1. Il ruolo della tecnologia a supporto della compliance
2. Come le soluzioni ITSM aiutano a soddisfare i requisiti di DORA
3. HDA, soluzione per la Conformità a DORA
Il Digital Operational Resilience Act (DORA) è il quadro normativo sulla resilienza operativa digitale promosso dall’Unione Europea, in vigore dal 17 gennaio 2025, nell’ambito del panorama dei servizi bancari e finanziari.
DORA introduce nuovi requisiti in diverse aree, dalla gestione del rischio ai test, oltre alle relazioni e alla supervisione di terzi parti.
Per rispondere e adeguarsi a DORA è necessaria una strategia tecnologica che integri la resilienza nel tessuto dell’organizzazione.
Il ruolo della tecnologia a supporto della compliance
DORA stabilisce regole uniformi per garantire che le organizzazioni siano armate contro gli attacchi informatici e altri rischi correlati all'IT. Il regolamento DORA non si limita, però, ad imporre alle istituzioni finanziarie di adottare misure di resilienza operativa, ma estende la sua portata lungo tutta la catena del valore digitale.
DORA si applica, quindi, anche ai fornitori di servizi di terze parti che forniscono a ditte finanziarie sistemi e servizi ICT (come a esempio fornitori di servizi cloud e datacenter, oppure le aziende che forniscono servizi informativi critici di terze parti, come i servizi di rating e di data analytics).
Requisiti DORA
Il regolamento stabilisce i requisiti tecnici per le entità finanziarie e i fornitori ICT in quattro domini/aree:
- • gestione dei rischi informatici e governance: gestire i rischi legati alle infrastrutture tecnologiche, comprese le soluzioni software, hardware e le piattaforme cloud.
- • gestione, classificazione e segnalazione degli incidenti informatici: DORA stabilisce la necessità di monitorare e gestire attivamente gli incidenti di sicurezza informatica e operativi, con procedure di comunicazione tempestive.
- • test di resilienza operativa digitale: le aziende devono avere piani e strategie per garantire la continuità delle operazioni in caso di incidenti informatici o altre situazioni di rischio.
- • gestione dei rischi informatici derivanti da terzi: monitorare e gestire i rischi associati ai fornitori esterni che forniscono servizi IT, come i cloud provider.
Infine, l’ultimo pilastro della resilienza riguarda la condivisione delle informazioni: le entità finanziarie devono delineare strategie per la condivisione e lo scambio di informazioni sulle minacce in modo sicuro all’interno di comunità fidate, con l’obiettivo di migliorare la posizione di sicurezza complessiva del settore.
Per aumentare con successo la resilienza operativa sono necessari i giusti investimenti tecnologici.
Cos'è il Digital Operational Resilience Act (DORA)?
Il Digital Operational Resilience Act è una normativa europea che ha lo scopo di garantire che tutte le entità finanziarie e le aziende che trattano dati sensibili o operano in settori ad alto rischio siano in grado di resistere agli attacchi informatici e alle interruzioni dei sistemi IT. Il regolamento impone una serie di obblighi, tra cui:
- • Gestione dei rischi tecnologici: Ogni organizzazione deve gestire i rischi legati alle sue infrastrutture tecnologiche, comprese le soluzioni software, hardware e le piattaforme cloud.
- • Piani di continuità operativa: Le aziende devono avere piani e strategie per garantire la continuità delle operazioni in caso di incidenti informatici o disastri naturali.
- • Monitoraggio degli incidenti: DORA stabilisce la necessità di monitorare e gestire attivamente gli incidenti di sicurezza informatica e operativi, con procedure di comunicazione tempestive.
- • Gestione dei fornitori di servizi ICT: Le organizzazioni devono monitorare e gestire i rischi associati ai fornitori esterni che forniscono servizi IT, come i cloud provider.
Come le soluzioni ITSM aiutano a soddisfare i requisiti di DORA
DORA non è solo una normativa che definisce requisiti di sicurezza informatica, ma pone anche un accento particolare sulla gestione efficace degli incidenti, sulla conformità alle best practice IT e sulla gestione dei rischi tecnologici. Ecco perché le soluzioni di ITSM (IT Service Management) sono fondamentali per le aziende che desiderano essere pronte a rispettare queste nuove normative.
