Banche e Istituti di Credito
Società di investimento
Società di trading
Regolamento DORA
A fronte della crescente dipendenza del settore finanziario dalle tecnologie digitali nelle attività e nella prestazione dei servizi finanziari, il DORA (Digital Operational Resilience Act) è un regolamento europeo che ha l'obiettivo di rafforzare la resilienza operativa digitale nel settore finanziario dell’Unione Europea.
Le soluzioni Bludis per il DORA
Il focus primario del DORA Act sulla resilienza operativa digitale fa delle soluzioni UEMS di ManageEngine la suite ideale per raggiungere la conformità.
Con strumenti integrati per il monitoraggio IT, la gestione degli endpoint, il controllo degli accessi, la protezione dei dati e il log management, ManageEngine soddisfa i requisiti chiave del DORA, dalla gestione del rischio ICT alla risposta agli incidenti, passando per sicurezza delle infrastrutture IT, audit, e continuità operativa.
La sua suite è completa, scalabile e pensata per aziende moderne e soggette a regolamentazioni stringenti, rendendo in questo modo la resilienza digitale non più un obiettivo lontano, ma un traguardo concreto.
Inserire descrizione
Inserire descrizione
Inserire descrizione
Il DORA impone controlli rigorosi sulla resilienza digitale, inclusa la sicurezza delle comunicazioni per entità finanziarie regolamentate e fornitori di servizi ICT critici. Red Sift protegge banche e MSP da minacce come phishing, spoofing e attacchi via email, grazie a soluzioni come OnDMARC e Domain Protect.
Implementa facilmente politiche DMARC, previene la compromissione dei domini e garantisce visibilità e controllo continuo, come richiesto esplicitamente dal Regolamento. In più, fornisce report e audit trail utili per la compliance e la gestione del rischio ICT.
Inserire descrizione
Il DORA Act richiede che tutto il personale sia adeguatamente formato in materia di rischi di sicurezza. SMARTFENSE aiuta banche, assicurazioni, fintech e MSP a rispettare questi obblighi attraverso programmi di CyberSecurity Awareness automatizzati e continuamente aggiornati, simulazioni di phishing e moduli formativi personalizzabili.
Una piattaforma semplice e al contempo potente, che punta tutto sul coinvolgimento diretto dei dipendenti creando una vera e propria cultura della cybersecurity all’interno delle aziende e favorendo velocemente adozione di misure preventive, tracciabilità delle attività e conformità agli obblighi formativi previsti dal DORA.
Inserire descrizione
Inserire descrizione
Settori interessati dal Regolamento DORA
Il regolamento DORA si applica a una vasta gamma di entità che operano nel settore finanziario e tecnologico. Tra queste troviamo:
Istituti previdenziali
Assicurazioni
Fornitori servizi ICT critici
Come indicato dall’ultimo elemento il DORA si applica anche ai fornitori di servizi ICT delle entità finanziarie. I servizi ICT si riferiscono all’insieme di tecnologie, strumenti e infrastrutture utilizzati per gestire, trasmettere, archiviare e proteggere informazioni digitali. Questi servizi coprono una vasta gamma di attività legate alla gestione e utilizzo delle tecnologie informatiche e delle comunicazioni. La DORA prevede la gestione dei rischi derivanti dai fornitori esterni di ICT, imponendo alle entità finanziarie di garantire che i fornitori abbiano piani di resilienza operativa.
Principali scadenze
Le principali scadenze relative all’applicazione di DORA sono le seguenti:
16 gennaio 2023
ENTRATA IN VIGORE
Da questa data, le entità finanziarie hanno iniziato a prepararsi per conformarsi ai nuovi requisiti
17 gennaio 2025
CONFORMITà
Data entro la quale tutte le entità finanziarie e i fornitori di servizi ICT critici devono essere conformi ai requisiti del DORA
10 marzo 2025
RECEPIMENTO
Recepimento del regolamento DORA nell'ordinamento giuridico italiano attraverso il decreto legislativo n.23. Anche se il regolamento è direttamente applicabile, l'Italia dovrà comunque recepire alcune disposizioni tramite il decreto legislativo.
