LA NORMATIVA

DORA: come individuare le criticità in ottica di compliance

La compliance con il regolamento DORA richiede una revisione delle tecnologie, dei metodi, dei processi e dell’organizzazione che servono alla resilienza operativa e difesa dai cyber attacchi. Sotto esame le maggiori criticità nell’adeguamento al nuovo regolamento europeo per il settore finance

Pubblicato il 26 Apr 2023

Piero Todorovich

Giornalista

DORA

Nel mese di gennaio è entrato in vigore in Italia DORA, il Digital Operation Resilience Act con cui il legislatore europeo ha inteso razionalizzare e completare il quadro normativo esistente a garanzia della resilienza operativa nel settore finanziario e non solo. Poiché dall’operatività dei servizi finanziari può dipendere la stabilità economica d’interi Paesi era importante imporre regole comuni nei campi della governance ICT, del risk management, della cyber security e dell’incident reporting.

Di fatto DORA non introduce nulla di nuovo nell’ambito della sicurezza ICT, puntando piuttosto a fare ordine normativo, prescrivendo ciò che molte grandi banche e istituzioni finanziarie hanno già fatto negli ultimi anni per gestire il rischio operativo. Discorso ben diverso per molte realtà piccole o impegnate su business innovativi o in evoluzione, come le società di trading, le borse valori, le società assicurative e previdenziali, decentralized finance (DeFi) e criptovalute. La normativa DORA comprende inoltre alcuni fornitori di asset critici per l’economia, come le agenzie di rating, a cui è affidato un ruolo importante nell’informazione, e di servizi ICT critici per il mondo finance.

Di fatto l’entrata in vigore del regolamento DORA accompagna la necessità di ampliare il perimetro della gestione del rischio (per esempio con l’inclusione delle terze parti) e d’introdurre supporti efficaci nella gestione delle crisi e nel reporting degli incidenti. Iniziative che comportano alcune criticità di cui abbiamo discusso con Marina Miserandino, associate partner di Horizon Security, società di consulenza specializzata sui temi della sicurezza e della compliance normativa.

Quadro di sorveglianza e profili sanzionatori: cosa prevede il Regolamento DORA

Le criticità della resilienza operativa nel mirino di DORA

Assodato che, per molti aspetti, DORA non presenta novità di rilievo rispetto a ciò che le maggiori aziende del settore finanziario hanno già fatto negli anni passati per migliorare la governance del rischio e la sicurezza, dove risiedono le criticità? “C’è innanzitutto la necessità di rivedere le misure per la resilienza in modo più stringente rispetto al passato – spiega Miserandino – Seguono le capacità di fare test efficaci e di comunicare gli incidenti”.

Alcuni problemi sorgono con sistemi di business continuity. “Se si vanno a controllare i parametri operativi dei sistemi in essere, espressi come RTO (recovery time objective) e RPO (recovery point objective), si scopre spesso che non sono adeguati con le esigenze d’oggi”. La resilienza richiede continuità operativa anche sul medio-lungo periodo (la pandemia è stato un banco di prova significativo soprattutto nei periodi di lockdown), impegno per ridurre interruzioni nei servizi critici per non creare situazioni d’incertezza, dare spazio a fake news e speculazioni sui mercati.

La resilienza di fronte agli attacchi informatici è diventato un requisito normativo fondamentale, assieme alle capacità di governare le crisi e di condividere le informazioni. “Sia DORA sia il 40° aggiornamento della circolare 285 di Banca d’Italia sollecitano una maggiore attenzione ai rischi di security e l’aggiunta degli scenari d’attacco cyber ai test”.

DORA: cosa cambia nei test e nella comunicazione aziendale

Gli attacchi cyber più recenti sollecitano più attenzione nelle fasi di monitoraggio e test per identificare e risolvere le vulnerabilità aziendali. “Molte delle attuali difese risultano testate solo sulla carta o tramite scenari non abbastanza estesi ed efficaci – spiega Miserandino -. Il regolamento DORA comporta la necessità di test più sofisticati basati sulle minacce reali per capire se l’organizzazione è davvero in grado di restare operativa in caso d’attacco cyber e indentificare le misure da attuare per ottenere questo risultato”.