L’adozione di una piattaforma ITSM avanzata può aiutare le organizzazioni a gestire e controllare i vari aspetti legati alla resilienza operativa digitale.
Ecco alcuni dei motivi per cui le soluzioni ITSM sono cruciali per la conformità a DORA:
- Gestione e Risoluzione degli Incident
Un aspetto fondamentale di DORA è la capacità di rilevare e risolvere tempestivamente gli incidenti operativi. Una soluzione ITSM, come quella di Pat, offre strumenti avanzati di incident management che aiutano a tracciare, gestire e risolvere rapidamente qualsiasi interruzione dei servizi IT. Un sistema centralizzato di gestione degli incidenti consente di ridurre i tempi di risposta e di mantenere la continuità operativa, rispondendo pienamente alle richieste di DORA in termini di gestione degli eventi di sicurezza. - Automazione dei Processi di Controllo e Risposta
La piattaforma ITSM permette di automatizzare i processi operativi, inclusi i flussi di lavoro di problem management e change management. Questo non solo migliora l’efficienza operativa, ma garantisce anche che tutte le modifiche vengano documentate e seguite in modo conforme alle normative di DORA. La gestione automatizzata dei processi aiuta a ridurre l'errore umano e a garantire che tutte le azioni siano eseguite secondo procedure sicure e documentate. - Monitoraggio della Continuità Operativa
Con DORA che richiede alle organizzazioni di avere piani di continuità operativa ben definiti, le soluzioni ITSM offrono funzionalità di monitoraggio in tempo reale che permettono alle aziende di rilevare eventuali minacce o vulnerabilità in anticipo. Le piattaforme ITSM forniscono anche strumenti di analisi per ottimizzare i piani di disaster recovery, un aspetto chiave per dimostrare la conformità alle disposizioni di DORA. - Gestione dei Fornitori e delle Terze Parti
DORA richiede alle aziende di monitorare i rischi legati ai fornitori di servizi ICT esterni. La soluzione di Pat gestisce tipologie di incidenti informatici, operativi e dovuti a eventi di cybersicurezza, di sicurezza fisica/ambientale con impatti sul Data Center, con possibilità di gestire anche gli incidenti accaduti a fornitori esterni con impatti sui servizi dell’organizzazione. - Documentazione e Reporting
DORA stabilisce requisiti stringenti per la documentazione degli incidenti e dei processi di gestione dei rischi. Le soluzioni ITSM consentono alle aziende di creare report dettagliati su tutti gli incidenti, le risoluzioni, le modifiche e le attività di controllo, facilitando la conformità alle normative. Con HDA, è possibile generare report personalizzati che soddisfano gli obblighi di trasparenza previsti dal regolamento.
HDA, soluzione per la Conformità a DORA
Il Digital Operational Resilience Act è stato un processo di adeguamento molto impegnativo per le realtà finanziarie, arrivato ora alla sua messa in azione effettiva.
Talvolta è stato vissuto come una criticità, altre volte come opportunità per proteggere le entità finanziarie e le aziende dai rischi informatici e dalle interruzioni operative: la conformità a DORA non è solo una questione di sicurezza, ma di capacità di gestire e rispondere in tempo reale agli incidenti operativi.
La soluzione ITSM di Pat ha un’esperienza progettuale importante, legata a svariate installazioni nel settore bancario e assicurativo, pertanto soddisfa, mediante specifici processi, i requisiti garantendo una gestione dei servizi IT efficiente, sicura e conforme alle normative.
HDA non è solo una piattaforma ITSM: è una soluzione completa che aiuta le aziende a navigare e conformarsi alle normative più complesse, come il Digital Operational Resilience Act. Con funzionalità avanzate di gestione degli incidenti, monitoraggio della sicurezza, automazione e reporting, la piattaforma di Pat garantisce la conformità ai requisiti di DORA.