Data la complessità e l’interconnessione dell’ecosistema dei servizi finanziari, non sorprende che la resilienza operativa sia tuttora oggetto di esame e verifica da parte delle autorità. Le conseguenze di un’interruzione dei servizi, isolata o sistemica, in particolare a causa di attacchi informatici, potrebbero essere catastrofiche e le autorità si stanno giustamente concentrando sia sulla prevenzione che sulla mitigazione. Per rispondere in modo efficace a queste sfide, dal 17 gennaio del prossimo anno entrerà in vigore il Digital Operational Resilience Act (DORA) dell’UE, che prevede severe sanzioni pecuniarie in caso di non conformità. L’obiettivo di DORA è quello di rafforzare “la sicurezza informatica di entità finanziarie come banche, compagnie assicurative e società di investimento e garantire che il settore finanziario in Europa sia in grado di rimanere resiliente in caso di gravi interruzioni operative.”
A livello pratico, DORA armonizzerà le regole di resilienza operativa in 20 diverse tipologie di entità finanziarie e fornitori di servizi ICT di terze parti. Si tratta, tra l’altro, di istituti di credito e di pagamento, società di investimento, fornitori di servizi di cripto-asset, aziende del settore assicurativo e pensionistico e persino servizi di crowdfunding.
I regolamenti richiedono alle imprese di concentrarsi su una serie di aree chiave, che vanno dalla gestione del rischio ICT (compresi i fornitori di terze parti), ai test di resilienza operativa digitale e alla segnalazione degli incidenti, fino alla condivisione delle informazioni e all’implementazione di un framework di supervisione per i fornitori ICT critici di terze parti. Questi possono causare potenziali conseguenze di ampia portata per entità finanziarie e fornitori tech che operano senza processi o controlli adeguati.
Essendo una normativa dell’UE, DORA avrà valore non solo sulle aziende basate territorialmente nell’Unione, ma – in modo simile al GDPR – sarà rilevante anche per le entità finanziarie o fornitori di ICT che forniscono servizi ad aziende nell’Unione, ad esempio dal Regno Unito, che dovranno attenersi alle sue regole, con violazioni che possono comportare sanzioni fino al 2% del fatturato totale annuo mondiale, in base alla gravità del caso. Se l’applicazione del GDPR è un dato di fatto, le autorità di regolamentazione dell’UE sono pienamente concentrate sulle regole, con oltre 4 miliardi di euro riscossi su chi ha violato il GDPR dal 2018.
Pianificare la compliance
Quindi, a meno di un anno dall’inizio delle attività di supervisione, quali passi possono compiere le aziende per assicurarsi di essere conformi? Ci sono cinque punti fondamentali da tenere in considerazione:
- Creare team trasversali per coordinare un approccio organizzativo. Riunendo responsabili, esperti e stakeholder di aree come IT, cybersecurity, compliance, rischio e ufficio legale, diventa molto più facile garantire i livelli di collaborazione essenziali per il successo dello sviluppo della strategia. Inoltre, questo approccio contribuisce ad assicurare che le aziende possano sviluppare una conoscenza completa di come DORA si applichi da una serie di prospettive importanti.
- Impegnarsi in modo significativo per ottenere il consenso della leadership. La collaborazione tra i vari dipartimenti aiuterà anche a scoprire dettagli importanti inclusi in DORA, e non per forza evidenti a prima vista. Ad esempio, quanti responsabili sanno già che il Consiglio di Amministrazione e l’Amministratore Delegato devono possedere conoscenze e competenze necessarie per comprendere il rischio ICT e il suo impatto? In un mondo ideale, quindi, il senior management comprenderà e sosterrà la rilevanza e l’importanza di DORA ben prima di gennaio 2025. Questo può fare un’enorme differenza nei livelli di autorità, risorse e urgenza che possono essere applicati. Al contrario, le aziende che limitano la portata dei loro sforzi hanno molte più probabilità di incorrere in una violazione della compliance e nelle potenziali gravi sanzioni che potrebbero essere applicate.
- Valutare processi, capacità e potenziali vulnerabilità attuali. È fondamentale individuare tempestivamente eventuali lacune tra le attuali capacità di sicurezza e resilienza e i requisiti stabiliti da DORA. Le eventuali mancanze possono essere affrontate in modo proattivo e tempestivo, e non come reazione a una violazione della conformità.
- Aggiornare e stabilire chiari obiettivi di resilienza. Al centro di ogni strategia efficace di sicurezza e resilienza ci sono obiettivi chiari e perseguibili. DORA ne metterà a fuoco l’efficacia e spingerà le aziende a rivederli in modo costante. Ciò consentirà inoltre ai team di dare priorità alle attività di conformità e garantire che gli investimenti in cybersecurity e resilienza si allineino a DORA il prima possibile.
- Monitorare e agire in base agli aggiornamenti normativi. Nel corso del tempo, è probabile che le autorità dell’UE modifichino DORA per garantire che resti pienamente pertinente all’ecosistema dinamico che deve proteggere. Ciò significa che le aziende devono stabilire un processo per garantire di restare aggiornati su ogni sviluppo che possa avere impatto sui loro livelli di conformità. Questo dovrebbe essere supportato da processi che si concentrino sull’analisi delle lacune, sulla definizione delle priorità e sugli investimenti, in modo da formare un circolo virtuoso in cui la compliance resti sempre in primo piano.
In un ambiente in cui le normative giocano un ruolo sempre più importante nel determinare la direzione della strategia di cybersecurity, è fondamentale che le aziende affinino il loro approccio alla conformità in generale. In questo modo si apre la prospettiva di un vantaggio per tutti: la sicurezza digitale e la resilienza ricevono l’enfasi che meritano e un numero minore di imprese è vittima di gravi violazioni. Non è difficile prevedere che saranno sufficienti poche settimane per vedere annunciata la prima azione esecutiva legata a DORA. Le aziende che si preparano ora potranno ridurre al minimo le possibilità di finire sulle prime pagine dei giornali nel modo sbagliato.