Riassunto del regolamento DORA

Una rapida spiegazione di DORA e di cosa significa questo regolamento per le finanze mondiali.

> Riassunto del regolamento DORA

8 DOMANDE E RISPOSTE SULLA LEGGE SULLA RESILIENZA OPERATIVA DIGITALE

Può fornirci una sintesi della normativa DORA? È una domanda che Bureau Veritas Cybersecurity riceve spesso. Eva van Emmerik e Ben Brücker, entrambi esperti di Bureau Veritas Cybersecurity, rispondono alle domande più frequenti sulla DORA.

DORA è l'acronimo di Digital Operational Resilience Act. Il settore finanziario europeo deve conformarsi a questo regolamento europeo sulla cybersecurity entro l'inizio del 2025.

1. Che cos'è DORA?

DORA si concentra sulla protezione delle reti e dei sistemi informativi. Si tratta di una direttiva mondiale che tutto il settore finanziario dell'UE deve seguire", afferma Eva van Emmerik. Lavora come Group Manager Finance presso Bureau Veritas Cybersecurity e assiste le organizzazioni del settore finanziario nella loro sicurezza digitale. L'obiettivo di questa legge è di rendere il settore più resistente ai rischi digitali".

2. QUANDO LA DORA SI APPLICHERÀ ALLA MIA ORGANIZZAZIONE?

Van Emmerik: 'Il regolamento DORA è entrato in vigore il 16 gennaio 2023. A partire dal 17 gennaio 2025, tutte le società finanziarie europee dovranno conformarsi. I dettagli del regolamento stanno diventando più chiari. Il Lotto 1 degli Standard Tecnici Regolamentari, o RTS, e gli Standard Tecnici Implementativi (ITS) sono stati pubblicati il 17 gennaio 2024. Il Lotto 2 di questi standard è stato pubblicato il 17 luglio 2024". Ciò significa che ha un tempo limitato per prepararsi alla DORA Compliance.

3. PERCHÉ È STATA CREATA DORA?

'Naturalmente il mondo finanziario è già coperto da tutti i tipi di leggi e regolamenti e dalla supervisione che ne deriva', dice Van Emmerik. Ma si concentrano principalmente sull'aspetto finanziario, come i rischi di credito o la lotta alle frodi".

Negli ultimi anni si è assistito ad un aumento dei requisiti di Cybersecurity: Nel 2016 c'è stata la direttiva NIS, che mirava a proteggere le reti e i sistemi informativi. Ma DORA è il primo standard al mondo per il settore finanziario che dice esplicitamente: dovete mappare i vostri rischi ICT digitali'.

Tutte le organizzazioni finanziarie dovranno soddisfare gli stessi requisiti, più o meno, spiega Van Emmerik: 'Questo regolamento non si applica solo alle grandi banche, che spesso sono comunque ben regolamentate e che danno la priorità alla Cybersecurity'.

Il vantaggio principale di DORA è che l'intero settore diventerà più resistente alle minacce", afferma Van Emmerik. E ci aspettiamo che la cooperazione internazionale diventi più facile, perché siamo tutti tenuti a lavorare nello stesso modo".

Eva van Emmerik

Direttore finanziario del Gruppo

Bureau Veritas Cybersecurity

Il vantaggio maggiore di DORA è che l'intero settore finanziario dell'UE diventerà più resistente alle minacce.

4. A CHI SI APPLICA DORA?

DORA non si applica solo alle banche e alle istituzioni finanziarie, ma anche ai fornitori critici del settore finanziario, spiega Van Emmerik: "Ad esempio, l'azienda che gestisce la rete di una banca".

Se la banca è sicura, ma il fornitore ICT non lo è, c'è comunque un rischio importante. Ecco perché anche questi fornitori sono coperti da DORA". Tuttavia, i fornitori di servizi critici avranno regole leggermente diverse rispetto alle banche o ai gestori patrimoniali.

Ben Brücker

Responsabile del Red Teaming

Bureau Veritas Cybersecurity

È importante eseguire un test che abbia una profondità sufficiente a creare un quadro accurato della Cyber resilience di un'azienda, ma in un modo che renda il test accessibile.

5. COSA SIGNIFICA DORA PER LA MIA ORGANIZZAZIONE?

'Non credo che DORA sarà molto eccitante per le grandi banche e i fondi pensione che già dedicano molto tempo alla sicurezza', afferma Van Emmerik. Queste grandi aziende dovrebbero fare un'analisi delle lacune: in quali aree siamo già conformi e cosa dobbiamo ancora fare?

'Sono le aziende più piccole ad affrontare una sfida. Potrebbero dover iniziare ad adottare misure di cui non avevano bisogno prima".

I 5 elementi principali di DORA sono:

Un'organizzazione deve avere un quadro di gestione del rischio ICT
Un'organizzazione deve avere un Processo di Incident Response.
I test di sicurezza devono essere eseguiti più spesso e saranno obbligatori.
I rischi di terze parti devono essere mappati, ad esempio i rischi che corrono i suoi fornitori.
La condivisione di informazioni sulle minacce sarà obbligatoria

PROCESSO DI RISPOSTA AGLI INCIDENTI AMPLIATO

DORA implica un processo di incident response ampliato, afferma Van Emmerik: 'In precedenza, questo processo era una parte standard del quadro di gestione del rischio che un'organizzazione già possedeva. Ma il DORA fa un ulteriore passo avanti. Bisogna classificare un incidente e, in alcuni casi, segnalarlo correttamente".

