Il Digital Operational Resilience Act (DORA) è un regolamento dell’Unione Europea concepito per rafforzare la resilienza operativa digitale delle entità finanziarie. Entrato in vigore il 16 gennaio 2023, sarà applicabile dal 17 gennaio 2025.
Il DORA, acronimo di Digital Operational Resilience Act, è un regolamento dell’Unione Europea progettato per garantire che le entità finanziarie siano preparate a gestire i rischi legati alle tecnologie digitali. Il suo obiettivo principale è rafforzare la resilienza operativa digitale, assicurando che banche, assicurazioni, fornitori di servizi di pagamento e altre istituzioni finanziarie possano:
- Identificare e mitigare i rischi ICT (Information and Communication Technology).
- Rispondere efficacemente a eventuali interruzioni o attacchi cibernetici.
- Garantire la continuità dei servizi essenziali anche in caso di incidenti.
Il DORA introduce requisiti chiari per la gestione dei rischi digitali, stabilisce standard per i test di resilienza e definisce linee guida per la gestione dei fornitori terzi di servizi ICT.
Obiettivi principali del DORA
- Gestione dei Rischi ICT: Stabilire un quadro completo per affrontare i rischi legati alle tecnologie dell’informazione e della comunicazione (ICT), garantendo che le entità finanziarie possano identificare, valutare e mitigare efficacemente tali rischi.
- Test di resilienza operativa digitale: Introdurre programmi di test regolari per valutare la robustezza dei sistemi ICT, assicurando la capacità di resistere e recuperare da eventuali interruzioni o attacchi.
- Gestione dei rischi dei fornitori terzi ICT: Monitorare e gestire i rischi associati ai fornitori terzi di servizi ICT, garantendo che anch’essi rispettino standard adeguati di sicurezza e resilienza.
- Segnalazione degli incidenti ICT: Stabilire requisiti per la segnalazione tempestiva di incidenti ICT significativi alle autorità competenti, facilitando una risposta coordinata ed efficace.
- Condivisione delle informazioni: Promuovere lo scambio di informazioni e intelligence sulle minacce cibernetiche fra le entità finanziarie, migliorando la consapevolezza e la preparazione collettiva.
Impatto sulle entità finanziarie
Il DORA si applica a una vasta gamma di entità finanziarie, tra cui banche, compagnie assicurative, fondi pensione e fornitori di servizi di pagamento. Queste organizzazioni dovranno adeguare le loro infrastrutture ICT, implementare politiche di gestione del rischio più rigorose e garantire che i loro fornitori terzi siano conformi ai nuovi requisiti.
Sfide e preparazione
Nonostante l’imminente applicazione del DORA, molte entità finanziarie stanno ancora affrontando sfide significative nell’adeguarsi ai nuovi requisiti. La mancanza di linee guida chiare e standard tecnici specifici ha complicato il processo di adattamento. È essenziale che le organizzazioni intraprendano azioni proattive per valutare le loro capacità attuali, identificare le lacune e sviluppare piani di implementazione efficaci.
Il DORA rappresenta un passo significativo verso il rafforzamento della resilienza operativa digitale del settore finanziario europeo. Le entità finanziarie devono affrontare con serietà l’implementazione di questo regolamento, adottando misure adeguate per garantire la continuità e la sicurezza dei servizi in un panorama digitale in continua evoluzione.