Ma non basta, in caso d’attacco servono azioni precise realizzate in base a piani e processi ben definiti, con responsabilità a tutti i livelli della scala gerarchica aziendale. Già prima di DORA, attraverso GDPR, il legislatore europeo si era preoccupato di normare la comunicazione degli incidenti. La conoscenza degli attacchi e delle perdite di dati sono preziose per il contenimento dei danni e per aiutare altre imprese del settore a difendersi in situazioni simili. Senza obblighi di comunicazione, gli attacchi cyber verrebbero gestiti in modo riservato, dando priorità all’immagine aziendale e alla fiducia dei clienti: “Un comportamento del tutto contrario alla creazione di un fronte comune di difesa delle infrastrutture critiche che è negli obiettivi del legislatore con il regolamento DORA”.

Come si affrontano gli adeguamenti a DORA

Il primo passo da fare per la compliance con DORA è l’health-check sulla maturità delle difese cyber già esistenti. “La capacità di difendersi dagli attacchi richiede l’estensione dell’analisi al livello organizzativo e dei processi – spiega Miserandino -. Con le informazioni ottenute si decidono i piani tattici e strategici per chiudere le falle e ottenere risultati concreti nel breve e nel medio termine. Va considerato che la maturità delle difese interne può non essere sufficiente per limitare i rischi che si acquisiscono dalle terze parti”.

Tra gli interventi, sono critici quelli di gestione delle crisi. “Serve molto tempo per rafforzare i diversi livelli dell’organizzazione con cambiamenti nei ruoli e nelle responsabilità – precisa Miserandino -. Occorre introdurre nuovi processi, mettere in contatto funzioni aziendali differenti con l’ufficio legale e la comunicazione aziendale. Servono inoltre nuove metodologie per l’analisi del rischio, il supporto di programmi specifici a livello di filiera e rivalutazioni dei contratti con i fornitori”.

Cambiamenti tecnologici, del modello operativo, dell’organizzazione e dei piani dovranno inoltre tener conto delle variazioni normative di lungo periodo, non solo di DORA ma degli altri regolamenti di settore sia in sede europea sia nazionale.

Il valore dell’esperienza nei progetti di compliance normativa

La compliance a DORA richiede esperienza nella conduzione delle analisi di business impact necessarie per la definizione dei requisiti per la resilienza operativa. Serve inoltre competenza per agire su processi e servizi critici del business, che coinvolgono sia l’azienda sia le terze parti. Garantire l’operatività è un impegno continuo che va oltre le esigenze delle compliance. “Richiede piattaforme tecnologiche, procedure operative efficienti, contatti e riferimenti ben documentati e piani periodicamente verificati – spiega Miserandino -. In questo senso DORA può essere l’occasione per introdurre miglioramenti d’ampia portata sull’impianto della governance della sicurezza e della business continuity per adeguarla ai nuovi scenari di rischio”.

Sul fronte della prevenzione dagli attacchi è vitale la capacità del partner di disegnare ed effettuare test efficaci. “Serve realizzare dei penetration test basati sulle minacce correnti e l’utilizzo per i test di modalità standardizzate come Tiber-EU e Tiber-IT (Threat Intelligence-based Ethical Red Teaming). Un compito che richiede competenze nell’ethical hacking oltre che sui framework Tiber anche se, al momento, non costituiscono un requisito immediato”.

Poiché il cybercrime organizzato cambia continuamente modalità d’attacco e bersagli (tra questi sono apparsi gli apparati IoT e consumer all’esterno dai tradizionali perimetri di difesa) diventa importante l’aggiornamento continuo delle competenze. “Un contesto che richiede capacità di sviluppare programmi di formazione, che siano efficaci per i team tecnici quanto coinvolgenti e fruibili per gli utenti delle line-of-business e dirigenti”.

Contributo editoriale sviluppato in collaborazione con Horizon

 

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati