Il 17 gennaio del prossimo anno entrerà in vigore il Digital Operational Resilience Act (DORA) dell’UE, normativa che ha come obiettivo principale rafforzare la sicurezza informatica delle organizzazioni finanziarie. Il regolamento prevede severe sanzioni pecuniarie in caso di non conformità: come agire per evitarle? Quali sono le migliori strategie da adottare in preparazione a DORA? Ce ne parla Darren Thomson, Field CTO EMEAI di Commvault.
A livello pratico, DORA si occuperà di armonizzare le regole di resilienza operativa 20 diverse tipologie di entità finanziarie e fornitori di servizi ICT di terze parti. Tra questi, istituti di credito e di pagamento, società di investimento, fornitori di servizi di cripto-asset, aziende del settore assicurativo e pensionistico e persino servizi di crowdfunding.
La nuova normativa richiederà alle aziende di concentrarsi su una serie di settori chiave, dalla gestione del rischio informatico, ai test di resilienza operativa digitale e alla segnalazione degli incidenti, fino alla condivisione delle informazioni e all’implementazione di un framework di supervisione per i fornitori di terze parti.
DORA è una normativa applicata su tutta l’UE, quindi avrà valore non solo sulle aziende del territorio dell’Unione, ma, in modo simile al GDPR, andrà a tangere anche le entità finanziarie o fornitori di ICT che forniscono servizi ad aziende nell’Unione, ad esempio dal Regno Unito. Queste dovranno attenersi alle sue regole, e in caso contrario incorrere in sanzioni fino al 2% del fatturato totale annuo mondiale, in base alla gravità del caso.
Come assicurare la compliance in soli cinque punti
Cosa possono fare le aziende quindi, nel concreto, per assicurasi di essere conformi alla normativa? Ecco i cinque punti da tenere in considerazione.
Creare team trasversali per coordinare un approccio organizzativo
Unire le forze dei vari team presenti all’interno dell’azienda, responsabili e stakeholder, diventa molto più semplice garantire i livelli di collaborazione essenziali per il successo dello sviluppo della strategia di compliance. Questo approccio permette inoltre di assicurare che le aziende possano sviluppare una conoscenza completa delle varie applicazioni della normativa.
Impegnarsi in modo significativo per ottenere il consenso della leadership
La collaborazione tra dipartimenti permetterà inoltre di scoprire i sottili ma importanti dettagli inclusi in DORA, quelli non evidenti in prima vista. Se si gioca d’anticipo, il senior management potrà comprendere e sostenere la rilevanza e l’importanza di DORA ben prima di gennaio 2025, il che può fare un’enorme differenza nei livelli di autorità, risorse e urgenza che possono essere applicati. Questo è un enorme vantaggio sulle aziende che invece limitano la portata dei loro sforzi, in quanto avranno molte più probabilità di incorrere in una violazione della compliance e rischiare potenziali gravi sanzioni.
Valutare processi, capacità e potenziali vulnerabilità attuali
Individuare il prima possibile le eventuali lacune tra le attuali capacità di sicurezza e resilienza e i requisiti stabiliti da DORA può risparmiare all’azienda molta fatica quando la normativa entrerà in vigore. Le eventuali mancanze rilevate possono così essere affrontate in modo proattivo e tempestivo, e non come reazione a una violazione della conformità.
Aggiornare e stabilire chiari obiettivi di resilienza
Per creare una strategia di sicurezza efficiente bisogna delineare obiettivi chiari e perseguibili, che DORA contribuirà a metterne a fuoco l’efficacia e spingerà le aziende a rivederli in modo costante. Questo consentirà inoltre ai team di dare priorità alle attività di conformità, garantendo che gli investimenti in cybersecurity e resilienza si allineino alla normativa il prima possibile.
Monitorare e agire in base agli aggiornamenti normativi
Bisogna aspettarsi che le autorità dell’Unione Europea modifichino DORA per garantire che resti pienamente pertinente all’ecosistema dinamico che deve proteggere. Le aziende dovrebbero quindi stabilire un processo per garantire di restare aggiornati su ogni sviluppo che possa avere impatto sui loro livelli di conformità. Il lavoro di compliance dovrebbe essere accompagnato da processi che si concentrano sull’analisi delle lacune sulla definizione delle priorità e sugli investimenti.
Per ulteriori informazioni, vi invitiamo a consultare il sito web di Commvault.