DORA Digital Operational Resilience Act: Raggiungi la conformità con Cerbeyra

Il Digital Operational Resilience Act (DORA) èun regolamento europeo pensato e formulato dal legislatore per rafforzare la resilienza operativa digitale delle istituzioni finanziarie e dei fornitori di servizi digitali nell’Unione Europea.

L’obiettivo principale di DORA è garantire che queste entità possano continuare ad operare in modo affidabile e resistere alle minacce informatici, guasti tecnici e altre interruzioni dei servizi digitali.

Appare evidente, con il Digital Operational Resilience Act, la sensibilità del legislatore europeo per le minacce informatiche. Ma soprattutto la volontà di rivoluzionare l’approccio alla gestione del cyber threat, valorizzando la resilienza operativa e la prevenzione con ilcoinvolgimento diretto dei vertici aziendali nella gestione del rischio cyber.

Cerbeyra è in grado di garantire la conformità con DORA. Permette al reparto IT ed al management di avere una rappresentazione sinottica della struttura di sicurezza delle informazioni consentendo un’analisi predittiva delle eventuali minacce e di implementare tutte le azioni necessarie di cyber resilience in anticipo

Che cos’è il DORA, Digital Operational Resilience Act?

Il Digital Operational Resilience Act (DORA) è il regolamento europeo 2022/2554 volto a consolidare e aggiornare i requisiti in materia di rischi informatici. Il legislatore riunisce per la prima volta in un unico atto legislativo tutte le disposizioni in materia di rischio digitale nel settore finanziario.

L’obiettivo del legislatore è quello di migliorare la resilienza operativa del settore finanziario dell’Unione europea. Ovvero il fine ultimo è garantire alle organizzazioni di possedere i processi, i sistemi e i controlli essenziali per resistere e rispondere efficacemente alle interruzioni operative.

DORA fa esplicito riferimento al rischio ICT e stabilisce regole sulla gestione del rischio cyber, sulla segnalazione degli incidenti, sui test di resilienza operativa e sul monitoraggio del rischio ICT di terze parti.

Per tutto ciò DORA si struttura intorno a tre principi fondamentali:

1. Gestione dei rischi IT e di cyber security: Nasce dalla necessità di identificare, valutare e gestire i rischi IT e di cyber security. Il regolamento impone di stabilire politiche e procedure che salvaguardano sistemi e dati dalle minacce informatiche.

2. Gestione della continuità aziendale: La resilienza operativa è l’obiettivo principe di DORA. Questa finalità obbliga a sviluppare piani di continuità aziendale completi per continuare ad operare in modo affidabile e resistendo ad interruzioni operative. Ciò comprende l’implementazione di sistemi di backup, canali di comunicazione alternativi e piani di ripristino in caso di disastro.

3. Vigilanza e supervisione: Il regolamento introduce un quadro per le autorità di vigilanza e supervisione per monitorare e valutare la resilienza operativa. Ovvero include la concessione alle autorità di vigilanza di condurre ispezioni, richiedere informazioni ed imporre sanzioni quando necessario.

Ma quali sono i requisiti principali del regolamento? 

I requisiti principali del regolamento DORA

Il Regolamento europeo richiede un approccio proattivo per non trovarsi impreparati nell’applicazione dei requisiti principali previsti dalla norma che diventerà vincolante dal 17 gennaio 2025.

I requisiti principali sono:

