Che cos'è il DORA (Digital Operational Resilience Act)?

Il DORA è un regolamento dell' UE relativo al settore dei servizi finanziari. Il DORA si riferisce esplicitamente ai servizi finanziari nell'UE, con una particolare attenzione al mantenimento della resilienza nella cybersicurezza.

È entrato in vigore il 16 gennaio 2023 e sarà effettivo a partire dal 17 gennaio 2025.

Fabio Panetta dell'Unione europea (UE) ha descritto lo scenario delle minacce informatiche con questi termini: "Le minacce stanno diventando sempre più complesse. I recenti attacchi richiedono una costante vigilanza a livello operativo e continue rivalutazioni delle strutture normative e di controllo per verificare se debbano essere aggiornate". Il regolamento DORA è stato concepito per armonizzare le linee guida sulla cybersicurezza nel settore finanziario e tenere conto del mutevole scenario delle minacce.

Il DORA e la resilienza informatica nei servizi finanziari

Come il GDPR, che regola la privacy dei dati, il DORA consolida e aggiorna la gestione dei rischi nel settore ICT e la gestione dei rischi informatici nei servizi finanziari.

Il DORA mira a mitigare i rischi derivanti dalla trasformazione digitale del settore e a promuovere la resilienza informatica nell'ecosistema dei servizi finanziari, aiutando le banche, il settore finanziario e i sistemi finanziari a prevenire, rispondere e riprendersi da problemi di cybersicurezza. Per ottenere questi risultati, il DORA stabilisce requisiti uniformi relativamente alla sicurezza di reti e sistemi informativi a supporto dei processi aziendali delle entità finanziarie. Tra i requisiti, figurano la gestione dei rischi nel settore ICT, la segnalazione dei principali incidenti correlati all'ICT, l'esecuzione di test sulla resilienza operativa digitale, la condivisione delle informazioni e le misure e i requisiti correlati all'utilizzo di servizi di terze parti del settore ICT.

Il DORA è una misura legislativa che si applica alle organizzazioni finanziarie che operano nell'UE nelle 21 categorie che rientrano nell'ambito. Tra le organizzazioni che operano nei settori finanziari interessati dal DORA, figurano:

Istituti di credito
Istituti di pagamento
Istituti di moneta elettronica
Società di gestione degli investimenti
Provider di servizi di criptovalute
Fondi di investimento alternativi
Responsabili assicurativi aziendali
Provider di servizi di terze parti ICT

Come le soluzioni Akamai possono aiutare la vostra organizzazione

L'elemento Zero Trust della piattaforma di Akamai fornisce una visibilità approfondita su risorse, controlli degli accessi e flussi di rete, con un'applicazione granulare delle policy di sicurezza. La visibilità di Akamai su risorse, accessi e flussi di rete è l'elemento fondamentale della vostra strategia di sicurezza Zero Trust che si estende alla gestione del rischio ICT di terze parti. Inoltre, il nostro team di ricerca delle minacce può aiutarvi a rilevare le minacce più evasive e limitare i movimenti laterali in caso di violazione.

La piattaforma globale di Akamai può aiutare un'organizzazione a rilevare e prevenire le minacce esistenti ed emergenti e ad adattarsi al mutevole panorama della sicurezza.

In che modo il DORA influisce sulla vostra organizzazione?

I requisiti del DORA si focalizzano sulla resilienza informativa dei sistemi ICT. Tra i benchmark del DORA, sono inclusi:

Eventuali soggetti indipendenti devono condurre una serie di test per il controllo della vulnerabilità e della resilienza ogni anno. Uno dei requisiti è rappresentato dai test di penetrazione per la ricerca di eventuali minacce, che vanno condotti regolarmente.
Il DORA richiede misure di protezione complete e basate sui rischi. Tra le misure di sicurezza del DORA, figurano: adottare un approccio basato sui rischi alla gestione della rete e dell'infrastruttura, implementare policy appropriate e complete per le vulnerabilità come patch e aggiornamenti, utilizzare rigorosi meccanismi di autenticazione e limitare gli accessi fisici e virtuali ai dati e alle risorse ICT.
Sono richieste procedure in grado di rilevare, gestire e notificare gli incidenti correlati all'ICT e vengono attivati indicatori di avviso tempestivi come gli allarmi.
La segnalazione dei problemi di cybersicurezza viene facilitato dall'implementazione di processi tali da monitorare, descrivere e segnalare gli incidenti ICT significativi alle autorità del DORA.
I requisiti del DORA relativi alla rendicontabilità della sicurezza e della gestione coprono gli aspetti essenziali della risposta per la condivisione delle informazioni e della gestione della cybersicurezza.

