DORA stabilisce chiari requisiti per i Regolatori e le Autorità di Vigilanza per la gestione ICT e Cybersecurity, inclusa la gestione degli incidenti; si inserisce in un più ampio quadro di produzione normativa europea, che comprende anche la pubblicazione della Direttiva 2022/2555 “Direttiva NIS 2” con l’obiettivo di rafforzare la capacità resiliente delle imprese europee all’interno del contesto cyber.
Si applicherà a circa 22.000 società rientranti nell’ambito della fornitura dei servizi finanziari, sia tradizionali (istituti di pagamento e imprese di assicurazione) sia non tradizionali come, ad esempio, i fornitori di servizi crypto e i fornitori di servizi ICT.
Il regolamento stabilisce requisiti tecnici per le entità finanziarie e i fornitori ICT nei domini relativi alla gestione del rischio ICT, alla ICT governance, alla gestione e risposta agli incidenti e alla loro segnalazione, alla resilienza e alla gestione del rischio di terze parti.
I requisiti saranno applicati in modo proporzionale, vale a dire che le entità minori non saranno tenute a rispettare gli stessi standard delle principali istituzioni finanziarie.
ICT Risk Management: ovvero l’insieme delle regole di gestione dei rischi relativi alle tecnologie dell'informazione e della comunicazione (ICT) attraverso la creazione di un ICT Risk Management Framework robusto ed efficace e la definizione di una strategia di resilienza digitale in materia di business continuity e disaster recovery.
ICT-related incident management: ovvero l’insieme dei requisiti per l’armonizzazione delle attività di classificazione e segnalazione degli incidenti ICT, con l’obiettivo principale di razionalizzare le segnalazioni di incidenti connessi alle tecnologie ICT attraverso l’adozione di modelli e procedure comuni.
Digital operational resilience testing: ovvero la standardizzazione delle regole per la conduzione dei test di resilienza operativa digitale, secondo un approccio risk-based; l’esecuzione dei test di resilienza dovranno essere condotti periodicamente.
ICT third-party risks management: ovvero l’insieme delle strategie per il monitoraggio e la gestione dei rischi derivanti da fornitori di servizi ICT/Cyber di terze parti incluse le clausole standard nei contratti con fornitori terzi di servizi ICT/Cyber.
Information sharing: ovvero l’insieme degli indicatori e dei segnali di allarme da predisporre con l’obiettivo di incoraggiare lo scambio di dati sulle minacce all’interno del settore finanziario, su base volontaria, per consentire alle entità finanziarie di stabilire accordi per la condivisione e lo scambio di informazioni di cyber threat.
Il nostro team è in grado di sviluppare un quadro efficace di gestione dei requisiti DORA e definire impostare un assessment efficace da cui costruire il framework di resilienza più adatto al contesto aziendale.
Possiamo garantire un approccio sistematico e interdisciplinare avendo a disposizione tutte le competenze specialistiche necessarie.
