L’alba di una nuova era per la sicurezza informatica nel settore finanziario europeo è alle porte: a gennaio 2025, il Digital Operational Resilience Act (DORA) entrerà in vigore, introducendo una serie di requisiti specifici per le istituzioni finanziarie dell’UE.
A differenza di normative più generali come il GDPR o la Direttiva NIS2, DORA si concentra esclusivamente sul comparto finanziario, imponendo nuove responsabilità a compagnie assicurative, società di investimento, istituti di credito, banche e persino ai loro fornitori terzi, come data center e sviluppatori di software.
Indice degli argomenti
I requisiti introdotti da DORA
La cyber security è uno degli elementi chiave di DORA, poiché protegge le istituzioni finanziarie dalle minacce informatiche e garantisce la continuità operativa in caso di incidenti.
I principali requisiti introdotti sono:
- Gestione del Rischio ICT (Information and Communication Technology):
- Le istituzioni finanziarie devono adottare una soluzione robusta in grado di identificare, valutare e mitigare i rischi legati alle tecnologie informatiche.
- Richiede l’adozione di misure di sicurezza avanzate per proteggere i dati e le infrastrutture critiche.
- Segnalazione degli Incidenti:
- DORA obbliga le istituzioni a segnalare tempestivamente alle autorità competenti qualsiasi incidente informatico significativo.
- Questa trasparenza aiuta a coordinare le risposte e a prevenire futuri attacchi.
- Test di Resilienza Operativa:
- Le istituzioni devono condurre regolarmente test di penetrazione e simulazioni di attacchi per valutare la robustezza delle proprie difese informatiche.
- Questi test aiutano a identificare e correggere vulnerabilità prima che possano essere sfruttate da malintenzionati.
- Gestione dei Fornitori di Servizi ICT:
- DORA impone alle istituzioni finanziarie di valutare e monitorare la sicurezza dei loro fornitori di servizi ICT.
- Questo include clausole contrattuali specifiche e requisiti di conformità per garantire che i fornitori rispettino gli standard di sicurezza richiesti.
- Formazione e Consapevolezza:
- Le istituzioni devono investire nella formazione del personale per aumentare la consapevolezza riguardo alle minacce informatiche e alle migliori pratiche di sicurezza.
Un’opportunità per rafforzare le difese cyber
Analizzando queste specifiche, DORA potrebbe essere considerata un nuovo ostacolo burocratico da superare. Al contrario, rappresenta un’opportunità senza precedenti per rafforzare le difese cyber e adottare best practice che dovrebbero già essere parte integrante delle operazioni quotidiane.
Al centro di DORA c’è l’adozione di un approccio olistico alla sicurezza delle identità. Ogni utente con accesso a dati sensibili, interni ed esterni all’azienda, deve essere gestito con la massima attenzione. Ciò significa implementare il principio del minimo privilegio, semplificando al contempo gli audit e garantendo una reportistica dettagliata e trasparente.
DORA pone particolare enfasi sulle misure di controllo degli accessi, promuovendo l’adozione di tecnologie come Single Sign-On (SSO), autenticazione multifattoriale (MFA) e gestione completa del ciclo di vita delle identità.
Sebbene queste pratiche siano considerate standard di sicurezza in molti settori, spesso vengono trascurate a favore di soluzioni innovative o puntuali volte a contrastare minacce emergenti.
Trasformare i requisiti di DORA in vantaggi strategici
Invece di considerare DORA come un ulteriore grattacapo normativo, i responsabili del settore finanziario dovrebbero cogliere l’occasione per trasformare i requisiti in vantaggi strategici.
Investire in soluzioni avanzate di Identity and Access Management (IAM), ad esempio, non solo garantisce conformità, ma ottimizza anche le operazioni, riduce i costi amministrativi e migliora l’esperienza degli utenti.
Allo stesso modo, l’implementazione di una solida strategia MFA non si limita a prevenire accessi non autorizzati, ma rafforza la fiducia di clienti, partner e autorità di regolamentazione.
Il corretto approccio proattivo di DORA
L’approccio proattivo di DORA si allinea perfettamente con altre normative europee, come la Direttiva NIS 2, il Cyber Resilience Act e il Cybersecurity Act.
Insieme, mirano a creare un framework di sicurezza IT solido e coeso in tutta l’UE, definendo standard comuni per la certificazione dei prodotti, i requisiti di sicurezza e le misure di protezione per i settori critici.
Le aziende che abbracciano questo cambiamento in modo proattivo si troveranno in una posizione di vantaggio e potranno non solo rispondere con maggiore efficacia alle future evoluzioni normative, ma essere anche meglio equipaggiate per mitigare i rischi informatici e cogliere nuove opportunità di business.
In definitiva, DORA rappresenta molto più di una semplice normativa, è un’opportunità per costruire un settore finanziario più resiliente, agile e sicuro, in grado di affrontare le sfide del panorama digitale in continua evoluzione.
Inoltre, è fondamentale sottolineare l’importanza di una cultura aziendale incentrata sulla cyber security.
La formazione continua dei dipendenti, la promozione di comportamenti online responsabili e l’adozione di un approccio proattivo alla gestione dei rischi cyber sono elementi cruciali per il successo a lungo termine.
Investire in tecnologie all’avanguardia, come intelligenza artificiale e machine learning, può contribuire a rafforzare ulteriormente le difese informatiche perché possono essere utilizzate per automatizzare l’analisi delle minacce, rilevare anomalie nel comportamento degli utenti e rispondere in modo rapido ed efficace agli incidenti di sicurezza.
In conclusione
DORA rappresenta un’opportunità unica per il settore finanziario europeo di elevare i propri standard di sicurezza IT.
Abbracciando un approccio olistico e proattivo, le aziende possono trasformare i requisiti normativi in vantaggi competitivi, garantendo la resilienza operativa e rafforzando la fiducia dei propri stakeholder in un mondo sempre più digitale.