Il DORA e i servizi finanziari

Il Fondo monetario internazionale (FMI) ha richiesto l'utilizzo nel settore finanziario di urgenti misure di sicurezza dopo aver condotto un sondaggio in cui è emerso come il settore sia a rischio a causa di sistemi di difesa troppo deboli. La Bank of England conviene su questo punto rilevando che, in un sondaggio sui rischi sistemici H2 condotto dalla banca , il 74% degli intervistati ha risposto di considerare gli attacchi informatici come il rischio più grave che si trova ad affrontare il settore finanziario.

Regolamenti e linee guida come il DORA sono fondamentali per aiutare gli istituti finanziari e i loro fornitori associati, come i provider di soluzioni ICT, a comprendere come gestire i rischi. Una ricerca inserita nel rapporto delle indagini sulle violazioni dei dati 2022 (DBIR) di Verizon ha osservato le minacce informatiche più significative nel settore finanziario, come le violazioni di dati, gli attacchi DDoS e i ransomware. Il rapporto evidenzia come le credenziali rubate siano fondamentali per la riuscita della maggior parte degli attacchi informatici sferrati contro il settore. La CFTC (Commodity Futures Trading Commission) negli Stati Uniti ha recentemente segnalato che, secondo un sondaggio condotto nel 2022 su 130 istituti finanziari in tutto il mondo, il 74% di essi ha subito almeno un attacco di ransomware nell'anno precedente.

Il DORA e i provider di soluzioni ICT

Un aspetto fondamentale del DORA è rappresentato dalla gestione dei rischi di terze parti. Secondo l'indagine descritta nel rapporto DBIR di Verizon del 2022 , il settore finanziario è stato il secondo obiettivo maggiormente preso di mira negli attacchi alla supply chain. La conformità al DORA rappresenta una svolta nell'intento di prevenire gli attacchi informatici sferrati contro fornitori e istituti finanziari. L' Agenzia dell'Unione europea per la cybersicurezza (ENISA) ha segnalato un maggior livello di complessità e volume negli attacchi alla supply chain, in cui i criminali cercano di sottrarre dati e risorse finanziarie. Il DORA coordina i requisiti previsti tramite i regolamenti esistenti come le linee guida EBA (European Banking Authority) in materia di outsourcing.

Un fornitore ICT designato come "critico" da un'autorità europea di vigilanza sarà soggetto ad una struttura di controllo con regole rigorose sotto la diretta supervisione di un'autorità capofila dedicata.

Le soluzioni Zero Trust forniscono una visibilità sulla vasta rete di fornitori, inclusi i provider di soluzioni ICT. L'applicazione di misure di sicurezza, come il privilegio minimo e il controllo proattivo di dati e aree sensibili, aiuta a prevenire le violazioni di dati e l'infezione da parte del ransomware.

Soluzioni Akamai

Akamai offre una famiglia completa di soluzioni per la conformità a determinati requisiti che possono aiutare a raggiungere la resilienza operativa nel settore finanziario. Le innovative soluzioni per la sicurezza di Akamai sono riconosciute come le migliori del settore dai nostri clienti che utilizzano Akamai per proteggere le loro risorse più importanti. La nostra gamma di soluzioni per la sicurezza si è evoluta passando da una serie di singoli prodotti ad una piattaforma Zero Trust completa e potente. Le eccellenti soluzioni di Akamai forniscono i controlli necessari per soddisfare i rigorosi requisiti, incluse la gestione dei rischi da parte dei provider di soluzioni ICT e la protezione delle risorse più importanti. Il modello di sicurezza Zero Trust di Akamai offre una copertura completa in grado di coprire tutti i tipi di ambienti IT, indipendentemente dal tipo di risorsa, traffico (nord-sud, est-ovest) o dispositivo legacy. Akamai offre una visibilità approfondita dell'ambiente IT, delle risorse critiche, dei requisiti di accesso e dei flussi di rete nell'intera infrastruttura.