TEST PIÙ FREQUENTI E OBBLIGATORI

La nuova legislazione significa anche: test più frequenti e obbligatori, afferma Ben Brücker, esperto di Red Teaming di Bureau Veritas Cybersecurity. 'Le istituzioni finanziarie devono eseguire un Threat-Led Penetration Test, o TLPT, una volta ogni tre anni. Questi test possono includere anche i fornitori di servizi IT. Al momento i test non sono ancora obbligatori, quindi si tratta di un cambiamento".

Il tipo di TLPT (Threat-Led Penetration Test) che DORA renderà obbligatorio sarà probabilmente una variazione degli standard Red Teaming esistenti. Tuttavia, gli Standard Tecnici Regolamentari su questo argomento non sono ancora definiti.

6. QUAL È IL RAPPORTO TRA NIS2 E DORA?

DORA non è l'unica direttiva importante sulla Cybersecurity che entrerà in vigore nei prossimi anni. Anche NIS2, applicabile dall'ottobre 2024, stabilisce i requisiti per la sicurezza digitale di aziende e organizzazioni in Europa.

Come si relazionano queste due direttive? Van Emmerik: "Entrambe riguardano la sicurezza informatica. La differenza è che DORA si concentra esclusivamente sul settore finanziario, mentre NIS2 copre tutti i settori critici. DORA sarà leader per il settore finanziario".

Un'altra differenza è che NIS2 è una direttiva che ogni Stato membro deve integrare nella propria legge nazionale. DORA è una legge che si applica a tutti gli Stati membri.

7. DA DOVE DOVREBBE INIZIARE LA MIA ORGANIZZAZIONE CON DORA?

PASSO 1: TRACCIARE UNA MAPPA DELLA GESTIONE DEL RISCHIO

'I preparativi per DORA iniziano dal lato dei processi', consiglia Van Emmerik. È una buona idea verificare innanzitutto se si dispone di un quadro di gestione del rischio ICT. Questa è la base. Esistono dei quadri standard che può utilizzare se non ne ha già uno".

FASE 2: FARE UN GAP ASSESSMENT.

Se ha già un quadro di riferimento, verifichi se ci sono lacune tra il suo quadro di riferimento e la nuova normativa. I security testing fanno già parte della sua gestione del rischio o no? E i suoi fornitori?

PASSO 3: VERIFICARE IL SUO PROCESSO DI INCIDENTE

Rifletta sul suo processo di gestione degli incidenti. Ha la capacità di segnalare gli incidenti in modo corretto?

PASSO 4: CREARE O MIGLIORARE IL PIANO DI TEST

Cosa testerò? Quando lo testerò? Come dimostrerò ciò che ho testato? Si assicuri di avere un programma di test o un piano di test per i prossimi anni e trovi un partner in grado di aiutarla ad eseguirlo".

La sua organizzazione ha già una postura di sicurezza matura? In tal caso, il consiglio di Van Emmeriks è di condurre un'analisi delle lacune per verificare quali misure aggiuntive deve implementare per DORA.

8. QUAL È LA SFIDA PIÙ GRANDE QUANDO SI TRATTA DI DORA?

Sebbene Van Emmerik e Brücker siano generalmente positivi su DORA, si aspettano alcuni problemi.

1. CARICO DI LAVORO PESANTE

'Se lei è un CISO che lavora da solo in un'organizzazione che non ha investito molte risorse nella cybersecurity, DORA significherà molto lavoro extra', afferma Van Emmerik.

'C'è così tanto lavoro in arrivo per il settore a causa di DORA e NIS2, che probabilmente non ci saranno abbastanza Persone per completarlo tutto nel tempo a nostra disposizione. Le persone che si occupano di sicurezza sono scarse, quindi questa è la prima sfida".

2. SEGNALAZIONE DEGLI INCIDENTI

'DORA richiederà di segnalare gli incidenti di sicurezza. Ma la domanda è: come viene gestito questo requisito?", chiede Van Emmerik. Dove finiranno queste informazioni? Può mettere a disagio le organizzazioni che devono segnalare questo tipo di incidenti".

3. RISCHI DI TERZE PARTI

Una terza sfida quando si tratta di DORA: ottenere il controllo dei rischi di terze parti, dice Van Emmerik: 'E se la vostra terza parte è un piccolo fornitore IT o una parte straniera di cui non avete alcun controllo? Come farà a gestirlo? Questo non è chiaro".

Siete invitati

Si unisca al nostro prossimo webinar in cui parleremo degli ultimi Regulatory Technical Standards (RTS) Batch 2 all'interno di DORA. Scopra in modo interattivo e coinvolgente come interpretare e applicare questi standard nella sua organizzazione.

Questo webinar offre due prospettive essenziali: da una prospettiva tecnica e da una prospettiva procedurale.

PRENOTI IL SUO POSTO OGGI STESSO

MAGGIORI INFORMAZIONI

Scopra come Bureau Veritas Cybersecurity può aiutarla a prepararsi per DORA. Compili il modulo e la contatteremo entro un giorno lavorativo.

Eva van Emmerik

Direttore finanziario del Gruppo

Ben Brücker

Red Teaming Manager | Specialista senior della sicurezza

Nome

Cognome

Azienda / Organizzazione

Numero di telefono

Come possiamo esservi d'aiuto?

Autorizzo il trattamento dei miei dati come descritto nell'Informativa sulla privacy e accetto i Termini e condizioni.

Acconsento all'utilizzo di questi dati da parte di Bureau Veritas Cybersecurity per ricevere ulteriori informazioni sui servizi, eventi o argomenti che potrebbero essere di mio interesse.