Regolamento DORA: 5 passi per conformarsi alla legislazione UE

27/09/2024 - Blog

Nell’Unione Europea, la sicurezza informatica e la protezione dei dati sono sempre sotto i riflettori. Dal regolamento generale sulla protezione dei dati (GDPR) alla direttiva NIS e al suo aggiornamento NIS2, l’UE è all’avanguardia. Il quadro normativo più recente è il Digital Operational Resilience Act, noto come DORA.

Che cos’è il regolamento DORA?

Il regolamento DORA (Digital Operational Resilience Act) mira a garantire che le istituzioni finanziarie siano resilienti agli attacchi informatici e ad altre minacce. Sebbene sia stato adottato nel novembre 2022, entrerà in vigore il 17 gennaio 2025. Entro tale data, tutte le imprese del settore finanziario dell’UE e i loro fornitori di ICT dovranno adeguarsi. E sì, questo include anche terze parti al di fuori dell’UE che forniscono servizi ICT alle aziende europee.

La vostra azienda è pronta per l’entrata in vigore del DORA nel gennaio 2025?

Ecco i 5 passi fondamentali per garantire la conformità a questa legislazione.

Step 1: Controllare lo stato dei “servizi critici” della vostra azienda

Il primo passo per conformarsi al DORA è determinare se la vostra azienda fornisce “servizi critici o importanti”. Secondo il DORA, queste aziende sono soggette a requisiti più severi. Per verificare se la vostra azienda rientra in questa categoria, vi invitiamo a consultare attentamente il testo della legislazione DORA e chiedere una consulenza legale.

Se si stabilisce che la propria azienda soddisfa i criteri per i servizi critici, sarà necessario seguire standard più elevati per la continuità operativa, la pianificazione delle minacce informatiche e altre misure di resilienza operativa.

Step 2: Implementare i controlli di gestione del rischio informatico e della conformità

DORA pone una forte enfasi sulla gestione del rischio ICT e di terzi. Per essere conforme, l’azienda deve disporre di una serie ben documentata di controlli sul rischio informatico e di un quadro interno di gestione della conformità.

Una buona pratica è quella di creare o adattare le vostre politiche in base a standard di sicurezza informatica comprovati, come l’ISO 27001. Una volta implementati, fate analizzare la vostra azienda in base a questi standard, poiché è probabile che gli audit DORA seguano un approccio simile.

Step 3: Pratica di gestione del rischio di terzi

Il cuore del DORA è la protezione degli istituti finanziari dal rischio ICT di terzi. Se la vostra azienda non dispone di una politica di gestione del rischio di terzi per la valutazione dei fornitori di servizi e dei venditori esterni, è il momento di svilupparne una.

Consultate i requisiti e le linee guida elencati nel DORA per aiutarvi a sviluppare le vostre procedure di gestione del rischio di terzi. Se la vostra azienda utilizza già un software di gestione del rischio, sarete in una buona posizione per conformarvi al DORA. Assicuratevi solo che i rapporti sui sistemi siano validi e aggiornati, in quanto costituiranno una solida prova in un audit DORA.

Step 4: Rafforzare la gestione degli incidenti

Il DORA aggiunge diversi obblighi di segnalazione degli incidenti per le società finanziarie e i fornitori di servizi ICT. Il DORA richiede l’invio di rapporti sugli attacchi informatici con informazioni dettagliate sulle cause principali, la risposta dell’azienda, i tempi di inattività e altro ancora. Se la vostra azienda è soggetta ai requisiti DORA, è probabile che dobbiate presentare i rapporti sugli incidenti con maggiore frequenza rispetto al passato.

Le aziende che dispongono di strumenti automatizzati per la gestione degli incidenti saranno avvantaggiate in questo aspetto della normativa, in quanto avranno meno probabilità di essere appesantite dalla documentazione cartacea. Se riuscite a implementare questo sistema prima del gennaio 2025, potrete anche risparmiare tempo al vostro team per la segnalazione degli incidenti.

Step 5: Scegliere piattaforme che aiutino la continuità aziendale

Uno degli obiettivi principali del DORA è migliorare la continuità operativa di fronte agli attacchi informatici. Le moderne piattaforme cloud as-a-service offrono garanzie di tempo di attività e piani di continuità aziendale dettagliati. Optate per queste piattaforme per riprendervi rapidamente dopo un attacco e soddisfare il DORA.

Conclusioni

La scadenza per la conformità al regolamento DORA si avvicina rapidamente. Avete tempo fino a gennaio 2025 per analizzare la situazione attuale della vostra azienda e adottare le misure necessarie per soddisfare i requisiti di sicurezza informatica e protezione dei dati dell’UE. Seguendo questi passaggi, è possibile conformarsi alla normativa ed evitare sanzioni.

Per raggiungere questo obiettivo, avrete bisogno di un supporto esperto e di strumenti che facilitino la gestione proattiva del rischio. HYCU R-Cloud è la prima e unica piattaforma SaaS di protezione dei dati che riduce a pochi minuti i tempi di inattività dovuti a incidenti di sicurezza informatica. Scopri di più su HYCU e inizia la prova gratuita cliccando qui.

Inizia oggi stesso la prova gratuita e preparati al DORA EU. Con il giusto supporto e gli strumenti adeguati, sarete pronti ad affrontare qualsiasi sfida.

Tags:

GDPR, Regolamento DORA

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	Session	This cookie is native to PHP applications. The cookie is used to store and identify a user’s unique session ID in order to manage the user’s session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
___gat_gtag	1 minute	This cookie is set by Google and is used to distinguish users.
__ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
__gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.