Regolamento DORA: 5 passi per conformarsi alla legislazione UE
Nell’Unione Europea, la sicurezza informatica e la protezione dei dati sono sempre sotto i riflettori. Dal regolamento generale sulla protezione dei dati (GDPR) alla direttiva NIS e al suo aggiornamento NIS2, l’UE è all’avanguardia. Il quadro normativo più recente è il Digital Operational Resilience Act, noto come DORA.
Che cos’è il regolamento DORA?
Il regolamento DORA (Digital Operational Resilience Act) mira a garantire che le istituzioni finanziarie siano resilienti agli attacchi informatici e ad altre minacce. Sebbene sia stato adottato nel novembre 2022, entrerà in vigore il 17 gennaio 2025. Entro tale data, tutte le imprese del settore finanziario dell’UE e i loro fornitori di ICT dovranno adeguarsi. E sì, questo include anche terze parti al di fuori dell’UE che forniscono servizi ICT alle aziende europee.
La vostra azienda è pronta per l’entrata in vigore del DORA nel gennaio 2025?
Ecco i 5 passi fondamentali per garantire la conformità a questa legislazione.
Step 1: Controllare lo stato dei “servizi critici” della vostra azienda
Il primo passo per conformarsi al DORA è determinare se la vostra azienda fornisce “servizi critici o importanti”. Secondo il DORA, queste aziende sono soggette a requisiti più severi. Per verificare se la vostra azienda rientra in questa categoria, vi invitiamo a consultare attentamente il testo della legislazione DORA e chiedere una consulenza legale.
Se si stabilisce che la propria azienda soddisfa i criteri per i servizi critici, sarà necessario seguire standard più elevati per la continuità operativa, la pianificazione delle minacce informatiche e altre misure di resilienza operativa.
Step 2: Implementare i controlli di gestione del rischio informatico e della conformità
DORA pone una forte enfasi sulla gestione del rischio ICT e di terzi. Per essere conforme, l’azienda deve disporre di una serie ben documentata di controlli sul rischio informatico e di un quadro interno di gestione della conformità.
Una buona pratica è quella di creare o adattare le vostre politiche in base a standard di sicurezza informatica comprovati, come l’ISO 27001. Una volta implementati, fate analizzare la vostra azienda in base a questi standard, poiché è probabile che gli audit DORA seguano un approccio simile.
Step 3: Pratica di gestione del rischio di terzi
Il cuore del DORA è la protezione degli istituti finanziari dal rischio ICT di terzi. Se la vostra azienda non dispone di una politica di gestione del rischio di terzi per la valutazione dei fornitori di servizi e dei venditori esterni, è il momento di svilupparne una.
Consultate i requisiti e le linee guida elencati nel DORA per aiutarvi a sviluppare le vostre procedure di gestione del rischio di terzi. Se la vostra azienda utilizza già un software di gestione del rischio, sarete in una buona posizione per conformarvi al DORA. Assicuratevi solo che i rapporti sui sistemi siano validi e aggiornati, in quanto costituiranno una solida prova in un audit DORA.
Step 4: Rafforzare la gestione degli incidenti
Il DORA aggiunge diversi obblighi di segnalazione degli incidenti per le società finanziarie e i fornitori di servizi ICT. Il DORA richiede l’invio di rapporti sugli attacchi informatici con informazioni dettagliate sulle cause principali, la risposta dell’azienda, i tempi di inattività e altro ancora. Se la vostra azienda è soggetta ai requisiti DORA, è probabile che dobbiate presentare i rapporti sugli incidenti con maggiore frequenza rispetto al passato.
Le aziende che dispongono di strumenti automatizzati per la gestione degli incidenti saranno avvantaggiate in questo aspetto della normativa, in quanto avranno meno probabilità di essere appesantite dalla documentazione cartacea. Se riuscite a implementare questo sistema prima del gennaio 2025, potrete anche risparmiare tempo al vostro team per la segnalazione degli incidenti.
Step 5: Scegliere piattaforme che aiutino la continuità aziendale
Uno degli obiettivi principali del DORA è migliorare la continuità operativa di fronte agli attacchi informatici. Le moderne piattaforme cloud as-a-service offrono garanzie di tempo di attività e piani di continuità aziendale dettagliati. Optate per queste piattaforme per riprendervi rapidamente dopo un attacco e soddisfare il DORA.
Conclusioni
La scadenza per la conformità al regolamento DORA si avvicina rapidamente. Avete tempo fino a gennaio 2025 per analizzare la situazione attuale della vostra azienda e adottare le misure necessarie per soddisfare i requisiti di sicurezza informatica e protezione dei dati dell’UE. Seguendo questi passaggi, è possibile conformarsi alla normativa ed evitare sanzioni.
Per raggiungere questo obiettivo, avrete bisogno di un supporto esperto e di strumenti che facilitino la gestione proattiva del rischio. HYCU R-Cloud è la prima e unica piattaforma SaaS di protezione dei dati che riduce a pochi minuti i tempi di inattività dovuti a incidenti di sicurezza informatica. Scopri di più su HYCU e inizia la prova gratuita cliccando qui.
Inizia oggi stesso la prova gratuita e preparati al DORA EU. Con il giusto supporto e gli strumenti adeguati, sarete pronti ad affrontare qualsiasi sfida.