Il Regolamento UE 2022/2554 sulla resilienza operativa digitale, denominato DORA (Digital Operational Resilience Act), rivoluziona la cybersecurity nel settore finanziario. Entrato in vigore il 16 gennaio 2023, Dora sarà vincolante dal 17 gennaio 2025.
Strumento di integrità, solidità e affidabilità, la resilienza operativa digitale corrisponde alla capacità degli operatori di settore di continuare a offrire specifici risultati nonostante incidenti e violazioni all’infrastruttura ICT. Le imprese dovranno conseguire un livello elevato di DOR (digital operational resilience) fissando obblighi conformi in relazione alla sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie, quali banche, assicurazioni, imprese di investimento e aziende di servizi di cripto-asset.
Le nuove regole introdotte dal DORA prevedono che le banche si dotino di una funzione di controllo di secondo livello per la gestione e il controllo dei rischi ICT e di sicurezza.
Naturalmente, il DORA è anche uno mezzo di garanzia a tutela dei consumatori. Oltre alle entità finanziarie, il Regolamento 2022/72554 si rivolge anche ai fornitori di servizi ICT.
A loro viene richiesto innanzitutto un approccio proattivo al Regolamento, adottando azioni preliminari in modo da valutare la maturità organizzativa dell’attuale modello di gestione dei rischi ICT e individuare l’effetto che il DORA ha sugli operatori.
Bisogna anche tenere in considerazione la direttiva NIS2, approvata dal Parlamento UE nel 2022, che introduce nuovi obblighi di cyber sicurezza al fine di rispondere alle crescenti minacce poste dalla digitalizzazione e all’ondata di attacchi informatici e contestualmente rafforzare la sicurezza in azienda.
Per verificare l’impatto delle nuove norme sarà necessario eseguire una gap analysis sul framework di gestione dei rischi ICT (organizzazione e governance interna; presidi tecnici e organizzativi per la mitigazione dei rischi; gestione, classificazione e segnalazione degli incidenti informatici). Poi, si procede con un test di resilienza operativa digitale, basato su un approccio risk based, secondo il principio di proporzionalità; reporting degli incidenti e valutazione dei rapporti con le terze parti.
Nello specifico gli operatori dovranno esaminare:
- la mappatura dei fornitori di servizi ICT (se esistente) e dei fornitori di servizi esternalizzati;
- i dispositivi di governance per la gestione dei rischi relativi agli accordi contrattuali esistenti, considerando anche la possibilità che tali accordi possano aggravare il rischio di concentrazione delle ICT;
- una funzione critica o importante degli accordi contrattuali.
In base al livello di maturità rilevata tramite la gap analysis, dipenderà il modo di attivare diversi settori di lavoro per raggiungere un livello di conformità coerente alla norma.
Inoltre, il DORA prevede che le entità finanziarie attribuiscano la responsabilità di gestione e sorveglianza dei rischi informatici a una funzione di controllo. Quindi, è importante che tutti i dirigenti e i dipendenti svolgano attività di formazione obbligatoria sulla gestione dei rischi ICT, con un livello di complessità in base alla funzione svolta.
Per il momento la IBM Consulting è l’unica sul mercato in grado di fornire un’offerta di servizi di compliance alla nuova normativa realmente end-to-end. Partendo dalla messa a disposizione di competenze specialistiche di “risk and compliance” attraverso Promontory (società interamente posseduta da IBM Consulting), di cybersecurity e ICT risk tramite IBM Security, sino alle competenze legate al Software Development Life-cycle, rese disponibili da IBM Consulting. La IBM Consulting e la IBM Security si propongono come partner privilegiati per le Istituzioni Finanziarie attraverso un approccio di “DORA Compliance in a Box “, fondato su un approccio predittivo alla cybersecurity basato sul framework ZeroTrust in grado di garantire la copertura end-to-end della cyber resilience, anche mediante l’utilizzo del portafoglio di prodotti tecnologici a sua disposizione.
(N.T.)
