L’11 maggio 2022 l’Unione Europea (UE) ha raggiunto un accordo provvisorio sul nuovo Digital Operational Resilience Act (DORA). Nonostante la frase, non c'è nulla di “provvisorio” in DORA. In effetti, una delle normative di sicurezza informatica di più ampia portata al mondo per i servizi finanziari e le relative catene di fornitura è per lo più cosa fatta.
Tutto ciò che resta prima dell'adozione formale, prevista per ottobre, riguarda principalmente una manciata di modifiche tecniche e la traduzione nelle 24 lingue ufficiali degli Stati membri dell'UE.
DORA rappresenta la risposta dell'UE al numero sempre crescente di attacchi informatici contro le istituzioni finanziarie. È progettato per rafforzare la sicurezza delle società finanziarie dell’UE, come banche, compagnie assicurative, società di investimento e altro ancora, imponendo requisiti di resilienza e regolamentando la catena di approvvigionamento. Ma, come ho notato in an post precedente, i principi di DORA si estendono ben oltre l’UE e il suo settore finanziario.
I requisiti uniformi di DORA per la sicurezza delle reti e dei sistemi informativi comprendono non solo le imprese del settore finanziario ma anche fornitori terzi critici che forniscono servizi legati alle tecnologie dell'informazione e della comunicazione al settore finanziario, come piattaforme cloud e analisi dei dati.
In effetti, la portata di DORA si estende praticamente a qualsiasi impresa che offra servizi di tecnologia dell'informazione e della comunicazione (ICT) considerati critici per la catena di fornitura che sostiene il settore finanziario europeo, indipendentemente dal fatto che tale impresa o servizio abbia o meno sede all'interno dell'UE. Secondo DORA, infatti, la complessità della catena di fornitura o la mancata presenza dell’UE sono entrambi considerati fattori di rischio.
Imporre nuove prospettive normative
DORA è unica in quanto apporta un nuovo e diverso livello di controllo normativo a un’ampia varietà di imprese globali. I requisiti di DORA Mandato – e non semplicemente suggerire – il rispetto delle sue disposizioni. Altrettanto importante, l’impatto di questo nuovo livello di controllo normativo varia a seconda del punto di vista dell’impresa.
Le istituzioni finanziarie abituate a un contesto normativo progettato principalmente per valutare il rischio finanziario e la stabilità dovranno ora prendere altrettanto seriamente il rischio potenziale rappresentato dalle loro operazioni ICT. Le istituzioni finanziarie sono abituate ad affrontare il rischio sotto forma di requisiti patrimoniali. DORA adotta un approccio diverso imponendo comportamenti specifici e requisiti basati sulle prestazioni. Dal punto di vista delle istituzioni finanziarie, tale aumento del rischio ha conseguenze su molteplici aspetti della loro attività, ad esempio il modo in cui utilizzano la tecnologia e il modo in cui trasformano la propria attività passando a nuove tecnologie come il cloud computing. Ciò include strategie e capacità complessive di gestione del rischio, sicurezza della catena di fornitura, personale organizzativo e politiche per garantire un’adeguata valutazione e conformità del rischio ICT.
DORA cambia anche la prospettiva normativa delle organizzazioni ICT. Fino ad ora, sono stati regolamentati principalmente su questioni relative ai dati, come la privacy dei dati e la notifica di violazione dei dati, sulla base di preoccupazioni sui dati personali e obiettivi politici come la sovranità digitale. Vengono in mente norme rivoluzionarie, come il Regolamento generale sulla protezione dei dati (GDPR) in Europa e il più recente California Consumer Privacy Act (CCPA) negli Stati Uniti.
Le organizzazioni ICT potrebbero anche avere altri obblighi normativi in materia di sicurezza, o essere state classificate come infrastrutture critiche, a seconda di dove sono ubicate, come ai sensi del Direttiva sulla sicurezza delle reti e dell'informazione (NIS) in Europa, il Legge sulla sicurezza informatica 2018 a Singapore, o legislazione settoriale per industrie specializzate, come le telecomunicazioni negli Stati Uniti.
Ora, se le società ICT prestano servizio alle istituzioni finanziarie nell’UE, molto probabilmente saranno soggette anche a DORA. Pertanto, in aggiunta ai loro precedenti quadri normativi, i fornitori di ICT designati come fornitori di servizi critici saranno improvvisamente regolamentati da DORA in un modo che sembra quasi che stiano diventando estensioni delle istituzioni finanziarie dell'UE che servono. Indipendentemente da come lo si guardi, si tratta di un cambiamento drammatico, sia per le istituzioni finanziarie che per i fornitori di ICT.
Ma non è tutto. DORA cambia la prospettiva dell'assetto normativo dell'UE. Le autorità di regolamentazione esperte in materia di conformità degli istituti finanziari devono ora estendere il proprio campo di applicazione per includere fornitori ICT che offrono servizi critici, come fornitori di servizi cloud, servizi di analisi dei dati e altre attività non finanziarie. Nei paesi con strutture normative complesse, ci sarà anche la necessità di cooperare con altri organismi incaricati di regolamentare questi ulteriori tipi di industrie non finanziarie.
Soddisfare le sfide
DORA richiede alle istituzioni finanziarie dell’UE di valutare la propria maturità in termini di sicurezza informatica e gestione del rischio. Comprendere e gestire le prestazioni in termini di rischio della catena di fornitura sarà fondamentale per questo impegno.
In generale, le istituzioni finanziarie sono abili negli stress test per determinare la sicurezza e la stabilità finanziaria. Estendere questo tipo di test ad altre organizzazioni è una sfida diversa. Pertanto, per il settore finanziario dell’UE, come gestire i fornitori, la gestione del rischio e le capacità operative in una catena di fornitura sempre più complessa ed estesa rappresenta il problema più grande.
Ad esempio, un istituto finanziario potrebbe avere sede in Europa ma avere tutte le sue attività di supporto esternalizzate ad aziende con sede in India. Questi servizi di supporto potrebbero non essere tecnicamente istituti finanziari. Ma DORA richiederà all’istituto finanziario di valutare se il fornitore è fondamentale per le sue operazioni e di applicare i requisiti DORA pertinenti a tale rapporto.
Per le imprese non basate nell’UE, la questione chiave è quella della giurisdizione e dell’accesso al mercato. Gli istituti finanziari o i fornitori ICT che operano al di fuori dell’UE non sono interessati. Ma se l’impresa è un istituto finanziario o un fornitore di servizi ICT al servizio del settore finanziario dell’UE, molto probabilmente sarà soggetta a DORA, direttamente o indirettamente.
Conto alla rovescia fino al 2024
Salvo cambiamenti nel testo finale, DORA entra in vigore 24 mesi dopo la sua adozione ufficiale. Realisticamente, è probabile che ciò avvenga verso la fine del 2024. La buona notizia è che questo fornisce tutto il tempo alle organizzazioni per prepararsi alla conformità. Ancora più importante, non è troppo lungo per essere incluso in un tipico ciclo di budget aziendale.
Ma prima che quella scadenza ti arrivi di sorpresa, inizia a prepararti adesso. Ecco cinque passaggi chiave:
- Usa saggiamente il tempo fino al 2024.
- Comprendi dove ti trovi. Cerca, trova e identifica le tue lacune di conformità.
- Determina ciò di cui hai bisogno per colmare le tue lacune.
- Educare e ottenere il consenso del senior management.
- Bilancio per i 24 mesi.
L'orologio sta ticchettando.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
