)
Digital Operational Resilience Act (DORA): da obbligo a opportunità
Nell'era digitale, le istituzioni finanziarie si trovano ad affrontare rischi informatici sempre più elevati. Reply presenta un approccio strategico per la compliance a DORA, facendo luce sul Digital Operational Resilience Act dell'UE per rafforzare la stabilità del settore.
La necessità di resilienza operativa
Le istituzioni finanziarie si trovano a navigare in un panorama in rapida evoluzione, guidato dai progressi tecnologici e dalla digitalizzazione. Se da un lato questi cambiamenti offrono numerose opportunità di business, dall'altro espongono il settore a un aumento di rischi informatici. Il Regolamento DORA, emanato dall'Unione Europea nel dicembre 2022 con termine di adeguamento al 17 gennaio 2025, pone un'attenzione particolare al rafforzamento della resilienza dell'intero settore.
In questo ambiente dinamico, il Regolamento mira a garantire che le istituzioni finanziarie siano in grado di affrontare e reagire efficacemente a eventi ICT avversi e minacce informatiche, elevando così il livello generale di sicurezza informatica del settore.
)
Gestione del
rischio informatico
La normativa evidenzia il ruolo centrale della gestione del rischio ICT e cyber all'interno delle istituzioni finanziarie, delineando le responsabilità dell'organo di gestione e le misure in aree quali identificazione, protezione, prevenzione, risposta, ripristino, apprendimento e comunicazione.
Gestione, classificazione e segnalazione degli incidenti ICT
Il Regolamento sottolinea la necessità di adottare processi per la gestione degli incidenti informatici e fornisce linee guida chiare per la segnalazione, la classificazione e la notifica degli incidenti più gravi. Incoraggia inoltre la condivisione delle informazioni e l'analisi delle minacce informatiche.
Tematiche di digital operational resilience testing
Il Regolamento sottolinea l'importanza di adottare programmi di test della resilienza operativa digitale completi, per verificare le misure di sicurezza e le capacità di risposta agli attacchi. In particolare, introduce i Threat Led Penetration Test, simulazioni avanzate di attacchi reali.
Gestione del rischio
ICT legato alle terze parti
Data la crescente importanza dei provider di servizi ICT, il Regolamento specifica i requisiti per la valutazione e la contrattualizzazione di terze parti e introduce un quadro di sorveglianza per i fornitori ICT identificati come critici.
DORA: sfide e opportunità
Come prepararsi per DORA
L'approccio di Reply per raggiungere la conformità al Digital Operational Resilience Act (DORA) prevede una strategia combinata, che fonde le tradizionali valutazioni "control-based" con una metodologia pratica basata su test. Questo approccio ibrido consente agli istituti di valutare a fondo le proprie capacità di risposta, di individuare le lacune nel rilevamento e nella risposta agli attacchi informatici, di garantire l'integrità delle procedure di continuità operativa e di resilienza operativa, di misurare l'efficacia dei processi di risposta e di dotare il proprio personale delle competenze necessarie per gestire scenari reali di attacco informatico. Inoltre, la creazione di una solida struttura di gestione del programma e l'implementazione di un quadro di controllo completo di KPI rilevanti sono fondamentali per supervisionare l'efficacia del programma, misurare la riduzione del rischio e garantire la conformità a DORA in tutti gli aspetti dell'organizzazione.
;Resize,width=660)
,allowExpansion;Resize,width=660)
,allowExpansion;Resize,width=660)
,allowExpansion;Resize,width=660)
,allowExpansion;Resize,width=660)
;Resize,width=660)