Digital Operational Resilience Act (DORA)
GESTIONE DEL RISCHIO ICT PER IL SETTORE FINANZIARIO DELL'UE
Il Digital Operational Resilience Act (DORA) è un regolamento dell'Unione Europea (UE) che stabilisce un framework vincolante e completo riguardante la gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell'UE.
COMPRENDERE DORA: COSA DEVONO SAPERE LE AZIENDE
Il regolamento DORA ha due obiettivi principali: affrontare la gestione del rischio ICT nel settore dei servizi finanziari e armonizzare le normative sulla gestione del rischio ICT già esistenti nei singoli Stati membri dell'UE.
Prima del regolamento DORA, le norme sulla gestione del rischio per le istituzioni finanziarie dell'UE, si concentravano principalmente sulla necessità di assicurare che le imprese avessero capitale sufficiente per coprire i rischi operativi. In assenza di norme di gestione del rischio ICT a livello UE, gli Stati membri dell’UE avevano emanato i propri requisiti. Questo mosaico di normative si è rivelato complesso da gestire per le entità finanziarie.
Il rispetto dei requisiti previsti da DORA assicurerà che le aziende abbiano strumenti adeguati per resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce.
Gli obblighi previsti da DORA possono essere suddivisi approssimativamente in cinque gruppi:
- Gestione dei rischi;
- Test e audit;
- Gestione della sicurezza dei fornitori di servizi IT;
- Gestione degli incidenti;
- Scambio di informazioni
L'IMPORTANZA DELLA CONFORMITÀ A DORA PER LE ORGANIZZAZIONI
DORA consente alle aziende di stipulare contratti solo con fornitori che soddisfano i requisiti di sicurezza delle informazioni stabiliti nel framework. Questo include servizi cloud, servizi di rete, servizi hardware e consulenza ICT. DORA è una regolamentazione complessa che contribuisce a incrementare gli obblighi per molte organizzazioni. Un approccio affrettato o disinformato può determinare vulnerabilità e rischio di incorrere in sanzioni legali e finanziarie. Le multe amministrative possono arrivare fino a 10 milioni di euro o al 5% del loro fatturato annuo totale, a seconda di quale sia il valore più alto, in caso di gravi violazioni del regolamento.
SERVIZI DI CONFORMITÀ A DORA DI BUREAU VERITAS
-
Formazione
DORA richiede che il management aziendale segua una formazione per dimostrare una governance efficace in merito alle questioni di sicurezza informatica. Abbiamo sviluppato una formazione in collaborazione con De Clercq Lawyers, fornendo approfondimenti sulle misure di gestione dei rischi che le organizzazioni devono adottare come minimo secondo DORA. Questo corso di un giorno può essere erogato in una sede a vostra scelta.
-
Gap assessment
Il nostro team specializzato può eseguire una gap assessment, fornendo una panoramica dettagliata del livello di maturità e dei passi da intraprendere per diventare conformi a DORA.
-
Servizi di implementazione di DORA
Offriamo anche una gamma di servizi per aiutare a implementare DORA nella vostra organizzazione. Le attività a supporto dell’implementazione di DORA possono includere la gestione della sicurezza, il supporto alla consapevolezza e al comportamento, risposta agli incidenti e servizi di valutazione della supply chain.
PASSI PER RAGGIUNGERE LA CONFORMITÀ A DORA
Se sapete già che la vostra organizzazione è soggetta a DORA, è importante iniziare a prepararsi presto per la conformità. Parlate con i nostri esperti di sicurezza informatica per saperne di più sulla valutazione e pianificazione iniziale di DORA, nonché su come implementare le strategie e le soluzioni necessarie per gestire i rischi e raggiungere la conformità.
QUALI SONO I VANTAGGI DELLA CONFORMITÀ A DORA?
La conformità a DORA, per alcune organizzazioni è obbligatoria ma per tutte porta a notevoli vantaggi, tra cui:
- Maggiore resilienza informatica e migliore pianificazione per le minacce TIC;
- Maggiore comprensione dei rischi in ambito ICT;
- Maggiore controllo della supply chain;
- Miglioramento della segnalazione degli incidenti e dello scambio di informazioni.
PERCHÉ SCEGLIERE BUREAU VERITAS PER LE VOSTRE ESIGENZE DI CONFORMITÀ A DORA?
- Team esperto con decenni di esperienza in governance, rischio e conformità;
- Una gamma di servizi sviluppati specificamente per aiutare a diventare conformi a DORA;
- Esperti in sicurezza informatica nel campo delle persone, dei processi e della tecnologia;
- Un unico punto di contatto e un approccio di partnership comprovato;
- Una roadmap chiara per diventare e rimanere conformi a DORA;
- Supportato dalla competenza globale di Bureau Veritas, leader mondiale nei servizi di test, ispezione e certificazione.
FAQ - Domande frequenti sul Digital Operational Resilience Act (DORA)
-
QUAL è LA RELAZIONE TRA DORA AI FRAMEWORK ESISTENTI COME LA ISO 27001?
I framework di rischio esistenti, come NIST e ISO 27001, forniscono linee guida su come conformarsi a varie leggi attraverso processi come la formazione del personale, l'esecuzione di audit e test, l'uso della gestione degli incidenti e la gestione del rischio della catena di fornitura. Questi tipi di framework di rischio sono una buona aggiunta a DORA, ma la conformità a questi standard non significa automaticamente che si è conformi a DORA, che è una regolamentazione a sé stante.
-
CHE IMPATTO HA DORA SUI REQUISITI DI RISPOSTA AGLI INCIDENTI?
La gestione degli incidenti è un aspetto critico per garantire la sicurezza e la continuità dei servizi. Sotto DORA, le aziende devono avere piani per comunicare con il personale, le parti interessate esterne, i media e i clienti in caso di incidente. Devono anche essere stabilite procedure interne di escalation. Inoltre, per gli incidenti maggiori, oltre a dover essere segnalati alla direzione, bisogna avere un sistema di valutazione e identificazione dell'impatto, della risposta e dei controlli aggiuntivi che devono essere stabiliti come risposta all'incidente.