DORA EU

DORA Digital Operational Resistance Act: cos’è e che impatto ha sulle aziende italiane

DORA è il regolamento dell’Unione Europea che mira a creare un sistema di sicurezza comune all’interno dell’Unione Europea, relativamente alle tecnologie di informazione e comunicazione (ICT) per le aziende del settore finanziario

I rischi per le imprese finanziarie

Se, fino a qualche anno fa, il tema della sicurezza in ambito finanziario, era sostanzialmente legato alla solidità economica e patrimoniale delle aziende del settore, oggi la trasformazione digitale delle imprese porta con sé il rischio di subire attacchi informatici che possono portare alla sottrazione e perdita di dati e informazioni sensibili, a significative perdite economiche dovute a pagamenti di riscatti o al blocco dell’operatività delle aziende sotto attacco.

Il Data Breach Investigation Report 2024 di Verizon  evidenzia come i data breach legati alle vulnerabilità di accesso siano triplicati nel giro di un anno e che mediamente per ogni attacco con richiesta di riscatto le aziende colpite abbiano dovuto pagare 46.000 dollari per attacco. Rilevante è anche il fatto che il 15% degli attacchi sia passato attraverso i fornitori delle aziende bersaglio.

Il DORA mira a mitigare i rischi derivanti dalla trasformazione digitale del settore e a promuovere la resilienza informatica nell’ecosistema dei servizi finanziari, aiutando le aziende coinvolte a prevenire, rispondere e riprendersi da problemi di cybersicurezza.

Entità coinvolte

Istituzioni finanziarie tradizionali: banche, società di assicurazione e riassicurazione, istituti di pagamento e/o moneta elettronica, società di investimento, agenzie di rating del credito

Entità finanziarie emergenti: fornitori di servizi di cripto-asset (CASP), fornitori di servizi di crowdfunding, gestori di fondi di investimento alternativi, intermediari finanziari specializzati in investimenti collettivi in valori immobiliari

Fornitori di servizi ICT critici: fornitori di cloud computing, operatori di data center, fornitori di software, aziende di analisi dei dati

Ambiti di intervento previsti nel DORA

Gli ambiti di intervento previsti nel DORA sono i seguenti:

  • Gestione del rischio ICT e governance
  • Segnalazione e risposta degli incidenti ICT
  • Test di resilienza digitale
  • Gestione del rischio di terze parti
  • Condivisione delle informazioni

Gestione del rischio ICT

Secondo il DORA, la responsabilità della gestione ICT fa capo all’organo amministrativo dell’organizzazione. Questo significa che il Consiglio di Amministrazione e i dirigenti delle aziende sono chiamati a definire le strategie di gestione del rischio e a contribuire attivamente alla loro attuazione anche nell’ambito ICT.

Nell’organizzazione dell’azienda devono essere individuate le risorse ed i processi necessari a minimizzare i rischi relativi la Cybersicurezza e gli amministratori devono controllare che tutte le minacce informatiche e le misure in atto per mitigarle siano tracciate e documentate. È inoltre richiesto che vengano fate analisi periodiche dell’impatto sull’operatività aziendale e che i risultati di tali analisi siano utilizzati per definire i livelli di rischio accettabili e aggiornare di conseguenza l’infrastruttura ICT.

Nello specifico gli interventi potranno riguardare:

  • Strategie e policy di Cybersecurity
  • Gestione degli accessi e dei sistemi di identificazione
  • Gestione delle patch
  • Software per la sicurezza e gestione degli eventi (SIEM)
  • Sistemi per orchestrazione automazione e risposta (SOAR)
  • Piani di disaster recovery e business continuity su più scenari: dall’attacco informatico ai disastri naturali
  • Programmi di security awareness per tutto il personale e il management.

Segnalazione e risposta degli incidenti ICT

Le Aziende e le organizzazioni interessate da DORA, saranno tenute a creare sistemi per monitorare, gestire, registrare, classificare e segnalare gli incidenti in ambito ICT. A seconda della tipo di incidente la segnalazione potrebbe essere necessaria non solo alle autorità preposte, ma anche ai clienti e partner interessati. Inoltre, nel caso di incidenti critici, sono previsti più rapporti: una notifica iniziale, un rapporto intermedio sullo stato degli interventi messi in atto per risolvere il problema e un rapporto finale contenente anche un’analisi delle principali cause dell’incidente stesso.

Le Aziende devono quindi avere a disposizione dei sistemi di sicurezza che permettano di registrare e documentare tutto ciò che avviene dal momento della prima segnalazione di attacco fino alla sua risoluzione finale.

Test di resilienza digitale

Le entità soggette a DORA devono testare regolarmente i propri sistemi ICT per valutarne la sicurezza e identificare possibili vulnerabilità. I risultati dei test devono essere trasmessi alle autorità di vigilanza per la convalida.

Le entità considerate critiche, devono inoltre sottoporsi ogni tre anni a test di penetrazione (TLPT) a cui dovranno partecipare anche tutte le terze parti che forniscono servizi ICT critici per l’entità

Gestione del rischio di terze parti

Nei processi digitalizzati, un veicolo di attacco possono essere i fornitori di servizi ICT quali ad esempio Service Provider, Data Center, Società di hosting, Fornitori di servizi Cloud. Per questo DORA obbliga le entità a gestire in maniera proattiva la sicurezza legata alle terze parti anche con processi di audit e due diligence. È responsabilità diretta delle entità assicurarsi che le terze parti rispettino i requisiti DORA, prima di firmare contratti di fornitura.

Condivisione delle informazioni

Per contribuire a creare una consapevolezza collettiva e a sviluppare le migliori pratiche per prevenire e rispondere alle minacce informatiche, le entità sono incoraggiate a partecipare alla condivisione volontaria di cyber threat intelligence con altri istituti finanziari. Tale condivisione deve ovviamente avvenire in modo che siano rispettate tutte le normative in vigore anche in tema di privacy.

Entrata in vigore

Il regolamento DORA è entrato in vigore il 16 gennaio 2023 e sarà effettivo a partire dal 17 gennaio 2025


Cyberedge ha una consolidata esperienza nell’ambito della Cybersecurity e può supportare le entità coinvolte nel DORA a definire ed implementare le corrette strategie e politiche di sicurezza in conformità a quanto richiesto dal regolamento.