Insights

Regolamento DORA: un nuovo standard per la Resilienza Operativa Digitale nel settore finanziario europeo

Annunciato a fine 2022 nella Gazzetta Ufficiale dell'Unione Europea, il DORA - acronimo di Digital Operational Resilience Act - è oggi diventato una realtà e un tema urgente per le imprese del settore finanziario. Il DORA è un regolamento che mira a rafforzare la resilienza operativa digitale, in maniera prescrittiva e concreta: in questo senso, può essere considerato sia un quadro normativo che stabilisce obblighi legali, sia un framework di sicurezza, che definisce le misure tecniche e operative che le entità finanziarie devono adottare per rafforzare e proteggere i propri sistemi.  Questa nuova regolamentazione rappresenta un passo fondamentale verso la creazione di un sistema finanziario più sicuro e adattabile, in grado di affrontare le minacce informatiche sempre più evolute del presente e le sfide di complessità crescente del futuro.

Cos'è il regolamento DORA?

Questo nuovo regolamento dell'Unione Europea definisce un quadro normativo completo per la gestione del rischio delle tecnologie dell'informazione e della comunicazione nel settore finanziario.

Il suo obiettivo principale è quello di armonizzare le normative sulla gestione del rischio ICT esistenti nei vari Stati membri dell'UE, creando un approccio uniforme e coerente in tutta l'Unione.

Il DORA si concentra sulla resilienza informatica, ossia la capacità delle aziende di prevenire, rispondere e riprendersi da incidenti di cybersicurezza. Questo include la protezione di reti e sistemi informativi, la gestione dei rischi ICT, la segnalazione degli incidenti, l'esecuzione di test di resilienza e la gestione dei servizi di terze parti.

A chi si applica il regolamento DORA?

Simile al GDPR per la protezione dei dati personali, il DORA consolida e aggiorna la gestione dei rischi informatici e Cloud delle società che offrono servizi finanziari.

Si applica, infatti, a una vasta gamma di entità finanziarie che operano nell'UE, sia tradizionali che innovative. Questo include:

 

  • Istituti di credito
  • Istituti di pagamento
  • Istituti di moneta elettronica
  • Società di gestione degli investimenti
  • Fornitori di servizi crypto
  • Fondi di investimento alternativi
  • Responsabili assicurativi aziendali
  • Fornitori di servizi di crowdfunding
  • Agenzie di rating del credito
  • Repertori di dati sulle negoziazioni
  • Sedi di negoziazione
  • Società fintech
  • Provider di servizi di terze parti ICT

 

È importante sottolineare che il DORA si estende anche ai fornitori di servizi ICT che supportano le entità finanziarie, come i provider di cloud computing e data center. Questo sottolinea come la resilienza operativa digitale non sia solo responsabilità delle singole aziende, ma di tutto l'ecosistema finanziario ed informatico. 

Trattandosi di una direttiva UE, la Svizzera è toccata solo in parte: bisogna, però, sottolineare che le best practice normate dal DORA costituiscono una prassi virtuosa e utile a prescindere dagli obblighi di legge, e andrebbero pertanto implementate anche dalle imprese svizzere.

Peraltro, i dettami del nuovo framework riprendono le disposizioni della FINMA, l'Autorità Federale di Vigilanza sui Mercati Finanziari, ossia l'ente svizzero incaricato di monitorare i player finanziari della confederazione. 

Quando è entrato in vigore il regolamento DORA?

Il regolamento DORA è entrato in vigore il 16 gennaio 2023 ed è diventato effettivo lo scorso 17 gennaio 2025.

Sono diversi gli step richiesti per conformarsi pienamente ai requisiti del DORA: il primo passo per gli enti finanziari è un’autovalutazione, da effettuare e comunicare all’Autorità entro il 30 aprile 2025.

Adeguare le proprie infrastrutture e i propri processi alle nuove normative è, oggi, cruciale e urgente per le imprese: ecco perché abbiamo organizzato un webinar di approfondimento con gli esperti di Tinext Cloud.

Guarda il replay del webinar
GUARDA ORA

Servizi informatici e Cloud necessari per la compliance con DORA

Un approccio strutturato è essenziale per coprire i quattro pilastri chiave della conformità al DORA, fondamentali per garantire la resilienza operativa digitale del settore finanziario, ossia la gestione del rischio informatico, la segnalazione e notifica di incidenti o attacchi, i test di resilienza operativa e la gestione del rischio di terze parti. 

Vediamo in dettaglio ciascun ambito e gli elementi a cui prestare attenzione: 

 

  • Gestione del rischio informatico, strutturata in fasi specifici, dato che le entità finanziarie sono chiamate a mappare le funzioni di business supportate dai servizi ICT, identificare quelle più critiche, valutando le minacce e implementando policy di sicurezza, per monitorare eventuali attività anomale e garantire la continuità operativa;
  • Segnalazione e notifica di incidenti e minacce, attraverso il monitoraggio costante dei servizi per valutare gli eventi anomali e le minacce informatiche, da notificare tempestivamente alle autorità competenti. I criteri considerati per la notifica includono il numero, la dislocazione geografica e l’autorevolezza dei clienti coinvolti, le transazioni interessate e gli impatti reputazionali ed economici;
  • Test di resilienza operativa digitale: qui il Regolamento DORA impone ai player finanziari di definire ed eseguire annualmente un programma di test di resilienza operativa digitale, così da valutare la preparazione in caso di incidenti e attacchi esterni sui sistemi ICT. Ad esempio, è richiesta l'esecuzione di penetration test che imitano le tattiche reali di potenziali malintenzionati, con lo scopo di identificare le falle di sicurezza;
  • Gestione del rischio di terze parti, ossia il fatto che anche i fornitori di servizi ICT sono tenuti a dimostrare la propria affidabilità e solidità. Le imprese devono identificare i proprio fornitori chiave, valutarli e assicurarsi che rispettino gli standard di sicurezza richiesti. Tinext Cloud è, in questo senso, un provider sicuro, certificato ISO e conforme agli standard internazionali, già attivo nel supporto a player finanziari globali,  operanti nel rispetto della regolamentazione FINMA.

 

Per aiutare le aziende a raggiungere la conformità al DORA, offriamo una serie di servizi di sicurezza avanzati, ispirati alle best practice del settore, cosiddetti Managed Services, tra cui:

 

  • Managed Detection and Response (MDR), protezione dalle minacce informatiche con implementazione di una end point protection gestita;
  • Vulnerability management, servizi per identificare le vulnerabilità e simulare le intrusioni, riducendo la superficie di attacco e garantendo la conformità dei sistemi
  • Managed Web Application Protection, servizi di sicurezza web personalizzabili per proteggere le applicazioni da attacchi informatici;
  • Disaster Recovery as a Service (DRaaS) - servizio che permette la creazione di repliche di sistemi tra siti remoti, per una rapida riattivazione in caso di emergenza.

Verso un futuro digitale più sicuro: resilienza informatica

Il regolamento DORA rappresenta un passo importante per migliorare la resilienza operativa digitale del settore finanziario europeo. Implementando le misure richieste dalla nuova normativa e adottando soluzioni di sicurezza avanzate, le entità finanziarie possono proteggere le proprie attività, i dati dei clienti e contribuire alla stabilità dell'intero sistema economico. Tinext Cloud si impegna a fornire le soluzioni e il supporto necessari per affrontare le sfide del futuro, oggi.