  1. Mappatura e test delle vulnerabilità: È necessario mappare e testare le vulnerabilità dei servizi aziendali critici, dei processi e dei i sistemi IT per identificare e gestire i rischi operativi.
  2. Outsourcing: Necessità di implementare misure adeguate per gestire i rischi associati all’esternalizzazione di funzioni o servizi critici.
  3. Segnalazione degli incidenti: DORA prevede l’obbligo per le entità interessate di notificare alle autorità competenti e clienti casi di incidenti significativi. In particolare quando avrebbero potuto influire sui servizi digitali critici.
  4. Strumenti di Cybersecurity: Le organizzazioni devono adottare strumenti e misure di cyber security adeguate ed efficaci per prevenire le minacce informatiche e le violazioni dei dati.
  5. Gestione del rischio: Si deve stabilire un solido quadro di gestione del rischio, pienamente integrato nella strategia aziendale complessiva.
  6. Governance e supervisione: Le istituzioni finanziarie devono mantenere chiare le linee di responsabilità e la responsabilità per la resilienza operativa, con il consiglio di amministrazione responsabile della supervisione della resilienza operativa dell’istituto.
  7. Pianificazione della continuità aziendale: Le organizzazioni devono sviluppare piani di continuità aziendale completi ed efficaci. Ciò per garantire la continuità dei loro servizi aziendali critici in caso di interruzione.
  8. Test e formazione: I piani di resilienza devono essere testati e aggiornati regolarmente, fornendo la dovuta formazione al personale.

Come e perché Cerbeyra soddisfa il Digital Operational Resilience Act

La conformità ai principi emanati dalla normativa sarà assicurata da un costante monitoraggio da parte dalle autorità europee competenti che avranno facoltà di applicare sanzioni in caso di violazione.

È evidente che per raggiungere la compliance normativa con il regolamento europeo è necessario adoperarsi fin da subito per essere sicuri di rispettare e rispondere prontamente ai requisiti di DORA. 

Cerbeyra garantisce neutralità e trasparenza nei processi. Sia nell’analisi dei dati che nella produzione di report compliance alle normative nazionali ed internazionali, ovvero GDPR, NIS2 e DORA. È una piattaforma SaaS di Cyber Threat Intelligence certificata AgiD presente nel cloud marketplace di ACN Agenzia per la Cybersicurezza Nazionale. 

Risponde ai requisiti di DORA ed ai requisiti in materia di privacy. Rappresenta lo strumento ideale per soddisfare le richieste normative quali ad es. l’art. 32 del Regolamento Europeo 2016/679 (GDPR) punto 1.d). Si richiede l’utilizzo di “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento dei dati personali.”

Requisito in comune anche con dora, riguarda la mappatura e test delle vulnerabilità. Cerbeyra grazie alla funzionalitàdi vulnerability assessment ha un approccio h24 per 365 giorni l’anno. Il controllo delle vulnerabilità è fatto con soluzione di continuità. Cerbeyra analizza continuativamente l’intera infrastruttura aziendale sia esternamente (direttamente dalla piattaforma cloud, attraverso i servizi di scansione disponibili), sia internamente attraverso l’utilizzo di una sonda.

Cerbeyra estende il monitoraggio delle vulnerabilità controllando tutto il dominio cibernetico del cliente, dall’ambito virtuale a quello fisico e normativo. Effettua un’attività di cyber threat intelligence predittiva, correlando tutti i dati acquisiti ed analizzati nelle sue funzionalità. Tutte le attività della piattaforma operano in parallelo ed hanno l’obiettivo di elaborare e correlate le informazioni ottenute per dare un indice di rischio ICT complessivo, il Cerbeyra Index

Cerbeyra Index e Cyber security Report

Il Cerbeyra Index e la sinergia delle attività di vulnerability assessment e cyber threat intelligence garantiscono più di un requisito del regolamento europeo: Outsourcing, Strumenti di Cybersecurity, Gestione del rischio, Pianificazione della continuità aziendale.

Tutte le attività sopra descritte, vengono sintetizzate in due reportfruibili sia dal management e dalla direzione aziendale che dal reparto IT.

I cyber secuirty report di Cerbeyra sono documenti chiari e completi. Possono essere allegati alla documentazione richiesta dalla normativa sulla sicurezza dei dati personali Regolamento UE n. 2016/679 GDPR e nella segnalazione degli incidenti richiesti da DORA.

Concludendo, i report sono un aspetto fondamentale per la resilienza operativa e completano la conformità agli altri requisiti del Digital Operational Resilience Act. Ovvero: governance e supervisione, supportano ulteriormente la pianificazione della continuità aziendale ed il requisito test e formazione.