Il Regolamento DORA (Digital Operational Resilience Act) rientra nel framework europeo per la cybersecurity. In particolare, DORA è l’apparato normativo indirizzato a potenziare la resilienza operativa (digitale) del settore finanziario dell'UE, uno dei grandi pilastri dell’economia continentale.
Entrato in vigore il 16 gennaio 2023 e applicabile dal 17 gennaio 2025, DORA impone requisiti rigorosi alle istituzioni finanziarie e ai fornitori di servizi ICT per garantire la loro capacità di affrontare le minacce informatiche e le interruzioni dei servizi. Per assicurare la compliance al regolamento DORA, le organizzazioni devono quindi adottare una strategia chiara e implementare misure tecniche efficaci. Vediamo come fare e quali strumenti scegliere.
Come sviluppare una strategia per la conformità a DORA
Per conformarsi al Regolamento DORA, le organizzazioni finanziarie devono adottare un approccio strutturato che tenga conto dei 5 pilastri fondamentali su cui poggia la normativa. In particolare:
Governance del rischio ICT
Attraverso un framework solido per la gestione del rischio IT, le organizzazioni definiscono una struttura di governance chiara e ben definite. È essenziale gestire sia i rischi interni che esterni; per quanto riguarda quelli esterni, diventa sempre più centrale eseguire due diligence approfondite per valutare la solidità dei fornitori e verificare la loro conformità alle normative vigenti. Un framework di gestione del rischio ICT comprende politiche e procedure per l'identificazione, la valutazione e la gestione dei rischi ICT, nonché meccanismi per il monitoraggio e la segnalazione degli incidenti e piani di continuità operativa e di disaster recovery.
Gestione e reporting degli incidenti ICT
Il secondo punto su cui costruire una strategia di compliance con il Regolamento DORA è l’incident management. Ogni organizzazione deve implementare processi efficaci per il rilevamento, la gestione e la segnalazione tempestiva degli incidenti informatici. Risulta quindi fondamentale adottare una serie di processi, di misure organizzative e di tecnologie atte a coprire tutti i macro-processi della cyber security, sia in chiave preventiva che reattiva. Inoltre, occorre definire un piano di risposta agli incidenti e di reporting alle autorità competenti entro termini ben definiti.
Gestione del rischio di terze parti
Come detto, poiché molti servizi ICT dipendono da fornitori esterni, le imprese devono attrezzarsi per monitorare continuamente i fornitori critici al fine di soddisfare gli standard di sicurezza richiesti.
Test di resilienza
Lo scopo del Regolamento DORA è rendere gli operatori finanziari resilienti in un’era contraddistinta da minacce cyber in continuo aumento. Le organizzazioni sono quindi tenute a condurre test regolari per valutare la solidità della loro infrastruttura digitale. Le parole chiave, qui, sono vulnerability assessment, penetration testing, simulazione di attacchi informatici, analisi degli scenari di rischio e molto altro.
Condivisione delle informazioni
Le organizzazioni sono tenute a partecipare ad attività di intelligence sulle minacce informatiche, così da promuovere una difesa collettiva contro gli attacchi e l’adozione delle best practice di settore.
Misure tecniche per la compliance a DORA: gli strumenti giusti
DORA, ma sono pur sempre un tassello di un piano più ampio che comprende anche processi, ruoli, competenze e responsabilità.
Limitando l’osservazione ai tool, gli strumenti di monitoraggio continuo e di simulazione come ad esempio il Continuous Threat Exposure Management o l’Attack Surface Management, grazie anche all’uso di intelligenza artificiale sono il pilastro fondamentale della sicurezza informatica moderna, al punto da essere il cuore pulsante delle strutture che centralizzano la gestione della sicurezza e delle resilienza ICT, i Security Operations Center o SOC.
Il SOC può essere sviluppato in-house , a patto di avere tecnologie, competenze e di tenere entrambe costantemente aggiornate, o, più comunemente, erogato come servizio da parte di provider esperti, che offrono monitoraggio continuo, gestione attiva degli incidenti, risposta rapida alle minacce e reporting dedicato per la conformità a DORA.
Questi strumenti, insieme a tecniche come la segmentazione delle reti, la microsegmentazione, l’adozione di cloud security avanzata, MFA, l’immancabile crittografia e sistemi di gestione delle identità e degli accessi, sono essenziali per implementare una difesa solida e una resilienza operativa che soddisfi i requisiti di DORA. Non da ultimo, l'uso di data center certificati, come quelli Tier 4, e l’implementazione di una solida strategia di backup e disaster recovery, sono indispensabili per minimizzare i rischi di downtime e garantire la continuità operativa in caso di attacchi o guasti.
