DORA: i cinque pilastri per adeguarsi al regolamento

Il Digital Operation Resilience Act (DORA), adottato dall’Unione Europea nel gennaio del 2023 e che diventerà vincolante dal 17 gennaio 2025 per tutte le “Entità Finanziarie” e i loro “Fornitori di Servizi ICT”, rappresenta un passaggio significativo verso una maggiore resilienza operativa nel settore finanziario digitale.
Questo regolamento si inserisce in un panorama normativo più ampio, che include la Direttiva NIS 2 e la Direttiva CER, con l’obiettivo di consolidare e uniformare i requisiti di resilienza informatica per le imprese europee.

A meno di un anno dal termine ultimo per adeguarsi alla norma, le imprese interessate devono dunque porre la massima attenzione sui passi da compiere nei prossimi mesi, mentre le Autorità Europee di Vigilanza (ESA) lavorano a pieno regime per sviluppare gli standard tecnici di regolamentazione (RTS) relativi a ciascuno dei cinque fondamentali pilastri del DORA:

1° – gestione dei rischi ICT (ICT Risk Management), che implica un’attenta analisi, valutazione e gestione dei rischi e richiede alle entità finanziarie di stabilire robusti framework interni per la governance e il controllo, così da affrontare le situazioni critiche in maniera più strutturata.

2° – gestione degli incidenti ICT e relativo reporting (ICT-related Incident Management), che prescrive l’adozione di procedure volte a standardizzare le attività di classificazione e segnalazione degli incidenti ICT, in modo da assicurare una risposta tempestiva e adeguata.

3° – Business Continuity Management (BCM) e piani di test di resilienza operativa digitale (Digital Operational Resilience Testing), che comprende verifiche periodiche della capacità di fronteggiare una vasta gamma di rischi ICT, nonché delle valutazioni in termini BIA (Business Impact Analysis) e piani di Recovery.

4° – gestione del rischio dei fornitori di servizi ICT (ICT third-party risk management), che enfatizza l’importanza di gestire attentamente i rischi derivanti da collaborazioni esterne, richiedendo alle istituzioni finanziarie di condurre valutazioni approfondite e coltivare solide relazioni contrattuali con le terze parti ICT.

5° – condivisione delle informazioni (Information sharing), che incoraggia meccanismi di condivisione delle informazioni e delle analisi delle minacce informatiche tra le aziende coinvolte, per raggiugere una capacità di risposta collettiva a tali minacce.

Se consideriamo ognuno di questi aspetti nella sua complessità, l’appuntamento del prossimo gennaio non può che apparirci fin troppo vicino. Per le imprese dei settori coinvolti è quindi essenziale trovare immediato sostegno in consulenti in grado di accompagnarli in questo percorso, che possano offrire loro soluzioni utili ad assicurare nei tempi prescritti la compliance alle ultime direttive e sappiano guidarli nel processo di adeguamento agli Standard tecnici di regolamentazione che le ESA completeranno nei prossimi mesi, garantendo al loro personale il supporto necessario ad aggiornare le competenze aziendali in termini di resilienza operativa e sicurezza digitale.