4.02 Atto di resilienza operativa digitale (DORA)
In questa lezione imparerai di più sul Digital Operational Resilience Act (DORA), nell'ambito del Regolamento della Finanza Digitale, mira a fornire indicazioni alle istituzioni del settore, stabilendo regole per la gestione degli incidenti legati all'ICT.
Al giorno d'oggi, gli attacchi alla sicurezza informatica rappresentano una seria minaccia per il settore finanziario: hanno la capacità di compromettere l'intero sistema. Il Digital Operational Resilience Act (DORA), nell'ambito del Regolamento della Finanza Digitale, mira a fornire indicazioni alle istituzioni del settore, stabilendo regole per la gestione degli incidenti legati all'ICT.
Contenuto
- Cos'è DORA?
- Quali sono i principali obiettivi del regolamento DORA?
- A quali entità si applica la DORA?
- Che tipo di definizioni vengono utilizzate in DORA?
- Aree chiave di DORA
- Quali sono le sfide previste per DORA?
- Quali azioni dovrebbero essere intraprese dal punto di vista degli enti finanziari?
Cos’è DORA?
DORA, il Regolamento del Parlamento Europeo e dell'Atto sulla resilienza operativa digitale del settore finanziario, fa parte del pacchetto Finanza Digitale.
Il pacchetto include anche:
- regolamento sui mercati in cripto asset (MiCA) ,
- regolamento su un regime pilota per le infrastrutture del mercato basato sulle tecnologie di registro distribuito (DLT).
DORA è entrata in vigore il 16 gennaio 2023 e il regolamento si applicherà dal 17 gennaio 2025.
Attualmente, il quadro generale per la cybersicurezza a livello UE è definito dalla Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio (NIS - Network and Information Systems Directive). Il suo emendamento, la cosiddetta direttiva NIS 2, dovrebbe entrare in vigore a breve.
DORA dovrebbe diventare il principale punto di riferimenti in termini di sicurezza informatica nel settore finanziario.
Quali sono i principali obiettivi del regolamento DORA?
L'obiettivo generale è aumentare la resilienza digitale operativa per le entità del settore finanziario dell'UE semplificando e migliorando le normative esistenti, nonché introducendo nuovi requisiti nelle aree in cui sono evidenti le lacune.
Il regolamento mira a consolidare e aggiornare i requisiti di rischio ICT (Information and Communications Technology) contenuti separatamente nei singoli regolamenti e direttive.
A quali entità si applica la DORA?
DORA si rivolge alle seguenti entità:
- istituti di credito,
- istituti di pagamento,
- istituti di moneta elettronica,
- imprese di investimento,
- fornitori di servizi di cripto-asset, emittenti di cripto-asset, emittenti di token con riferimento ad asset ed emittenti di token con riferimento ad asset significativi,
- depositari centrali di titoli,
- controparti centrali,
- sedi di negoziazione,
- repository commerciali,
- gestori di fondi d'investimento alternativi,
- società di gestione,
- fornitori di servizi di comunicazione dati,
- imprese di assicurazione e di riassicurazione,
- intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio,
- enti pensionistici aziendali o professionali,
- agenzie di rating del credito,
- revisori legali e società di revisione,
- amministratori di benchmark critici,
- fornitori di servizi di crowdfunding,
- repository di cartolarizzazione,
- fornitori terzi di servizi ICT.
Che tipo di definizioni vengono utilizzate in DORA?
- Per resilienza operativa digitale si intende la capacità di un'entità finanziaria di costruire, assicurare e rivedere la propria integrità operativa da un punto di vista tecnologico garantendo, direttamente o indirettamente, attraverso l'uso di servizi di fornitori terzi di ICT, l'intera gamma di servizi ICT correlati capacità necessarie per affrontare la sicurezza della rete e dei sistemi informativi di cui si avvale un'entità finanziaria e che supportano la fornitura continua di servizi finanziari e la loro qualità.
- Incidente relativo alle ICT: un evento identificato imprevisto nella rete e nei sistemi informativi, derivante o meno da attività dolose, che compromette la sicurezza della rete e dei sistemi informativi, delle informazioni che tali sistemi elaborano, memorizzano o trasmettono, o ha effetti negativi sulla disponibilità, riservatezza, continuità o autenticità dei servizi finanziari forniti dall'entità finanziaria.
- Per rischio ICT si intende qualsiasi circostanza ragionevolmente identificabile in relazione all'uso della rete e dei sistemi informativi, inclusi un malfunzionamento, un superamento della capacità, un guasto, un'interruzione, un deterioramento, un uso improprio, una perdita o altro tipo di evento doloso o non doloso, che, se concretizzato, può compromettere la sicurezza della rete e dei sistemi informativi, di qualsiasi strumento o processo dipendente dalla tecnologia, del funzionamento e dell'esecuzione dei processi o della fornitura di servizi (…).
- Fornitore terzo di servizi ICT: un'impresa che fornisce servizi digitali e di dati, compresi i fornitori di servizi di cloud computing, software, servizi di analisi dei dati, centri dati, ma esclusi i fornitori di componenti hardware e le imprese autorizzate a norma del diritto dell'Unione che forniscono servizi di comunicazione elettronica.
Aree chiave di DORA
DORA si compone di 5 aree chiave:
- Gestione del rischio ICT – quadro di gestione del rischio ICT completo e ben documentato (strategie, politiche, protocolli e strumenti necessari per la corretta ed efficace protezione dell’infrastruttura) che viene rivisto almeno una volta all’anno.
- Identificazione, classificazione e documentazione delle funzioni aziendali relative all’ICT,
- Sviluppo di una politica di sicurezza informatica,
- Avere meccanismi per rilevare rapidamente attività anomale,
- Attuazione di una politica globale di continuità operativa delle ICT,
- Politica di backup,
- Conclusioni da test e incidenti,
- Formazione obbligatoria per il personale (dipendenti e dirigenti),
- Piani di comunicazione che consentano una divulgazione responsabile di incidenti relativi alle ICT o delle principali vulnerabilità a clienti e controparti.
- Incidenti relativi alle ICT – gestione, classificazione e reporting – processi per garantire il monitoraggio degli incidenti relativi alle ICT e azioni correttive.
- Classificazione degli incidenti e determinazione del loro impatto in base a determinati criteri (tra cui durata dell'incidente, numero di utenti interessati, criticità dei servizi interessati),
- Segnalazione di incidenti gravi all'autorità competente pertinente (una notifica iniziale, una relazione intermedia e una relazione finale).
- Test di resilienza operativa digitale: test di tutti i principali sistemi e applicazioni ICT almeno una volta all'anno. Il programma di test include:
- Analisi open source,
- Valutazioni sulla sicurezza della rete,
- Test di scenario,
- Test delle prestazioni,
- Test di penetrazione (le entità diverse dalle microimprese dovrebbero condurre test avanzati almeno una volta ogni tre anni utilizzando i test di penetrazione per le ricerche sulle minacce – la documentazione dei test deve essere approvata dalle autorità competenti).
- Gestione del rischio ICT di terze parti: tutti i processi relativi alla collaborazione con fornitori esterni.
- Valutazione del fornitore,
- Attuare una strategia di uscita (la capacità di recedere dagli accordi contrattuali con il fornitore di servizi ICT) e sviluppare un piano di transizione che non interrompa i sistemi e danneggi la continuità e la qualità dei servizi forniti,
- Contratti con fornitori di servizi ICT (per iscritto) che includono gli accordi sul livello dei servizi,
- Determinazione dei principali fornitori di servizi ICT esterni,
- Multe periodiche per i principali fornitori di servizi ICT esterni.
- Modalità di condivisione delle informazioni: la capacità delle entità finanziarie di condividere informazioni sulle minacce informatiche e i risultati dell'analisi di tale minaccia informatica, tra cui:
- Segni di una violazione dell'integrità del sistema,
- Tattiche,
- Tecniche e procedure,
- Avvisi di sicurezza informatica,
- Strumenti di configurazione.
All'interno di ciascuna delle aree chiave, DORA richiede alle entità finanziarie di rispettare una serie di requisiti in relazione a vari aspetti all'interno dell'ICT e della sicurezza digitale. Pertanto, fornisce un quadro completo* per la resilienza digitale delle entità finanziarie.
* Le Autorità di vigilanza europee sono tenute a predisporre e pubblicare norme tecniche di regolamentazione relative alle linee guida contenute nel regolamento per concretizzarne i requisiti.
Quali sono le sfide previste per DORA?
- Eliminare le sovrapposizioni normative e le incongruenze e lacune normative,
- Aumentare la condivisione delle informazioni e la cooperazione sull'analisi delle minacce informatiche per consentire alle singole entità finanziarie di valutare, monitorare, difendersi e rispondere adeguatamente alle minacce informatiche,
- Standardizzare i requisiti di segnalazione degli incidenti ICT in modo che i supervisori abbiano un quadro completo della natura, della frequenza, del significato e dell'impatto degli incidenti,
- Ridurre i costi di conformità per gli enti finanziari, in particolare per gli enti finanziari con operazioni transfrontaliere.
Quali azioni dovrebbero essere intraprese dal punto di vista degli enti finanziari?
- Allineare i processi e le pratiche con le linee guida del regolamento, comprese le politiche sulla sicurezza delle informazioni, la continuità aziendale, la risposta agli incidenti e il ripristino di emergenza,
- Prepararsi a condurre valutazioni e rapporti periodici,
- Identificare e rivedere tutti i fornitori di servizi ICT, i relativi contratti e la documentazione.
IT
This material does not constitute investment advice, nor is it an offer or solicitation to purchase any cryptocurrency assets.
This material is for general informational and educational purposes only and, to that extent, makes no warranty as to, nor should it be construed as such, regarding the reliability, accuracy, completeness or correctness of the materials or opinions contained herein.
Certain statements in this educational material may relate to future expectations that are based on our current views and assumptions and involve uncertainties that could cause actual results, performance or events to differ from those statements.
BB Trade Estonia OU and its representatives and those working directly or indirectly with BB Trade Estonia OU do not accept any liability arising from this article.
Please note that investing in cryptocurrency assets carries risks in addition to the opportunities described above.
Zonda is now zondacrypto!
As the exchange continues to evolve and grow, we're thrilled to announce that we're rebranding and changing our name to better reflect our vision and values. We're still the same team you know and trust, but with a fresh new name that captures our spirit of innovation and customer-centric approach.
Some things may look a bit different but don’t worry - all operations remain the same and your login details work as usual.
Stay tuned for more updates and exciting changes as we embark on this new chapter together. Thank you for your continued support and loyalty!