communication Technology (ICT). Grazie alla creazione di strutture di governance, policy e procedure complete, le organizzazioni possono identificare, valutare e mitigare in modo efficace i rischi legati all’ICT, promuovendo così la resilienza.

3 Segnalazione e comunicazione degli incidenti: la comunicazione tempestiva e trasparente è al centro della filosofia del DORA. Le organizzazioni sono tenute a segnalare tempestivamente gli incidenti significativi alle autorità di vigilanza competenti. Promuovendo un dialogo aperto, il settore finanziario può rispondere, coordinarsi e adattarsi in modo efficiente alle sfide poste da potenziali interruzioni.

4 Gestione del rischio di terzi: il DORA riconosce il ruolo vitale svolto dai fornitori di servizi terzi, che richiede un solido approccio alla gestione del rischio. Impegnandosi con prudenza, le organizzazioni dovrebbero condurre la due diligence quando selezionano e collaborano con terze parti, con particolare attenzione ai fornitori di servizi cloud. Applicando i controlli necessari, i rischi associati a tali partnership possono essere efficacemente mitigati.

5 Capacità di sicurezza informatica: riconoscendo l’evoluzione del panorama delle minacce, il DORA impone alle organizzazioni di rafforzare le proprie capacità di cybersecurity. Adottando un atteggiamento proattivo e adottando misure solide come meccanismi di autenticazione forti, protocolli di crittografia e sistemi di monitoraggio attenti, è possibile salvaguardare sistemi critici e dati di grande valore dagli attacchi dei criminali informatici.

Adeguarsi al nuovo quadro normativo

Per gli operatori dei mercati finanziari adeguarsi al DORA significa adottare misure concrete e tangibili. La prima è la valutazione del rischio, necessaria a portare alla luce potenziali vulnerabilità e aree di non conformità: valutare le misure di cybersecurity esistenti, i piani di risposta agli incidenti e le capacità di resilienza operativa rispetto ai requisiti del DORA è il primo passo per dirsi compliant con la normativa. Occorre poi sviluppare e documentare policy e procedure complete che incarnino lo spirito del DORA. Questi strumenti dovrebbero riguardare aree quali la segnalazione degli incidenti, la gestione del rischio di terze parti, la gestione del rischio ICT e i test di resilienza. È importante anche rafforzare i test di resilienza, stabilendo un programma di test rigoroso, con scenari realistici che valutino la resilienza operativa delle funzioni critiche. Rivedere e adattare in modo regolare il programma di test, per adeguarsi alle minacce emergenti e alle best practice del settore, garantisce che l’organizzazione rimanga ben preparata in caso di attacco.

Infine, occorre rafforzare le misure di sicurezza informatica, implementando attivamente misure avanzate di cybersecurity, come l’autenticazione a più fattori, i sistemi di rilevamento delle intrusioni e i protocolli di crittografia. Inoltre, è bene garantire aggiornamenti e patch regolari a software e sistemi, in modo da mitigare efficacemente le vulnerabilità note e migliorare la postura di sicurezza complessiva. Tutto ciò permette di predisporre piani di risposta agli incidenti efficaci e completi, che indichino chiaramente i passi da compiere in caso di incidenti di sicurezza o interruzioni di attività. Promuovendo una comunicazione continua, procedure di escalation precise e definendo ruoli e responsabilità, le organizzazioni possono ridurre i rischi e consentire una risposta rapida ed efficace.

Conclusione

Il Digital Operational Resilience Act rappresenta in questo senso un’opportunità senza precedenti per rafforzare la sicurezza e la stabilità dei nostri sistemi finanziari. Conformandosi in modo proattivo alle sue disposizioni, gli operatori dei mercati finanziari possono aprire la strada a un futuro di resilienza: test di resilienza, solidi quadri di gestione del rischio, piani di risposta agli incidenti efficaci e canali di comunicazione aperti permettono alle organizzazioni di essere più preparate, in modo da rafforzare i sistemi finanziari e salvaguardare il benessere del nostro mondo interconnesso.