11 aprile 2025
SCADENZA SEGNALAZIONE
Scadenza per la segnalazione del Registro delle Informazioni tramite il portale Infostat, come indicato dall'IVASS. Questo è un obbligo operativo derivante dal Regolamento
15 aprile 2025
SCADENZA TRASMISSIONE
Scadenza per la trasmissione del Registro delle Informazioni alla Banca d'Italia tramite Infostat. Questa è una parte degli obblighi di conformità operativa delle entità finanziarie ai requisiti del Regolamento
maggio 2025
CONTROLLI DELLE AUTORITà
Le autorità di vigilanza europee (EBA, ESMA, EIOPA) eseguiranno ulteriori controlli di qualità sui registri delle informazioni trasmessi dalle entità finanziarie. In caso di errori bloccanti, le entità dovranno procedere con una nuova trasmissione correttiva
30 giugno 2025
SCADENZA TRASMISSIONE RAPPORTO ANNUALE
Scadenza per la trasmissione del rapporto annuale sulla gestione del rischio ICT alle autorità competenti. Questo rapporto deve includere una valutazione dettagliata delle misure adottate per garantire la resilienza operativa digitale
31 dicembre 2025
COMPLETAMENTO RAPPORTO ANNUALE
Le entità finanziarie devono completare la revisione annuale dei loro protocolli di gestione del rischio ICT e aggiornare i registri delle informazioni in conformità con le nuove linee guida stabilite dalle autorità di vigilanza
I principali adempimenti del Regolamento DORA
Dall’esame complessivo della normativa risultano numerosi obblighi che gli operatori finanziari sono tenuti a rispettare, tra cui, a titolo esemplificativo e non esaustivo:
Adozione un quadro di governance e organizzazione interna
Adozione un quadro di governance e organizzazione interna, che garantisca un controllo efficace e prudente di tutti i rischi ICT. A tal fine, è necessario attribuire specifici compiti all’”organo di gestione” dell’ente finanziario, il quale deve essere incaricato dell’approvazione e applicazione di tutte le disposizioni relative al suddetto quadro
Adozione di un piano per la gestione dei rischi informatici
Le entità finanziarie predispongono un quadro per la gestione dei rischi informatici solido, esaustivo e adeguatamente documentato, che consenta loro di affrontare i rischi informatici in maniera rapida, efficiente ed esaustiva. Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e risorse TIC tra i quali politiche adeguate di continuità operativa e piani di ripristino in caso di disastro
Classificazione gli incidenti connessi ai fornitori ICT e le minacce informatiche
Classificazione gli incidenti connessi ai fornitori ICT e le minacce informatiche secondo i criteri indicati dal legislatore. Le entità finanziarie devono classificare le minacce informatiche in base alla criticità dei servizi a rischio, ivi comprese le operazioni dell’ente, il numero e/o la rilevanza di clienti o controparti finanziarie interessati e l’estensione geografica delle aree a rischio
Creazione di un sistema di notifica degli incidenti informatici
Creazione di un sistema di notifica degli incidenti informatici, attuando un processo di monitoraggio, registrazione e gestione costante degli incidenti, al fine di notificarli alle autorità competenti. In ultimo, devono essere stabilite procedure di risposta agli incidenti per attenuarne l’impatto e garantirne tempestivamente l’operatività e la sicurezza dei servizi
Svolgimento di test di resilienza operativa digitale
Svolgimento di test di resilienza operativa digitale, Le entità devono effettuare test regolari per garantire la resilienza dei loro sistemi TIC secondo un approccio risk-based e proporzionale rispetto alle dimensioni, alla tipologia di attività e al profilo di rischio dell’operatore finanziario. Il programma di test di resilienza operativa digitale prevede valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e penetration test.
Gestione dei rischi ICT derivanti da terzi
Le entità finanziarie dovranno adottare un processo di due diligence e di gestione dei rischi nei quali rientrano l’identificazione, la classificazione e la documentazione di tutti i processi dipendenti da fornitori terzi di servizi TIC. DORA stabilisce che le istituzioni finanziarie devono avere contratti chiari e vincolanti con i fornitori di servizi TIC quando le entità finanziarie ricorrono a fornitori terzi di servizi TIC a supporto delle loro funzioni essenziali o importanti. Questi contratti dovranno essere rinegoziati e adeguati al fine di includere gli obblighi previsti dal regolamento, con un focus particolare sulla resilienza operativa e la gestione dei rischi ICT
Adozione di pratiche di cooperazione e monitoraggio
Miglioramento della collaborazione tra le entità finanziarie e le autorità competenti, nonché tra gli operatori del settore in caso di incidenti. il DORA prevede l’istituzione di un programma su base volontaria che consenta agli attori finanziari di prevedere accordi per la condivisione e lo scambio di informazioni di cyber threat intelligence.