Da pochi mesi è stato raggiunto un accordo su quello che viene definito una vera rivoluzione: il Digital Operational Resilience Act, detto anche DORA.
Si tratta del nuovo regolamento europeo che interessa il settore finanziario e che si pone l'obiettivo di uniformare a livello europeo i requisiti per la sicurezza delle infrastrutture informatiche degli operatori del settore e dei fornitori di servizi ICT. Un rivoluzione che parte proprio dalla tipologia. Il regolamento infatti, a differenza delle precedenti normative, essendo un legislativo vincolante è direttamente applicabile in tutti i sui elementi nei singoli paesi, assicurando una maggiore omogeneità tra tutti gli stati membri. Inoltre DORA si basa su un approccio innovativo di integrazione dei rischi e presidio delle terze parti che può portare ad una più approfondita ed efficace gestione della sicurezza informatica nel mondo finanziario.
Un percorso iniziato nel 2019, che è approdato nel maggio di quest'anno all'accordo sulla bozza del regolamento in vista della sua pubblicazione e applicazione a partire dal prossimo anno e che pone l'accento sul concetto di resilienza applicato all'ambito della cybersecurity. Un concetto non certamente nuovo, da alcuni anni ormai applicato anche nello specifico al settore finanziario, intendendo la capacità di un sistema a reggere lo stress di un evento negativo senza far collassare le operazioni strategiche.
Così nel testo della proposta si legge, all'Articolo 3, la seguente definizione di "resilienza operativa digitale": la capacità dell'entità finanziaria di creare, assicurare e riesaminare la propria integrità operativa da un punto di vista tecnologico, garantendo, direttamente o indirettamente, tramite il ricorso ai servizi offerti da fornitori terzi di TIC, l'intera gamma delle capacità connesse alle TIC necessarie per garantire la sicurezza delle reti e dei sistemi informativi impiegati dall'entità finanziaria, su cui si fondano la costante offerta dei servizi finanziari e la loro qualità.
Che cos'è il Digital Operationa Resilience Act.
Lo scopo fondamentale è quello di creare una base chiara e definita, uniforme tra tutti gli stati europei, per la gestione dei rischi derivanti dalla digitalizzazione delle imprese attive nell'ambito dei servizi finanziari, integrando così la Direttiva NIS. Sono coinvolti sia gli operatori tradizionali come banche e assicurazioni, sia i fornitori di servizi nell'ambito delle criptovalute. DORA prevede anche una maggior attenzione al rischio legato a servizi forniti da terze parti, prevedendo la possibilità di un monitoraggio del rischio per tutta la durata del rapporto.
Il concetto di resilienza operativa vuole mettere in luce la capacità delle aziende di mantenersi operative in caso di incidenti e/o malfunzionamenti, gestendo in maniera efficace i rischi attraverso un programma di test di resilienza da ripetersi almeno annualmente in un ottica di miglioramento continuo. L'obiettivo è che l'organizzazione sia in grado di evitare impatti gravi tali da incidere sulla disponibilità dei servizi critici e di intervenire tempestivamente individuando in tempi rapidi eventuali violazioni o criticità.
Per quanto riguarda la registrazione e la segnalazione degli incidenti, DORA introduce un metodo comune e dei criteri predefiniti per la loro classificazione, definendo il processo di gestione attraverso delle fasi standard e stabilendo un piano strategico per la comunicazione e il reporting sia internamente che verso l'esterno e le autorità competenti.
Il Framework DORA.
Il Framework è studiato e predisposto per minimizzare gli impatti di eventi avversi contro le funzioni critiche che possono portare anche all'interruzione dei servizi. Semplificando, l'ambito di intervento si può riassumere in 5 aree:
- Individuazione delle funzioni critiche e mappatura degli asset da proteggere
- Raccolta delle informazioni e di dati necessari alla comprensione e alla definizione degli scenari di rischio
- Analisi degli scenari e della accettabilità del rischio in relazione alle differenti funzioni
- Definizione degli scenari di testing in base alle valutazioni effettuate e ai dati raccolti
- Monitoraggio continuo del livello di resilienza operativa.
Un quadro normativo dunque grazie al quale gli attori del settore finanziario dovrebbero essere in grado di fronteggiare le crescenti minacce informatiche, mitigandone i rischi e assicurando la resilenza operativa necessaria a tutela degli utenti e dell'organizzazione stessa.