Copertina di knowmad mood: 5 passi per adeguarsi al DORA e rafforzare la resilienza informatica aziendale.

5 passi per adeguarsi al DORA: Resilienza aziendale agli attacchi e alle minacce informatiche

27/03/2025 - Blog
  • Secondo Formalize, dall’agosto 2024 c’è stato un aumento del 57% delle aziende che hanno cercato di adeguarsi alla legge sulla resilienza digitale.
  • La verifica dello stato dei “servizi critici” dell’azienda o l’implementazione dei controlli sul rischio informatico e della gestione della conformità sono alcuni dei passi che le aziende devono compiere per conformarsi al DORA.

Il 17 gennaio è entrato in vigore il Digital Operational Resilience Act (DORA), che mira a garantire la resilienza delle istituzioni finanziarie alle minacce informatiche. Entro questa data, tutte le aziende del settore finanziario e i fornitori di ICT hanno dovuto conformarsi a questo regolamento e, secondo la piattaforma di compliance Formalizedall’agosto 2024 c’è stato un aumento del 57% delle aziende che hanno cercato di seguire le indicazioni.

Per questo motivo, knowmad mood, società di consulenza tecnologica leader nelle soluzioni di trasformazione digitale, riporta i 5 passi chiave per queste aziende per garantire la conformità alla normativa.

 

Controllare lo stato dei “servizi critici” della vostra azienda.

Un primo passo per conformarsi alla legge sulla resilienza digitale è determinare se l’organizzazione fornisce servizi “critici” o importanti – ovvero servizi finanziari essenziali, piattaforme ICT o servizi dipendenti da infrastrutture tecnologiche – esaminando attentamente il testo della legislazione e chiedendo una consulenza legale. Questi hanno requisiti più severi, quindi se l’organizzazione soddisfa questi criteri, sarà costretta a stabilire standard più elevati per la continuità operativa, la pianificazione delle minacce informatiche e altre misure di resilienza operativa.

 

Implementazione dei controlli sul rischio informatico e gestione della conformità

Il DORA, Digital Resilience Act, sottolinea l’importanza della gestione dei rischi ICT e di terze parti. Per conformarsi a questa normativa, è essenziale che l’azienda disponga di un quadro interno di conformità ben strutturato e di una serie documentata di controlli di sicurezza informatica a tutti i livelli dell’organizzazione. Una buona pratica è quella di creare o adattare politiche basate su standard riconosciuti di cybersecurity, come la ISO 27001. Dopo l’implementazione, sarà necessario verificare l’organizzazione rispetto a questi standard, poiché gli standard DORA si baseranno probabilmente su un approccio simile.

 

Implementazione della gestione del rischio di terzi

Il DORA mira a rendere le istituzioni finanziarie più resilienti al rischio ICT di terzi e pertanto introduce requisiti espliciti per monitorare e valutare regolarmente i principali fornitori terzi. Nel caso in cui l’azienda non abbia una politica di gestione di questi rischi, l’entrata in vigore di questa legge sarà un buon momento per implementarla – i requisiti e le linee guida incluse nella DORA possono aiutare le aziende a farlo. Se invece è già in uso un software orientato alla gestione del rischio, l’azienda dovrà solo assicurarsi che i report del sistema siano validi e aggiornati, in quanto forniranno solide prove in un audit DORA.

 

Rafforzare la gestione degli incidenti

Tra i requisiti del DORA ve ne sono alcuni relativi alla segnalazione di incidenti per le società finanziarie e i fornitori di servizi ICT. Si richiede la segnalazione degli attacchi informatici con informazioni dettagliate sulle cause e sulle motivazioni principali degli incidenti, sulla risposta e sui tempi di inattività, tra le altre cose. Pertanto, se i requisiti della DORA saranno soddisfatti, è probabile che la frequenza di questi rapporti aumenti. Le organizzazioni che dispongono di strumenti di automazione per questi servizi avranno maggiori vantaggi sotto questo aspetto, in quanto non solo risparmiano tempo, ma garantiscono anche l’accuratezza e la tracciabilità nell’adempimento di questi rapporti. Ciò significa che coloro che lo hanno implementato prima dell’entrata in vigore, avranno usufruito di un certo risparmio di tempo.

 

Scegliere piattaforme che supportino la continuità operativa

Un altro scopo della DORA è quello di rendere le imprese più resistenti agli attacchi informatici. Per riprendersi rapidamente dopo un incidente rimanendo conformi alle normative, le organizzazioni possono optare per le piattaforme cloud as-a-service, che offrono non solo piani dettagliati di continuità operativa, ma anche garanzie di uptime.

“La conformità al regolamento DORA, non solo consente di soddisfare i requisiti di cybersecurity e protezione dei dati dell’UE, ma anche di migliorare la resilienza della propria azienda. Ma per raggiungere questo obiettivo è fondamentale il supporto di esperti come knowmad mood, che fornisce strumenti che facilitano la gestione proattiva del rischio e riducono i tempi di inattività dovuti a incidenti di cybersecurity. Con il giusto supporto e i giusti strumenti, le aziende saranno sicuramente pronte ad affrontare qualsiasi sfida” afferma Roberto Liesa, Responsabile Cloud di knowmad mood.

Tags: