Il 17 gennaio 2025 è entrato il vigore il Digital Operational Resilience Act (DORA), il nuovo regolamento europeo sulla gestione del rischio ICT per il settore finanziario, incluse le sue terze parti. In questo articolo, Denis Valter Cassinerio, Senior Director & General Manager South EMEA di Acronis, pone l’accento sull’obiettivo in termini cyber resilenza e continuità aziendale dettato dal nuovo framework normativo e sul ruolo che i Managed Service Provider (MSP) possono rivestire nell’affiancare le aziende nell’implementazione di tecnologie e processi che favoriscano la conformità alla normativa.
Buona lettura!
Essere cyber resilienti in conformità alla normativa DORA
La resilienza informatica continua a essere al centro dell’attenzione nel settore della cybersecurity. L’obiettivo della migliore implementazione all’interno delle aziende è infatti una parte centrale anche della normativa europea Digital Operational Resilience Act (DORA), che stabilisce un framework vincolante e completo relativo alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario e la cui applicazione è effettiva dallo scorso 17 gennaio. Nel dettaglio, il regolamento DORA si applica a tutte le istituzioni finanziarie dell’unione europea e include entità finanziarie tradizionali, quali banche, società di investimento e istituti di credito, ma anche provider di asset legati a criptovalute e di piattaforme di crowdfunding.
Obiettivo: continuità aziendale
Questo nuovo framework normativo ha stabilito che le aziende del settore finanziario e i loro fornitori, cosiddetti critici, debbano soddisfare precisi standard per i propri sistemi ICT con l’obiettivo di incoraggiare le imprese a migliorare la postura di sicurezza complessiva e promuovere una maggiore collaborazione fra gli istituti, aspetti chiave per un approccio resiliente.
Le imprese finanziarie e le terze parti ICT sono ora tenute ad adottare quindi un approccio più olistico alla gestione del rischio informatico, andando oltre le tradizionali misure di sicurezza per garantire la continuità aziendale di fronte a qualsiasi interruzione correlata alla tecnologia.
L’obiettivo è assolutamente condivisibile ma raggiungere la conformità a DORA è stata – ed è – tuttora una sfida complessa anche per le grandi aziende. Un sondaggio di McKinsey effettuato nella tarda primavera dello scorso anno ha rilevato che solo cinque CISO su 16 erano fiduciosi nella propria capacità di rispettare la deadline di gennaio. Un traguardo, dunque, ancora più impervio da raggiungere per le piccole-medie imprese (PMI).
La sfida della continuità aziendale
Ma qual è la sfida più grande nello sviluppo della cyber resilienza in linea con la normativa DORA? Certamente i piani di continuità aziendale e Disaster Recovery sono elementi essenziali ma ciò non toglie che la loro creazione e applicazione comporti importanti sforzi per complessità e costo, oltre che per dispendio di tempo.
La buona notizia è che la maggior parte (96%) delle big company dovrebbe aver avuto da tempo una sponsorship esecutiva per implementare questi piani, come emerge da un’analisi di Forrester per il Disaster Recovery Journal, ed è quindi sulla buona strada.
Diversamente per le PMI, trovare il budget necessario è probabilmente più complesso, anche a fronte della necessità di confrontarsi con ambienti IT in espansione. Tuttavia, ormai le aziende di qualsiasi dimensione si affidano sempre più a tecnologie per rendere efficienti i processi e le attività, ma ciò non fa che aumentare il rischio informatico. E i costi legati all’inattività per un attacco informatico sono impressionanti, anche se tuttora sottovalutati. IBM ha stimato nel 2024 in 4,88 milioni di dollari il costo medio di una violazione dei dati.
In altre parole oggi anche queste realtà hanno bisogno di un’evoluzione nella protezione dei dati. Soluzioni come Acronis Advanced Disaster Recovery permettono di semplificare la protezione e la resilienza aziendale perché forniscono una soluzione chiave in mano che consente di proteggere i carichi di lavoro critici e di ripristinare immediatamente i dati e le applicazioni indipendente dall’attacco subito, tramite un’unica interfaccia.
Funzionalità avanzate di Disaster Recovery, come il ripristino point-in-time, il failover di test automatico e il ripristino locale e immediato, permettono di tornare alla “normalità” in pochi minuti. Ciò non consente solo di essere compliant a DORA ma anche di migliorare la sicurezza complessiva.
Un’opportunità per i Service Provider
Non va infine sottovalutato che DORA – come la direttiva NIS2- offre a Managed Service Provider (MSP) e ai Managed Service Security Provider (MSSP) l’occasione di supportare le aziende nell’implementazione di tecnologie e processi che favoriscano la conformità alla normativa.
Inoltre, molte aziende faranno fatica a trovare le risorse necessarie internamente, in particolare le PMI data la loro carenza di competenze nella sicurezza informatica, creando l’opportunità per MSP/MSSP di offrire soluzioni di cybersecurity avanzate, oltre che di Disaster Recovery.
In conclusione, i Service Provider possono aiutare i clienti a rispettare i requisiti e migliorare la loro postura di sicurezza e resilienza, ma ampliando la propria offerta e adottando i medesimi standard visto che la nuova normativa vincola le aziende anche nel monitoraggio e nella gestione del rischio derivante da terzi. Coloro che lo faranno potranno raccogliere ottimi ritorni dal momento che la compliance è destinata a diventare un fattore trainante per i servizi di sicurezza gestiti.
di Denis Valter Cassinerio, Senior Director & General Manager South EMEA di Acronis
