Comprendere la legge sulla resilienza delle operazioni digitali (DORA)

Vivo in Svezia, dove il 10% o meno degli acquisti viene effettuato in contanti. Pochi portano contanti regolarmente e spesso è difficile trovare luoghi che li accettino. Questo significa che, se perdo il telefono o la connessione a internet, azioni semplici come pagare il caffè diventano estremamente difficili. E non sono affatto un caso isolato; almeno metà degli europei preferisce questo tipo di transazione. Qui abbiamo persino i passaporti sui nostri telefoni! La nostra dipendenza collettiva dalle infrastrutture digitali nella vita quotidiana non può essere sottovalutata e continuerà solo ad aumentare. 

Con la nostra crescente impronta digitale, il settore finanziario si trova di fronte a sfide e opportunità senza precedenti. L'aumento della dipendenza dalle tecnologie digitali ha portato grandi progressi nei servizi finanziari, ma ha anche esposto le istituzioni a un numero sempre maggiore di minacce informatiche e rischi operativi. Riconoscendo il ruolo critico che l'infrastruttura digitale svolge nella vita quotidiana dei cittadini dell'UE, l'Unione Europea ha introdotto il Digital Operational Resilience Act (DORA). Questa iniziativa normativa mira a garantire che le entità finanziarie possano resistere, rispondere e riprendersi da un'ampia gamma di interruzioni operative, salvaguardando così la stabilità e l'integrità del sistema finanziario. In questo articolo esamineremo gli aspetti chiave di DORA, inclusi i soggetti interessati, i requisiti fondamentali per le organizzazioni e i passaggi pratici per ottenere la conformità entro la scadenza del 17 gennaio 2025. 

Chi è interessato da DORA?

DORA si applica a tutte le istituzioni finanziarie dell'Unione Europea, includendo nel suo ambito sia le organizzazioni finanziarie tradizionali, sia quelle non tradizionali, nonché i fornitori di servizi e infrastrutture di supporto. Le organizzazioni interessate comprendono:

1. Banche e istituti di credito: banche tradizionali e digitali.
2. Società di investimento: società coinvolte nel trading, nella gestione di investimenti e nei servizi di consulenza.
3. Compagnie di assicurazione e riassicurazione: enti che forniscono vari prodotti e servizi assicurativi.
4. Fornitori di servizi di pagamento: aziende che facilitano i pagamenti digitali, compresi le istituzioni di moneta elettronica.
5. Fornitori di servizi di cripto-asset: aziende che si occupano di criptovalute e asset digitali.
6. Infrastrutture di mercato: entità come borse valori e camere di compensazione.
7. Servizi informativi terzi: tra gli altri, servizi di rating creditizio e fornitori di analisi dei dati.
8. Fornitori terzi di servizi ICT: aziende che forniscono servizi tecnologici critici alle istituzioni finanziare, come il cloud computing e l'analisi dei dati.

Sebbene l'elenco non sia esaustivo, è importante notare che DORA si applica anche ad alcuni fornitori terzi di servizi che risultano critici per le operazioni delle entità nell'ambito di applicazione. Queste organizzazioni, pur non essendo tradizionalmente soggette a regolamentazioni finanziarie, evidenziano la natura interconnessa dell'infrastruttura finanziaria moderna.

Requisiti chiave per le organizzazioni

DORA stabilisce requisiti completi per garantire che le entità finanziarie possano resistere, rispondere e riprendersi dalle interruzioni operative, suddivisi in cinque pilastri fondamentali. I principali requisiti includono:

1. Gestione del rischio ICT: stabilire processi interni solidi per identificare, valutare e gestire i rischi associati alle tecnologie dell'informazione e della comunicazione.
2. Segnalazione di incidenti: implementare procedure per la segnalazione tempestiva ed efficiente di incidenti ICT significativi alle autorità competenti.
3. Test di resilienza digitale: test regolari dei sistemi ICT per valutarne la resilienza rispetto a potenziali minacce e vulnerabilità.
4. Condivisione delle informazioni: promuovere lo scambio di informazioni e intelligence sulle minacce informatiche tra le istituzioni finanziarie per rafforzare i meccanismi di difesa collettiva.
5. Gestione del rischio dei fornitori terzi: garantire che i fornitori di servizi terzi rispettino gli standard DORA, inclusi gli accordi contrattuali che ne impongono l'adesione.

Da dove dovrebbero iniziare le organizzazioni?

Per le istituzioni finanziarie che intraprendono il percorso verso la conformità a DORA, i seguenti passaggi sono cruciali:

1. Condurre un'analisi delle lacune: valutare le pratiche attuali di gestione del rischio ICT rispetto ai requisiti di DORA per identificare carenze e aree di miglioramento.
2. Sviluppare una roadmap di conformità: creare un piano strategico che delinei i passaggi necessari, le tempistiche e le risorse richieste per raggiungere la conformità.
3. Potenziare i meccanismi di segnalazione degli incidenti: implementare o aggiornare i sistemi per garantire una segnalazione tempestiva e accurata degli incidenti ICT. 
4. Rafforzare le relazioni con i fornitori terzi: collaborare a stretto contatto con i fornitori di servizi ICT per assicurarsi che possano aiutare a rispettare gli standard di conformità di DORA.
5. Investire in formazione e sensibilizzazione: includere nei programmi di formazione degli utenti la resilienza e le procedure da seguire in caso di emergenza. 
6. Impegnarsi in test continui: testare regolarmente i sistemi ICT per individuare vulnerabilità e garantire la resilienza contro minacce informatiche e interruzioni.

Cosa può fare Zscaler?

Lo Zscaler Zero Trust Exchange può aiutare le organizzazioni nel percorso verso la conformità a DORA, fornendo un'architettura solida e difendibile basata sui principi di Zero Trust per proteggere utenti e dati dalle minacce informatiche. Consente alle organizzazioni di connettere in modo sicuro gli utenti, sia interni che terzi, alle applicazioni di cui hanno bisogno, senza eccessive concessioni di accesso. Inoltre, Zscaler fornisce un set completo di funzionalità di resilienzaper garantire la continuità operativa durante interruzioni di rete o del cloud. 

Cosa verrà dopo?

Con l'avvicinarsi della scadenza di gennaio 2025, le istituzioni finanziarie di tutta l'UE devono prepararsi a soddisfare i rigorosi requisiti di DORA. Sfruttare le soluzioni avanzate di Zscaler può aiutare a garantire la conformità, migliorare la resilienza e proteggere dai rischi legati all'ICT. Adottando un approccio proattivo alla resilienza operativa digitale, le entità finanziarie possono affrontare le complessità di DORA e proteggere le proprie operazioni in un mondo sempre più digitale. Zscaler si impegna ad accompagnare i propri clienti in questo percorso. Contatta il tuo rappresentante locale Zscaler e chiedi di incontrare un membro del team CISO per capire come possiamo aiutarti.