Il DORA e le autorità europee di vigilanza (ESA)

Il DORA nasce dal precedente lavoro effettuato dall'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA), dall'Autorità bancaria europea (EBA) e dall'Autorità europea degli strumenti finanziari e dei mercati (ESMA), che insieme costituiscono le autorità europee di vigilanza o ESA. Il DORA è importante per la trasformazione digitale a cui si assiste nella catena di valore del settore finanziario e di quello delle assicurazioni. i requisiti normativi del DORA sono necessari per gestire questi nuovi rischi emergenti e per mettere in atto le misure e protezioni più appropriate per prevenire gli attacchi informatici.

La segnalazione degli incidenti prevista dal DORA

La segnalazione degli incidenti relativi alla cybersicurezza da parte delle entità interessate è un aspetto importante del DORA. Le entità interessate devono implementare processi tali da monitorare, descrivere e segnalare gli incidenti ICT significativi alle autorità del DORA.

Inoltre, le regole per la segnalazione degli incidenti da parte dei provider di servizi ICT sono rigorose e prevedono che venga inviata una notifica iniziale alle autorità preposte, seguita da un rapporto intermedio sull'andamento della risoluzione dell'incidente e un rapporto finale stilato dopo aver eseguito l'analisi delle cause principali. Le autorità europee di vigilanza (ESA) stanno attualmente stilando delle linee guida relative alla classificazione degli incidenti, agli incidenti che richiedono una segnalazione obbligatoria e alle scadenze per la segnalazione degli incidenti.

Analisi del divario di mercato del DORA (Digital Operational Resilience Act)

Il DORA sarà effettivo a partire dal 17 gennaio 2025, pertanto, in questo periodo, gli enti finanziari e i principali fornitori di servizi ICT di terze parti sono tenuti a conformarsi ai requisiti previsti dal regolamento. Per preparare la vostra organizzazione a conformarsi al regolamento DORA, le entità interessate dovranno condurre un'analisi del divario di mercato per verificare se le misure attualmente implementate soddisfano alcuni o tutti i requisiti applicabili.

Domande frequenti (FAQ)

Il DORA (Digital Operational Resilience Act) è un nuovo regolamento emanato dall' Unione europea che si riferisce esplicitamente ai servizi finanziari nell'UE, con una particolare attenzione al mantenimento della resilienza nella cybersicurezza.

No, il DORA (Digital Operational Resilience Act) non è un'agenzia governativa, ma un regolamento recentemente emanato dall'UE che cerca di stabilire gli standard per le misure correlate alla resilienza operativa a cui devono conformarsi banche, agenzie di cambio e altre infrastrutture del settore finanziario.

Perché i clienti scelgono Akamai

A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.

Prodotti correlati

Akamai Guardicore Segmentation

Visualizzazione, protezione e segmentazione di ambienti on-premise, cloud e ibridi.

Ulteriori informazioni

La sicurezza Zero Trust

Copertura completa della sicurezza informatica unita a visibilità completa e controllo granulare

Ulteriori informazioni

Risorse aggiuntive

Semplificazione della conformità con il modello Zero Trust

Scoprite come un'architettura di sicurezza Zero Trust semplifica la conformità a un'ampia gamma di requisiti di conformità.

Guarda il video

Descrizione del Digital Operational Resilience Act

Digital Operational Resilience Act - Preparare le istituzioni finanziarie alla conformità al DORA con Akamai

Scoprite come Akamai può aiutare le istituzioni finanziarie a gestire in modo efficace i problemi di conformità.

Ulteriori informazioni

Accelerazione della conformità PCI e convalida continua con Akamai Guardicore Segmentation

Akamai Guardicore Segmentation soddisfa diversi requisiti PCI DSS con un unico strumento, fornendo visibilità ai revisori e aiutando i team di risposta agli incidenti a rilevare eventuali violazioni.

Ulteriori informazioni

Semplificazione della conformità NERC CIP con Akamai Guardicore Segmentation

Un piano per la creazione di un'architettura Zero Trust

La soluzione Akamai Guardicore Segmentation può aiutare le organizzazioni già conformi allo standard NERC CIP, semplificando e migliorando il loro approccio alla conformità.

Ulteriori informazioni