Effettua la tua ricerca
More results...
Carta di credito con fido
Procedura celere
Il Digital Operational Resilience Act, DORA, è pienamente applicativo a partire da oggi, 17 gennaio 2025.
Il nuovo anno, dunque, inizia con la partita della compliance e dell’attuazione di questa nuova disciplina normativa complessa e articolata.
Le entità finanziarie e i fornitori di servizi ICT che rientrano nel perimetro applicativo dovranno ora conformarsi ai requisiti stabiliti dal regolamento dell’Unione Europea che, lo ricordiamo, mira a rafforzare la resilienza operativa digitale del settore finanziario, garantendo che le stesse entità finanziarie siano in grado di resistere e rispondere efficacemente a incidenti legati alle tecnologie dell’informazione e della comunicazione (ICT).
Prestito personale
Delibera veloce
Importante ricordare anche che, essendo un regolamento europeo (e non una direttiva), il DORA è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri europei.
DORA: cosa devono fare le imprese coinvolte
Il Regolamento DORA è, a tutti gli effetti, un framework strutturato per garantire alle realtà coinvolte una serie di standard di sicurezza adeguati all’ambito di riferimento.
In particolare, nel DORA sono coinvolte le banche e gli istituti finanziari, le compagnie assicurative, i fondi di investimento, i fornitori di servizi di pagamento e i fornitori di servizi ICT che operano nel settore finanziario.
Tutte queste aziende che ricadono nel perimetro applicativo del regolamento europeo dovranno ora adottare sistemi di sicurezza in grado di rilevare, identificare e respingere le minacce informatiche. Inoltre, dovranno prevedere audit periodici per verificare la robustezza di questi stessi sistemi di sicurezza oltre al corretto funzionamento delle procedure di backup, ripristino e disaster recovery.
I punti salienti del regolamento includono, infatti:
- la gestione del rischio ICT e governance: le entità finanziarie devono implementare strategie efficaci per identificare, valutare e mitigare i rischi associati all’uso delle tecnologie ICT. Il consiglio di amministrazione e i dirigenti sono responsabili della supervisione di queste strategie;
- la segnalazione e risposta agli incidenti: le organizzazioni sono tenute a segnalare tempestivamente gli incidenti significativi legati all’ICT alle autorità competenti, garantendo una risposta rapida ed efficace per minimizzare gli impatti negativi;
- test di resilienza operativa digitale: le entità devono condurre regolarmente test sui propri sistemi ICT per valutare la capacità di resistere a potenziali minacce. Le istituzioni finanziarie critiche sono obbligate a effettuare test di penetrazione basati su minacce ogni tre anni;
- gestione del rischio di terze parti: le organizzazioni devono garantire che i fornitori di servizi ICT rispettino standard di sicurezza adeguati. Ciò include la stipula di contratti che definiscano chiaramente le responsabilità e le misure di sicurezza richieste.
Dunque, l’obiettivo principale del DORA è creare un quadro normativo armonizzato a livello europeo, assicurando che tutte le entità finanziarie adottino misure adeguate a proteggere l’integrità e la sicurezza del sistema finanziario dell’UE.
I punti salienti del Regolamento DORA
Ecco, dunque, un approfondimento dettagliato sui principali punti del Digital Operational Resilience Act (DORA) che, lo ricordiamo ancora una volta, è in vigore dal 17 gennaio 2025.
Gestione del rischio ICT e governance
Le entità finanziarie devono adottare un approccio proattivo alla gestione del rischio legato alle tecnologie ICT. Questo include:
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
- Strategie di gestione del rischio ICT: devono essere integrate nella governance aziendale e supportate dal consiglio di amministrazione, che è responsabile della supervisione complessiva.
- Identificazione e mitigazione dei rischi: le organizzazioni devono valutare i rischi potenziali derivanti dall’uso di tecnologie e infrastrutture ICT e adottare misure per mitigarli.
- Monitoraggio continuo: i sistemi ICT devono essere monitorati costantemente per identificare vulnerabilità e segnali di possibili incidenti.
Segnalazione e risposta agli incidenti
Le organizzazioni finanziarie devono sviluppare un piano dettagliato per la gestione degli incidenti, che include:
- Segnalazione tempestiva: gli incidenti ICT significativi devono essere comunicati rapidamente alle autorità competenti (come le autorità di vigilanza finanziaria).
- Classificazione degli incidenti: gli eventi devono essere classificati in base alla loro gravità e impatto sul sistema finanziario.
- Risposta e mitigazione: le organizzazioni devono implementare procedure per ridurre al minimo l’impatto di un incidente e ripristinare rapidamente le operazioni.
Test di resilienza operativa digitale
Le entità finanziarie devono testare regolarmente la robustezza dei loro sistemi ICT:
- Tipologie di test: devono essere eseguiti test come simulazioni di attacchi, analisi di vulnerabilità e valutazioni di resilienza delle infrastrutture.
- Test di penetrazione basati su minacce: per le istituzioni critiche, è obbligatorio simulare attacchi avanzati ogni tre anni per identificare eventuali falle nella sicurezza.
- Risultati e miglioramenti: i risultati devono essere documentati e utilizzati per migliorare i controlli di sicurezza.
Gestione del rischio di terze parti
La dipendenza da fornitori esterni, come cloud provider o software-as-a-service (SaaS), è un punto critico:
- Valutazione dei fornitori: le organizzazioni devono valutare i rischi associati ai fornitori e garantire che rispettino standard adeguati di sicurezza ICT.
- Contratti vincolanti: i contratti con i fornitori devono includere clausole specifiche su sicurezza, accesso ai dati e obblighi di cooperazione in caso di incidenti.
- Monitoraggio continuo: devono essere condotti audit regolari per assicurare che i fornitori rispettino i requisiti.
Requisiti per i fornitori di servizi ICT critici
I fornitori di servizi ICT critici che operano per enti finanziari sono:
- Identificati dalle autorità competenti.
- Soggetti a supervisione diretta per verificare la loro conformità ai requisiti DORA.
Obiettivo generale del DORA
Dall’analisi dei punti salienti del Regolamento DORA emerge, dunque, quello che è probabilmente l’aspetto più critico della nuova normativa: la responsabilità delle imprese.
Analogamente a quanto già avviene con la Direttiva NIS2, infatti, le imprese saranno direttamente responsabili anche dei loro fornitori: ciò significa che dovranno assicurarsi che le realtà che fanno parte della supply chain adottino anch’esse degli standard adeguati per la sicurezza informatica.
Le aziende sono pronte a questo? In realtà, sebbene sia applicabile a partire da oggi, 17 gennaio 2025, il DORA è del 2022 (è stato pubblicato nella Gazzetta Ufficiale UE il 27 dicembre 2022 ed è entrato in vigore il 16 gennaio 2023): dunque, c’è stato tempo fino a oggi per ottemperare ai requisiti DORA prima dell’attuazione e adesso non ci sono più scuse per non adeguarsi correttamente alla nuova normativa.
Cessione crediti fiscali
procedure celeri
Normativa che, giova sottolinearlo, vuole garantire che il sistema finanziario europeo sia resiliente e sicuro in un contesto di crescente digitalizzazione e minacce informatiche.
Le regole armonizzate mirano a evitare lacune normative tra i vari paesi dell’UE, proteggendo i consumatori e l’integrità del mercato finanziario.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Richiedi prestito online
Procedura celere
