In questo articolo, Rinesh Patel, Global Head of Financial Services Industry di Snowflake, spiega perchè le istituzioni finanziarie devono avere un approccio proattivo nei confronti del DORA, la normativa che intende garantire resilienza operativa digitale al settore finanziario.
Buona lettura!
DORA: sfide e opportunità per il settore dei servizi finanziari
Il Digital Operational Resilience Act (DORA) entrerà in vigore il 17 gennaio 2025 con l’obiettivo di migliorare la resilienza delle istituzioni finanziarie rispetto agli incidenti informatici in cinque aree chiave: gestione del rischio, incident management, test di resilienza operativa digitale, valutazione del rischio di terze parti e condivisione delle informazioni. Pur essendo un regolamento europeo, DORA stabilirà un livello di resilienza operativa e sicurezza informatica che impatterà sull’intero ecosistema finanziario globale, compresi i fornitori di servizi di terze parti, e potenzialmente influirà sulle normative future a livello mondiale.
L’adozione di DORA rappresenta sicuramente una sfida, soprattutto in termini di risorse e investimenti, ma assicurerà benefici a lungo termine e, in vista della sua implementazione, è fondamentale che le aziende ne conoscano i requisiti specifici e adattino proattivamente le loro attività al fine di garantirne la conformità.
L’impatto di DORA
Una delle sfide più importanti da affrontare riguarda gli investimenti in termini di reperimento di talenti, non solo in termini di tecnologia e risorse, ma anche di riqualificazione dei dipendenti su temi quali la resilienza informatica e la conformità alle normative. Ci saranno anche requisiti più severi sulla gestione dei rischi associati ai fornitori di servizi ICT di terze parti che richiederanno una due diligence approfondita e che potrebbero impattare le partnership esistenti. Data la complessità di DORA, orientarsi tra le indicazioni e garantirne il rispetto sarà un processo che probabilmente richiederà molto tempo.
Un’implicazione positiva è l’aspetto generale del nuovo regolamento che introduce una maggiore resilienza. La promozione di un approccio più robusto e proattivo alla gestione dei rischi ICT all’interno degli istituti finanziari può determinare una riduzione delle interruzioni dovute ad attacchi informatici e altri incidenti e minori tempi di recupero, oltre a un rafforzamento della fiducia di clienti e investitori. DORA uniforma i requisiti e contribuisce a stabilire un insieme coerente di norme in tutta l’UE, consentendo così alle aziende di identificare e segnalare le minacce, nonché di implementare misure preventive, migliorando la collaborazione e la condivisione delle conoscenze all’interno del settore.
Nonostante le imprese dovranno probabilmente affrontare investimenti in termini di tempo, risorse e personale, è importante che considerino la sicurezza come un vantaggio dal punto di vista dell’innovazione. DORA favorisce un approccio collaborativo alla resilienza operativa, richiedendo alle varie parti interessate di lavorare insieme e condividere efficacemente le informazioni. Risposte tempestive e condivisione delle minacce emergenti, valutazioni congiunte dei rischi e collaborazione su standard e linee guida a livello di settore contribuiscono a creare una base più sicura a servizio dell’innovazione, permettendo così di costruire piattaforme più affidabili e fidate per lo sviluppo di nuovi prodotti e servizi.
Un approccio proattivo
Le organizzazioni del settore finanziario dovrebbero adottare un approccio proattivo, flessibile e basato sul rischio, per trovare un equilibrio tra conformità ed esigenze aziendali. Il primo passo dovrebbe essere quello di condurre una gap analysis interna per identificare le normative di riferimento e valutare la posizione attuale dell’azienda, evidenziando le aree in cui si registrano delle vulnerabilità, oltre a condurre regolari valutazioni del rischio e sviluppare programmi per la gestione di eventuali problemi di resilienza.
La maggior parte delle istituzioni finanziarie collabora con fornitori terzi, ma prima di stipulare una partnership è necessario valutare che il provider sia conforme alle normative vigenti e garantire che stia mettendo in atto i piani necessari per affrontare efficacemente le criticità dei cinque pilastri DORA. I fornitori di servizi più affidabili consentiranno ai clienti di spostare i propri dati su scala, in simultanea e con prestazioni quasi illimitate, mantenendo i dati dell’organizzazione al sicuro. DORA offre alle società di servizi finanziari l’opportunità di ripensare le proprie strategie in modo da spostare i dati e i carichi di lavoro in modo efficiente tra le varie regioni e cloud per evitare tempi di inattività o interruzioni e migliorare la resilienza.
I responsabili delle organizzazioni finanziarie devono lavorare a stretto contatto con i fornitori per mantenere un dialogo aperto con le autorità di regolamentazione, sia all’interno dell’UE che in altre regioni. Per estrarre valore commerciale da DORA sarà fondamentale un approccio collaborativo, e i responsabili delle società finanziarie dovrebbero fare attenzione a scegliere fornitori che operino secondo un modello di responsabilità condivisa, offrendo resilienza operativa digitale e impegni in materia di privacy e sicurezza senza compromettere i servizi.
DORA e il futuro
È giunto il momento di implementare queste misure, in quanto, se adottate in modo proattivo e in anticipo, permetteranno agli istituti finanziari di posizionarsi al meglio. Una volta che DORA sarà entrato in vigore, tutti i clienti regolamentati dovranno conformarsi ai requisiti indicati e saranno inoltre tenuti a segnalare, entro i termini stabiliti, i principali incidenti operativi alle autorità competenti. Nel complesso, DORA mira a creare un ecosistema finanziario più solido e resiliente, imponendo alle società finanziarie di gestire in modo più efficace anche i rischi di terze parti.
Se il regolamento DORA offre l’opportunità di concentrarsi sulle pratiche di cybersecurity e resilienza operativa, sarà probabilmente affiancato da altre normative nazionali: ad esempio, la Banca d’Italia e l’Agenzia per la Cybersicurezza Nazionale hanno sottoscritto un accordo finalizzato allo scambio informativo e alla cooperazione per la protezione dalle minacce cyber, in linea con la Strategia Nazionale di Cybersicurezza 2022-2026.
DORA consentirà alle aziende di fare luce sui rischi e aprirà la strada a un sistema finanziario globale più sicuro ed efficiente. Per i leader aziendali è giunto il momento di agire per lavorare verso questo futuro.
di Rinesh Patel, Global Head of Financial Services Industry, Snowflake