Il Regolamento UE/2022/2554 “Digital Operational Resilience Act” (DORA) è stato introdotto per rafforzare ed armonizzare a livello europeo il quadro normativo di settore, con l’obiettivo di fornire ad entità finanziarie e ai loro fornitori di servizi ICT una guida dettagliata che garantisca la resilienza delle attività operative e dei sistemi informatici.
Gli operatori del settore dei financial services hanno a disposizione un periodo di transizione di due anni dall’entrata in vigore della normativa per prepararsi e conformarsi alle nuove disposizioni, seguendo approcci commisurati alla propria realtà.
Per allinearsi ai nuovi requisiti è necessario:
- predisporre un solido framework per la gestione dei rischi ICT, utile a individuare, proteggere, prevenire, rispondere ad eventuali minacce informatiche e ripristinare l’operatività a seguito di incidenti;
- mappare e profilare processi, funzioni, risorse e patrimoni informativi, con l’obiettivo di identificare eventuali vulnerabilità informatiche;
- avviare verifiche sulla conformità alle regolamentazioni di settore per agire preventivamente su eventuali lacune normative;
- dotarsi e aggiornare periodicamente procedure e piani di continuità operativa ed effettuare un’analisi dell’impatto di eventi esterni, incident o attacchi informatici sui processi aziendali per garantire un rapido ripristino delle attività in caso di interruzioni operative, considerando l’eventuale coinvolgimento di fornitori ICT esterni. Nell’ambito della continuità operativa si richiede inoltre un’analisi approfondita dei rischi relativi alle attività e ai servizi forniti da terze parti ICT;
- effettuare una valutazione e revisione del proprio sistema di gestione, monitoraggio e segnalazione degli incidenti ICT recependone la nuova classificazione che verrà stabilita dalle Norme Tecniche di Regolamentazione;
- adeguarsi alle nuove regole di reporting degli incidenti gravi, utilizzando i modelli di notifica iniziale, intermedia e finale da trasmettere alle Autorità competenti;
- sviluppare un’efficiente strategia di comunicazione verso tutti gli stakeholder interni ed esterni, per mappare e adottare, per tutte le funzioni critiche individuate, nuovi piani di continuità operativa e di ripristino che permettano di risolvere tempestivamente gli incidenti ICT gravi.
I test di resilienza previsti da DORA
Tra le novità introdotte da DORA, si annovera l’obbligatorietà di dotarsi e di manutenere un programma di test di resilienza operativa digitale che includa le attività e i servizi di terze parti.
Ciò richiede, prima di tutto, di realizzare, o di aggiornare, la mappatura dell’inventario degli asset che compongono il proprio sistema informatico, in modo da identificare puntualmente i sistemi ICT e gli applicativi che supportano le funzioni critiche del proprio business.
I test, svolti secondo un approccio risk-based, devono essere pianificati con cadenza almeno annuale (ad esempio: valutazione e scansione delle vulnerabilità, esami del codice sorgente, test di penetrazione, etc.) e, nel caso di test di penetrazione basati sulle minacce (Threat-Led Penetration Testing – TLPT), con cadenza almeno triennale. L’esito dei test dovrà essere utilizzato come base di partenza per identificare eventuali aree di miglioramento e, laddove necessario, per implementare misure correttive contro qualsiasi vulnerabilità individuata e per attuare politiche e procedure di sicurezza informatica più rigorose.
È richiesta l’indipendenza dei tester ed in particolare, per i TLPT, dovrà essere dimostrata dai professionisti coinvolti anche una comprovata idoneità, esperienza maturata, certificazione in materia e responsabilità professionale.
Il percorso di adeguamento normativo è importante e richiede tempi di analisi e implementazione significativi. Le normative tecniche saranno periodicamente rilasciate nel corso del prossimo anno e sarà fondamentale farsi trovare pronti per l’adozione prima dei termini di applicazione.
La nostra consulenza copre tutti gli ambiti aziendali impattati dal Regolamento e comprende, a titolo esemplificativo, la conduzione di assessment del modello attuale di gestione di tutti i temi relativi alla Digital Operational Resilience, l’elaborazione di piani d’azione per progettare e implementare un quadro di resilienza digitale operativa conforme alla nuova normativa attraverso:
- la revisione di politiche e procedure;
- l’analisi dei rischi ICT e la definizione delle politiche di trattamento;
- l’adeguamento dei piani di continuità operativa;
- l’aggiornamento delle Business Impact Analysis;
- la messa a disposizione di tester indipendenti e qualificati;
- le attività di formazione su tutti gli aspetti del regolamento per tutto il personale, con livelli di approfondimento commisurati ai differenti ruoli e funzioni.
Giada Legramandi
Fabrizio Brioschi
Planetica offre la propria esperienza consolidata agli enti operanti nel settore dei financial services, assicurando un disegno dei processi resiliente e fornendo operativamente il proprio supporto nelle attività day-by-day nel pieno rispetto dei requisiti normativi.
