Condividiamo l’articolo di Luciano Quartarone, CISO e DPO di Archiva Group dedicato alle sfide che il settore finanziario dovrà affrontare con l’attuazione del regolamento DORA, sottolineando l’importanza di un approccio olistico alla resilienza operativa, che vada oltre le sole soluzioni tecnologiche per includere analisi dei rischi, business continuity, disaster recovery e gestione degli incidenti.
Buona lettura!
Verso una nuova era della resilienza finanziaria: l’impatto e l’importanza del Regolamento DORA
Viviamo in un’era digitale e la resilienza delle istituzioni finanziarie è più critica che mai. L’avvento del regolamento DORA (Digital Operational Resilience Act) rappresenta un significativo passo avanti verso la creazione di un ecosistema finanziario più sicuro, resiliente e affidabile. Questo regolamento, in vigore dal 16 gennaio 2023 e pienamente attuativo dal 17 gennaio 2025, segna un’importante tappa nella regolamentazione del settore finanziario europeo e stabilisce un nuovo standard per la gestione del rischio informatico e la continuità operativa. La Legge 21 febbraio 2024, n° 15, “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2022-2023.”, delega al Governo il compito di adottare entro diciotto mesi, quindi entro ottobre 2025, i decreti legislativi necessari per l’adeguamento della normativa nazionale al DORA.
Al centro del regolamento DORA c’è un principio fondamentale: la resilienza operativa digitale non può essere assicurata esclusivamente attraverso soluzioni tecnologiche, ma richiede un approccio olistico che comprenda processi di analisi dei rischi, business continuity, disaster recovery e gestione degli incidenti. Questo approccio riflette il claim di Archiva: Dati, Processi, Persone. Per questo, prima di affidarsi alla tecnologia, è essenziale avere processi ben definiti e persone competenti.
Il regolamento DORA si concentra in modo specifico sul settore finanziario, includendo banche, compagnie di assicurazione, fondi di investimento, altre entità finanziarie, e fornitori di servizi ICT che forniscono supporto essenziale a queste istituzioni, richiedendo loro di adottare misure robuste per garantire la resilienza operativa. Ciò include la gestione delle vulnerabilità, la protezione contro le minacce informatiche e l’adozione di misure di sicurezza avanzate, l’obbligo di effettuare test di resilienza, business continuity e disaster recovery, nonché la segnalazione obbligatoria di incidenti informatici. Queste disposizioni spingono le aziende a industrializzare i test, garantendo processi meglio definiti e verificati.
Un elemento chiave del regolamento DORA è l’enfasi sull’analisi dei rischi, poiché incoraggia le entità finanziarie a personalizzare o sviluppare nuove metodologie per meglio soddisfare le esigenze specifiche. Questo si allinea con la visione di Archiva, dove crediamo fortemente nella personalizzazione delle soluzioni in base alla realtà di ciascuna azienda. Allo stesso tempo, il regolamento richiede un cambiamento di mentalità: bisogna essere pronti a immaginare e testare scenari di rischio plausibili, per quanto improbabili possano sembrare.
La pandemia di COVID-19 ha dimostrato l’importanza di essere preparati per eventi inaspettati. Molte organizzazioni sono state colte di sorpresa, evidenziando la necessità di disporre di processi di pianificazione e risposta agli incidenti ben strutturati. Il regolamento DORA e normative simili come la Direttiva NIS 2 e il Cyber Security Act segnalano un impegno crescente dell’UE verso la normazione di questi ambiti, con l’obiettivo di proteggere individui, organizzazioni e stati.
Oltre a migliorare la resilienza operativa, il regolamento DORA introduce sanzioni per le aziende che non rispettano il regolamento. Tuttavia, l’obiettivo principale non dovrebbe essere semplicemente evitare sanzioni, ma riconoscere il valore che una solida gestione del rischio informatico e resilienza operativa apportano al business. Le aziende che implementano efficacemente queste pratiche non solo proteggono loro stesse ma rafforzano anche la fiducia dei clienti.
Conclusioni
Il regolamento DORA rappresenta un passo importante verso la modernizzazione e la protezione del settore finanziario europeo. Fornendo requisiti chiari e standardizzati per la resilienza operativa digitale, il regolamento mira a promuovere la stabilità e la fiducia nel sistema finanziario. Mentre ci si avvicina all’entrata in vigore del DORA, è essenziale che le aziende del settore finanziario, ma non solo, riconoscano l’importanza di prepararsi adeguatamente. Questo richiederà un esame approfondito delle proprie metodologie di analisi dei rischi, l’allocazione di risorse adeguate e una stretta collaborazione tra alta direzione e operativi. Solo così si potrà garantire la creazione di un ecosistema finanziario veramente resiliente, capace di affrontare le sfide del futuro.
di Luciano Quartarone, CISO e DPO di Archiva Group