Mentre il panorama delle minacce informatiche diventa più complesso e gli attacchi si moltiplicano, il settore finanziario rimane un obiettivo prioritario per i criminali informatici. Le entità finanziarie sono infatti tra le più esposte, non da ultimo per la posta in gioco associata alla loro attività e per la loro natura essenziale. Secondo i dati del FMI, il settore finanziario ha subito più di 20.000 attacchi informatici, con perdite per quasi 12 miliardi di dollari. In risposta, le autorità europee hanno approvato un nuovo regolamento, il Digital Operational Resilience Act (DORA), che stabilisce un approccio coordinato e omogeneo alla sicurezza informatica per le entità finanziarie dell’Unione Europea. In qualità di regolamento dell’UE è applicabile direttamente in tutti gli stati membri senza che vi sia necessità di ulteriore legislazione nazionale. DORA impone uno standard unificato volto a garantire la resilienza digitale delle istituzioni finanziarie in tutti i Paesi membri.
Pubblicato nella Gazzetta ufficiale dell’Unione europea nel 2022, il regolamento DORA verrà applicato dal 25 gennaio 2025. Esso comporta complesse sfide di conformità per le entità finanziarie, che devono adattare rapidamente le loro infrastrutture e i loro processi per soddisfarne i requisiti. Per farlo, è necessario il supporto di esperti e l’adozione di soluzioni adeguate per fronteggiare le nuove sfide, garantire la conformità normativa e ridurre l’esposizione alle minacce informatiche. Tuttavia questo cambiamento nello scenario normativo può rappresentare anche un’opportunità per rafforzare la sicurezza informatica, migliorando al contempo la propria competitività.
Verso una sicurezza informatica in ambito finanziario sempre più coerente e resiliente
Il principale obiettivo del regolamento DORA è quello di creare un unico quadro normativo coerente che faciliti il funzionamento uniforme dei team di cybersecurity degli istituti finanziari in tutta l’UE. Trattando i fornitori di sicurezza informatica come fornitori di terze parti critici (CTPP), DORA implementa pratiche di sicurezza informatica che consentono alle entità finanziarie di rispondere in modo efficace e coerente alle minacce alla sicurezza informatica. In generale, le entità finanziarie devono adottare migliori sistemi di difesa e gestione del rischio, implementare soluzioni efficienti e stabilire piani di risposta agli incidenti. Nello specifico, DORA risolve la frammentazione e l’incoerenza esistenti nella resilienza operativa digitale che si presentano nei singoli Stati membri, in parte, aggiornando e consolidando i requisiti di sicurezza informatica in un unico regolamento, stabilendo requisiti uniformi per la sicurezza delle reti e dei sistemi informativi, creando un quadro di supervisione per le attività trasversali -coordinamento delle frontiere e misure di cooperazione con le autorità di paesi terzi che gestiscono anche i rischi di cybersicurezza.
In questo modo, DORA rappresenta un’armonizzazione normativa della legislazione esistente sulla sicurezza informatica degli Stati membri che produce importanti vantaggi residui, inclusa l’efficienza operativa dei team di sicurezza informatica che operano in più di uno Stato membro dell’UE. Infatti, un unico regolamento allenta i controlli sugli istituti finanziari che operano in diversi paesi dell’UE.
Per implementare questi requisiti normativi, le istituzioni finanziarie dovrebbero rivolgersi a partner qualificati per adattare le loro pratiche di sicurezza ai nuovi requisiti, in particolare ai partner che si qualificano adeguatamente come CTPP. Questo passo da solo aiuterà nell’implementazione dei complessi requisiti DORA senza frammentare gli sforzi tra diversi paesi. Inoltre, l’utilizzo di un CTPP consentirà agli enti finanziari di sviluppare strategie avanzate di sicurezza informatica che superano i requisiti minimi, consentendo loro di sfruttare questo regolamento per posizionarsi come leader di resilienza operativa nel mercato e guadagnare la fiducia del settore, dei loro clienti e dei loro potenziali clienti.
Inoltre, DORA non fa riferimento in generale a partner qualificati per la sicurezza informatica. Invece, DORA impone specifici obblighi contrattuali alle istituzioni finanziarie per fornire una descrizione completa dei prodotti e dei servizi di sicurezza informatica forniti da un CTPP, identificare le posizioni dei servizi e l’archiviazione dei dati, identificare la portabilità dei dati e le strategie esistenti, dichiarare i piani di continuità aziendale, monitorare gli incidenti, verificare l’integrità del sistema. e, tra gli altri requisiti, avere visibilità sull’outsourcing o sul subappalto da parte del fornitore. Come minimo, le entità finanziarie devono stipulare un contratto specifico affinché questi elementi siano inclusi nel loro accordo per prodotti e servizi di sicurezza informatica.
Sfide e soluzioni per un’efficace conformità al DORA
La conformità al regolamento DORA pone una serie di sfide per la maggior parte delle entità finanziarie, in quanto esse dispongono di sistemi IT legacy che rendono difficile l’integrazione di complessi standard di cybersecurity. Inoltre, la normativa richiede l’implementazione di controlli continui sulla sicurezza informatica che probabilmente prosciugheranno le risorse finanziarie e umane degli operatori finanziari.
Queste difficoltà dimostrano chiaramente la necessità per le istituzioni finanziarie di affidarsi a soluzioni tecniche avanzate e a risorse esterne. Grazie alle competenze degli esperti di cybersecurity, le aziende possono ottimizzare la loro conformità, ridurre i rischi e rispondere in modo più efficace ai requisiti DORA.
Per superare le sfide poste dal regolamento DORA, gli istituti finanziari devono mettere in atto una forma di cybersecurity proattiva, utilizzando soluzioni di rilevamento e risposta agli incidenti rapide ed efficaci, spesso offerte da partner specializzati nel settore. Devono inoltre rafforzare la gestione degli incidenti e ridurre al minimo i rischi associati ai fornitori terzi. Rivolgendosi a esperti di sicurezza informatica, le entità finanziarie possono mettere in atto sistemi di gestione delle crisi più efficaci, assicurandosi al contempo di monitorare costantemente le soluzioni e la salute digitale dei propri fornitori. Gli specialisti di cybersecurity aggiungono valore offrendo soluzioni collaudate, personalizzate in base ai requisiti della DORA e scalabili per soddisfare le esigenze specifiche e mutevoli del settore finanziario.
Per questo motivo, anziché concentrarsi sui potenziali ostacoli alla conformità, gli operatori del settore finanziario dovrebbero cogliere l’opportunità dell’entrata in vigore del DORA per rafforzare la propria cybersecurity e la propria tranquillità, in particolare circondandosi di partner esperti, affidabili e solidi che consentano loro di rafforzare la propria resilienza informatica e di prepararsi ad affrontare le sfide presenti e future della sicurezza informatica
Pertanto, in quanto regolamento dell’UE, il settore finanziario europeo entra in una nuova era, caratterizzata da uno standard unico per tutta l’Unione. La conformità al regolamento comporta l’adesione a nuovi requisiti giuridici per le finanziari, ma consente loro di trasformare radicalmente il modo in cui gestiscono i rischi digitali. Collaborando con partner esperti, che si qualificano correttamente come CTPP, le entità finanziarie possono fare del DORA una leva strategica per rafforzare la loro cybersecurity e aumentare la propria resilienza in un panorama di minacce informatiche in continua evoluzione.
A cura di Marco D’Elia, Country Manager SOPHOS ITALIA
Per maggiori informazioni: