Legge sulla resilienza operativa digitale (DORA): Lista di controllo completa per le aziende

Con entrata in vigore il 17 gennaio 2025, la DORA impone nuovi obblighi sulla gestione dei rischi e degli incidenti legati alle tecnologie dell'informazione e della comunicazione (ICT), che le istituzioni finanziarie di quasi tutti i settori dovranno rispettare.

Ambito di applicazione

Il DORA è un importante regolamento dell'UE che ha un impatto sia sulle entità finanziarie che sui fornitori di servizi ICT. I fornitori di servizi ICT critici di terze parti (CTPP) dovranno affrontare obblighi diretti, tra cui la conformità alle nuove regole e la supervisione da parte delle autorità di vigilanza finanziaria. Altri fornitori di servizi ICT, pur non essendo direttamente classificati come CTPP, saranno comunque interessati, in particolare attraverso i loro rapporti contrattuali con le entità finanziarie, che potrebbero richiedere aggiornamenti per soddisfare gli standard più ampi della DORA.

Ciò significa che i settori dei servizi finanziari, tecnologici e Fintech, sia all'interno dell'UE che le entità extra-UE, sono interessati se forniscono servizi nell'UE che rientrano nel DORA. Ciò potrebbe includere, ad esempio, le aziende extra-UE che eseguono analisi dei dati per le istituzioni finanziarie nell'UE, come:

• Istituti di credito (banche)
• Imprese di investimento che gestiscono attività o forniscono consulenza finanziaria
• Gestori di fondi di investimento alternativi e società di gestione di OICVM che supervisionano schemi di investimento collettivo
• Imprese di assicurazione e riassicurazione e intermediari assicurativi che gestiscono il rischio e distribuiscono polizze
• Istituti di pagamento e istituti di moneta elettronica che facilitano i pagamenti elettronici ed emettono valuta digitale
• Fornitori di servizi di informazione sui conti che gestiscono dati finanziari
• Fornitori di servizi di cripto-asset coinvolti nelle transazioni di criptovaluta
• Sedi di negoziazione come le borse valori
• Depositi centrali di titoli e controparti centrali che gestiscono i titoli e compensano le transazioni
• Repository commerciali che archiviano i dati delle transazioni
• Repository di cartolarizzazione che gestiscono i dati sulle attività cartolarizzate
• Fornitori di servizi di reporting dei dati che assicurano la conformità con i regolamenti di reporting
• Istituti di previdenza professionale che gestiscono i piani pensionistici
• Fornitori di servizi di crowdfunding che facilitano il finanziamento peer-to-peer
• Agenzie di rating del credito che valutano il merito di credito
• Amministratori di benchmark critici che supervisionano l'affidabilità dei benchmark finanziari

Requisiti chiave del DORA

1. Gestione del rischio ICT: Le entità finanziarie devono stabilire quadri completi per identificare, gestire e segnalare i rischi ICT per garantire la resilienza nell'ambiente digitale. Ciò include la conduzione di valutazioni di vulnerabilità, analisi open-source e valutazioni di sicurezza della rete per identificare e mitigare i rischi potenziali. L'articolo 7 della DORA richiede a questi enti di documentare e rivedere annualmente le funzioni aziendali legate alle ITC. In conformità con la Direttiva NIS2 e la Legge sulla Resilienza Operativa Digitale (DORA), le organizzazioni devono implementare pratiche complete di gestione del rischio, che includono il mantenimento di una distinta base del software (SBOM) per identificare e affrontare le vulnerabilità in tutti i componenti del software, garantendo una solida cybersecurity e la resilienza operativa.

Conoscere i propri sistemi: Secondo l'Articolo 5 dell'RTS, le procedure di gestione degli asset ICT devono specificare i criteri per eseguire le valutazioni di criticità degli asset informativi e degli asset ICT che supportano le funzioni aziendali. Ciò include la considerazione dei rischi ICT legati a queste funzioni aziendali e alle loro dipendenze dalle informazioni o dagli asset ICT, nonché l'impatto della perdita di riservatezza, integrità o disponibilità di questi asset sui processi e sulle attività aziendali.

2. Test di resilienza operativa: Le entità sono tenute a condurre regolarmente test di resilienza operativa digitale, compresi test di penetrazione guidati da minacce avanzate per le organizzazioni più grandi.

3. Segnalazione degli incidenti: Le entità devono rispettare i requisiti rigorosi per la segnalazione di incidenti legati all'ICT alle autorità di regolamentazione in modo tempestivo e accurato.

Requisiti per la segnalazione degli incidenti: Qualsiasi entità coperta dal DORA deve garantire l'esistenza di processi di notifica per riferire gli incidenti principali legati all'ICT all'autorità competente e, in alcuni casi, ai clienti. Il quadro di segnalazione comprende:

Rapporto iniziale entro 4 ore dalla classificazione di un incidente come “grave”, ma non oltre 24 ore dalla conoscenza dell'incidente.

Rapporto intermedio entro 72 ore dalla notifica iniziale e un rapporto aggiornato senza ritardi ingiustificati quando le attività regolari si sono riprese.

Rapporto finale entro un mese dall'ultimo rapporto intermedio aggiornato.

4. Gestione del rischio di terze parti: Le istituzioni finanziarie devono assicurarsi che i loro fornitori di servizi ICT, in particolare quelli critici di terze parti, rispettino i nuovi obblighi e standard contrattuali.

Gestione delle vulnerabilità e delle patch: L'articolo 10 dell'RTS richiede alle entità finanziarie di effettuare la gestione delle vulnerabilità e delle patch per tutti i componenti del sistema. Ciò include l'esecuzione di una scansione automatizzata delle vulnerabilità, in particolare per le funzioni critiche o importanti, almeno su base settimanale. Inoltre, le entità devono assicurarsi che i fornitori di servizi ICT di terze parti gestiscano eventuali vulnerabilità relative ai servizi ICT forniti e le segnalino all'entità finanziaria. Tracciare l'utilizzo di librerie di terze parti, incluse quelle open- source, è fondamentale, così come monitorare le loro versioni e i potenziali aggiornamenti.

o Gestione del software open source (OSS): Le entità finanziarie sono responsabili della valutazione delle pratiche di sicurezza dei loro fornitori di software open-source, della valutazione dell'origine e della manutenzione dei progetti open-source e della garanzia che questi non introducano vulnerabilità nei sistemi critici. È obbligatorio verificare regolarmente la presenza di vulnerabilità in tutti i pacchetti open-source utilizzati, data la frequenza delle nuove vulnerabilità scoperte. Ciò include la valutazione di tutti i pacchetti open-source dipendenti in modo transitorio, che potrebbero non essere immediatamente evidenti, anche per gli sviluppatori.

5. Supervisione e conformità: I fornitori ICT critici di terze parti saranno supervisionati direttamente dalle autorità finanziarie, mentre altri fornitori dovranno garantire la conformità indiretta attraverso i loro rapporti contrattuali.

DORA: Bozza finale di RTS sul subappalto

Il 26 luglio 2024, le Autorità di Vigilanza Europee (ESA) hanno pubblicato la bozza finale degli Standard Tecnici Regolamentari (RTS) relativi al subappalto ai sensi della DORA. Le aziende soggette al DORA devono assicurarsi che i loro contratti siano aggiornati prima della data di applicazione del 17 gennaio 2025.

- Disposizioni chiave sul subappalto: L'articolo 30 del DORA contiene un catalogo di contenuti minimi che devono essere inclusi nei contratti di outsourcing con i fornitori di servizi ICT. Questi requisiti vanno oltre la legislazione esistente sull'outsourcing BCM, garantendo che i fornitori di servizi ICT di terze parti implementino e testino piani di emergenza e dispongano di misure, strumenti e linee guida per la sicurezza ICT.

Servizi ICT per funzioni critiche: I subappaltatori ICT che supportano funzioni critiche e importanti devono implementare piani di risposta agli incidenti e di continuità aziendale che soddisfino i requisiti dell'Articolo 11 della DORA. Questi piani, insieme agli accordi sui livelli di servizio (SLA), devono essere chiaramente definiti e concordati in modo vincolante nei contratti.

Requisiti tecnici ai sensi del DORA

I risultati dello stress test sulla resilienza informatica della Banca Centrale Europea (BCE) sono attualmente in discussione e si prevede che influenzeranno la finalizzazione dei requisiti DORA, in particolare per quanto riguarda le misure di sicurezza basate sull'AI. Le autorità di regolamentazione hanno evidenziato la necessità di valutare come la legislazione esistente, come l'AI Act, il GDPR e il DORA, affronti i potenziali rischi di sicurezza posti dall'AI.

I requisiti tecnici previsti dal DORA pongono requisiti significativi ai reparti IT, in particolare nel settore dei servizi finanziari. Questi requisiti includono una gestione rigorosa delle vulnerabilità, che richiede scansioni settimanali delle vulnerabilità per le funzioni critiche, e l'implementazione di test di penetrazione guidati dalle minacce (TLPT) con esercizi di red teaming ogni tre anni, come da linee guida TIBER-EU. I dipartimenti IT devono anche imporre l'autenticazione a due fattori e condurre valutazioni approfondite dei rischi dei sistemi ICT legacy, soprattutto quelli che stanno per terminare il loro ciclo di vita di supporto.

Conclusione

Con l'avvicinarsi della data di entrata in vigore del 17 gennaio 2025, il DORA è pronto a ridisegnare il panorama della gestione del rischio ICT e della resilienza operativa nei settori finanziario, tecnologico e Fintech. Consolidando e standardizzando le normative in tutta l'UE, la DORA affronta le lacune critiche, garantendo un approccio unificato alla gestione dei rischi digitali. Le entità finanziarie e i fornitori di servizi ICT, sia all'interno che all'esterno dell'UE, devono allineare proattivamente le loro operazioni ai severi requisiti della DORA per evitare potenziali sanzioni di non conformità e garantire una continuità aziendale ininterrotta.

La lista di controllo fornita serve alle aziende come guida completa per navigare nel complesso ambiente normativo del DORA. Seguendo questa lista di controllo, le aziende possono valutare e migliorare sistematicamente i loro quadri di gestione del rischio ICT, assicurare solidi protocolli di segnalazione degli incidenti e mantenere relazioni resilienti con i fornitori di servizi terzi. Queste misure proattive sono fondamentali per raggiungere la conformità e salvaguardarsi dalla crescente minaccia di interruzioni informatiche nell'economia digitale di oggi.

Lista di controllo aziendale per la conformità DORA

1. Ambito e applicabilità:

Determinare l'applicabilità: Confermare se la sua azienda rientra nell'ambito di applicazione del DORA (ad esempio, istituti finanziari, fornitori di servizi ICT, entità non UE che forniscono servizi nell'UE come l'analisi dei dati).

Identificare i servizi interessati: Individuare quali funzioni o servizi aziendali della sua azienda sono impattati dal DORA.

2. Gestione del rischio ICT:

Stabilire un quadro di rischio ICT: Implementare un quadro completo di gestione del rischio ICT che aderisca agli standard DORA.

Documentare le funzioni ICT: Valutare e documentare regolarmente tutte le funzioni e gli asset aziendali legati all'ICT, aggiornandoli annualmente.

Sviluppare SBOM: Mantenere una distinta base del software (SBOM) per tutti i sistemi ICT e garantire aggiornamenti e revisioni regolari.

Condurre valutazioni: Eseguire regolarmente valutazioni di vulnerabilità, analisi di software open-source e valutazioni di sicurezza della rete.

3. Test di resilienza operativa:

Test di resilienza digitale: Programmare e condurre regolarmente test di resilienza operativa digitale, compresi test di penetrazione avanzati guidati dalle minacce (TLPT) per le organizzazioni più grandi.

