eXpert Information and Communication Technologies

XICT-logo-con_bordo-trasparente

Regolamento DORA

Il regolamento DORA, che sta per “Digital Operational Resilience Act”, è un’iniziativa legislativa dell’Unione Europea che mira a rafforzare la resilienza operativa digitale di entità nel settore finanziario. Il DORA fa parte di uno sforzo più ampio per modernizzare il quadro normativo finanziario dell’UE per tener conto dell’evoluzione digitale e dell’aumento degli incidenti informatici.

A chi è rivolto il DORA?

Il DORA è rivolto a una vasta gamma di attori nel settore finanziario, inclusi:

  • Banche e istituzioni creditizie
  • Imprese di investimento
  • Fornitori di servizi di pagamento e istituzioni di moneta elettronica
  • Assicurazioni e riassicurazioni
  • Gestori di fondi d’investimento
  • Mercati finanziari e loro partecipanti
  • Critici fornitori di servizi ICT (Information and Communication Technology)

Cosa prevede il DORA?

Il DORA introduce requisiti specifici in diverse aree chiave, tra cui:

  1. Gestione dei rischi ICT: Le entità regolate devono stabilire e mantenere misure robuste per la gestione del rischio ICT, che comprendono la sicurezza, la governace, e la resilienza dei sistemi.
  2. Incident reporting: Le entità sono tenute a segnalare incidenti gravi che riguardano l’ICT alle autorità competenti.
  3. Testing di resilienza digitale: Le entità devono svolgere regolari test di penetrazione e test di stress per valutare la resilienza dei loro sistemi e pratiche ICT.
  4. Gestione della catena di fornitura ICT: Viene richiesto di garantire che i fornitori di servizi ICT rispettino standard di sicurezza elevati e siano sottoposti a controlli e bilanciamenti appropriati.

Come conformarsi al DORA

Per conformarsi al DORA, le entità finanziarie devono adottare una serie di misure, tra cui:

  • Revisione e aggiornamento delle politiche di gestione dei rischi ICT: Assicurarsi che le politiche siano aggiornate e in linea con i requisiti DORA.
  • Implementazione di controlli di sicurezza ICT: Stabilire controlli adeguati per proteggere contro rischi ICT.
  • Formazione del personale: Garantire che il personale sia adeguatamente formato su questioni di sicurezza ICT e resilienza.
  • Sviluppo di un piano di risposta agli incidenti: Preparare un piano per rispondere in modo efficace agli incidenti ICT.
  • Monitoraggio e testing continuo: Implementare un regime di test continuo per valutare la resilienza dei sistemi.

 

La conformità richiederà un impegno continuo per valutare e aggiornare le misure di sicurezza e resilienza. Potrebbe anche essere necessario collaborare strettamente con i fornitori di servizi ICT per garantire che anche loro rispettino i requisiti del DORA. 

Puoi scaricare il regolamento DORA direttamente dal sito ufficiale Europeo QUI

Torna in alto