L’aumento delle minacce informatiche sta spingendo le autorità di regolamentazione a pubblicare norme vincolanti per aumentare la sicurezza informatica degli istituti finanziari e dei loro fornitori di tecnologia. Queste norme, concepite per rafforzare la loro resilienza informatica, richiedono una maggiore collaborazione tra le parti interessate, che non sempre sono abituate a lavorare insieme. Questo tema è stato affrontato alla MEGA Exchange Conference 2024, durante una conversazione tra Cyril Amblard-Ladurantie, Senior Product Marketing Manager for GRC di MEGA International e Imad Abounasr, Cybersecurity Associate di EY.
Il DORA (Digital Operational Resilience Act) è un nuovo regolamento europeo che entrerà in vigore il 17 gennaio 2025, volto a rafforzare la resilienza operativa degli operatori finanziari contro le minacce informatiche. La pubblicazione di alcuni dettagli tecnici e di implementazione (RTS, ITS) e i pilastri fondamentali dell’atto includono la gestione del rischio ICT, la gestione degli incidenti, i test di resilienza e la gestione del rischio di terze parti.
Imad Abounasr evidenzia le sfide principali, tra cui il tempo limitato rimasto per soddisfare le aspettative normative, la complessità dei regolamenti e la necessità di formalizzare nuovi processi basati sul rischio. “L’identificazione dei processi critici, la valutazione dei rischi associati e la gestione dei fornitori terzi sono essenziali. Poiché le terze parti spesso gestiscono processi critici, il DORA impone requisiti rigorosi per la loro selezione, supervisione e contrattazione. DORA”, prosegue, “attribuisce la responsabilità ultima della gestione del rischio ICT al livello dirigenziale e ciò richiede la creazione di un quadro di governance completo e di una strategia per la conformità. L’alta direzione deve quindi garantire che le misure di gestione del rischio siano adeguatamente implementate e monitorate”.
Dal punto di vista operativo, la conformità al DORA richiede la collaborazione di diversi dipartimenti e ruoli all’interno delle organizzazioni. Tra i principali stakeholder figurano l’IT, la gestione del rischio, gli esperti aziendali, la sicurezza e gli acquisti. Ogni reparto apporta le proprie competenze, contribuendo a un approccio completo alla gestione del rischio ICT. Gli enterprise architect svolgono quindi un ruolo centrale nella conformità al DORA grazie alla loro profonda comprensione dell’architettura applicativa e operativa. Essi collegano i processi aziendali con l’architettura del sistema informativo in modo da poter identificare i rischi ICT e dare priorità alle misure di mitigazione in conformità con i requisiti del DORA.
NIS 2, DORA, Cyber Resilience Act (CRA): identificare i punti in comune tra le diverse normative in materia di cyber
La DORA, la NIS 2 e le altre normative in materia di cyber condividono un obiettivo comune: migliorare la sicurezza e la maturità delle organizzazioni in termini di cybersecurity. Tuttavia, si differenziano per l’ambito di applicazione e i requisiti specifici. In termini di ambito di applicazione, “…il DORA si applica specificamente al settore finanziario, mentre il NIS 2 copre 18 diversi settori. Altri regolamenti si rivolgono ad aree più specifiche, come il Cyber Resilience Act (CRA) dell’Unione Europea (UE), che si concentra su prodotti o software con componenti digitali”. In termini di requisiti, il DORA delinea obblighi dettagliati per la resilienza operativa e la gestione del rischio ICT, con un campo di applicazione più ampio rispetto alla direttiva NIS 2. Si posiziona come “lex specialis” per la resilienza operativa digitale del settore finanziario. Insieme, questi regolamenti contribuiscono a creare un quadro normativo completo e coerente per la cybersecurity in Europa.
Strategie per la conformità al DORA: Pianificazione proattiva e collaborazione.
Imad Abounasr fornisce due raccomandazioni essenziali per guidare gli operatori del settore finanziario nel raggiungimento della conformità DORA:
Anticipare e pianificare
- Non sottovalutate la portata di questo compito. Il DORA introduce nuovi requisiti che richiedono un’analisi approfondita e l’adattamento dei processi esistenti.
- Iniziate subito. I tempi sono stretti, quindi è fondamentale iniziare a valutare la situazione attuale e definire una tabella di marcia per la conformità al DORA.
- Mobilitate le risorse necessarie. Il raggiungimento della conformità DORA richiede un approccio multidisciplinare. Create un team composto da esperti di sicurezza, rischio, business, IT e approvvigionamento per gestire il progetto.
Cogliere l’opportunità di miglioramento
- Il DORA non è solo un esercizio di conformità. Cogliete questa opportunità per rafforzare la maturità della resilienza operativa della vostra organizzazione. Iniziate eseguendo una mappatura completa dei processi aziendali critici, seguita dall’identificazione dei rischi operativi associati.
- Stabilite chiari collegamenti tra i rischi IT e quelli aziendali. Questo approccio olistico migliora la gestione del rischio e consente un’allocazione più efficiente delle risorse.
- Ricordate che il DORA è un processo continuo. Impostate un programma di monitoraggio e test regolari per garantire che le misure di resilienza rimangano efficaci contro le minacce in evoluzione. Adottate un approccio proattivo alla gestione del rischio e adattate continuamente la vostra strategia per conformarvi ai nuovi requisiti e alle best practice.