Test delle funzioni critiche: Assicurarsi che le funzioni aziendali critiche siano sottoposte a frequenti test per soddisfare gli standard DORA.

4. Segnalazione degli incidenti:

Creare un quadro di segnalazione: Implementare i processi di segnalazione dei principali incidenti legati all'ICT secondo le linee guida del DORA:

Rapporto iniziale: Presentare entro 4 ore dalla classificazione dell'incidente come “grave” o entro 24 ore dalla consapevolezza.

Rapporto intermedio: Fornire aggiornamenti entro 72 ore dalla notifica iniziale, con ulteriori aggiornamenti se necessario.

Rapporto finale: Presentare un rapporto conclusivo entro 1 mese dall'ultimo rapporto intermedio.

5. Gestione del rischio di terze parti:

Aggiornare i contratti: Assicurarsi che tutti i contratti con i fornitori terzi di servizi ICT siano aggiornati per riflettere i requisiti della DORA.

Implementare i piani di emergenza: Confermare che i fornitori terzi critici implementino e testino regolarmente i piani di emergenza.

Conformità dei subappaltatori: Verificare che tutti i subappaltatori aderiscano ai requisiti di risposta agli incidenti e di continuità aziendale di DORA.

6. Supervisione e conformità:

Prepararsi alla supervisione: I fornitori ICT critici di terze parti devono prepararsi alla supervisione diretta da parte delle autorità finanziarie.

Garantire la conformità contrattuale: I fornitori di servizi non critici devono garantire la conformità attraverso obblighi contrattuali aggiornati.

7. Gestione della continuità aziendale (BCM):

Rivedere i processi BCM: Rafforzare i processi BCM esistenti per soddisfare i requisiti ampliati di DORA.

Testare e documentare: Testare e documentare regolarmente i processi BCM, concentrandosi sul recupero e sul ripristino dopo gli incidenti informatici.

8. Requisiti tecnici:

Implementare la sicurezza guidata dall'AI: Aggiornare regolarmente le misure di sicurezza orientate all'AI per allinearsi alla DORA, all'AI Act e al GDPR.

Eseguire scansioni regolari: Eseguire scansioni settimanali delle vulnerabilità per le funzioni critiche e programmare esercizi periodici di red teaming.

Mantenere gli standard di crittografia: Implementare politiche di crittografia rigorose, concentrandosi sulla gestione delle chiavi e sull'aggiornamento delle tecnologie.

Gestione dell'inventario: Mantenere un inventario aggiornato delle risorse, monitorando in particolare i componenti open-source.

Applicare l'autenticazione: Implementare l'autenticazione a due fattori e condurre valutazioni del rischio per i sistemi ICT legacy.

9. Obblighi contrattuali:

SLA dettagliati: Assicurarsi che i contratti includano SLA completi che coprano tutti i requisiti DORA.

Piani di risposta agli incidenti: Definire e concordare chiaramente i piani di risposta agli incidenti e di continuità aziendale nei contratti.

Test regolari: Includere disposizioni per il test e gli aggiornamenti regolari di questi piani.

10. Formazione e sensibilizzazione:

Conduzione della formazione: Formare regolarmente il personale e la direzione sulla conformità al DORA, assicurando la consapevolezza dei requisiti e delle migliori prassi.

Apprendimento continuo: Aggiornare i programmi di formazione in base all'evoluzione delle linee guida DORA.

11. Backup e ripristino:

Separazione dei sistemi: Implementare la separazione fisica e logica dei sistemi di backup nei vari ambienti.

Test regolari: Assicurarsi che i sistemi di backup siano regolarmente testati e conformi agli standard di resilienza del DORA.

12. Documentazione e rapporti:

Mantenere la documentazione: Conservare una documentazione completa di tutti i processi ICT, i test, gli incidenti e gli sforzi di conformità.

Aggiornare regolarmente: Aggiornare regolarmente la documentazione per soddisfare i rigorosi requisiti di reporting del DORA.