Il DORA, Digital Operational Resilience Act, è un progetto di legge volto a migliorare la cybersicurezza e la resilienza operativa del settore dei servizi finanziari. Essa integra le leggi esistenti, come la Direttiva sulla rete e la sicurezza delle informazioni (NISD) e il Regolamento generale sulla protezione dei dati (GDPR). Sebbene il DORA stia ancora attraversando il processo legislativo, si prevede che venga approvato nel 2022.
Il Digital Operational Resilience Act definisce le soglie di criticità per i servizi forniti agli istituti finanziari. Se un'organizzazione è un fornitore diretto di servizi a un istituto finanziario e i suoi servizi soddisfano queste soglie, l'azienda è soggetta al DORA. Ciò significa che l'organizzazione sarà supervisionata direttamente dal regolatore finanziario competente.
Per le organizzazioni i cui servizi non soddisfano le soglie DORA, il regolamento si applica ancora, ma non è richiesta la supervisione diretta. Invece, i clienti dell'organizzazione dovranno richiedere determinati termini contrattuali per ottenere la Conformità con i requisiti del DORA.
Ad esempio, il Digital Operational Resilience Act (DORA) richiede agli istituti finanziari di segnalare le violazioni dei dati alle autorità di regolamentazione entro una certa finestra di scoperta. Le istituzioni finanziarie dovranno imporre gli stessi requisiti di segnalazione delle violazioni ai loro fornitori e provider di servizi, come parte dei loro obblighi contrattuali. Se un'organizzazione non è disposta ad accettare questi termini, il DORA vieta all'istituto finanziario di fare affari con lei.
Il Digital Operational Resilience Act stabilisce i termini che gli istituti finanziari richiederanno ai loro fornitori e i controlli di sicurezza che questi fornitori devono attuare. Poiché il DORA è orientato a migliorare la resilienza dell'intero settore finanziario, è probabile che questi obblighi e requisiti vengano trasmessi attraverso l'intera catena di fornitura.
L'obiettivo primario del DORA è quello di garantire la resilienza operativa del settore finanziario. Come parte di questo, le organizzazioni coperte dal Digital Operational Resilience Act devono implementare processi di gestione del rischio che aiutino a identificare le potenziali vulnerabilità alle minacce informatiche plausibili e a mettere in atto politiche e controlli di sicurezza per proteggersi da questi rischi.
Il DORA crea un quadro di regole che le istituzioni finanziarie e i loro fornitori devono seguire per la resilienza operativa. Alcuni degli obiettivi e dei requisiti chiave includono:
I requisiti esatti della Legge sulla resilienza operativa digitale sono sconosciuti, poiché è ancora in fase di bozza. Tuttavia, iniziare oggi il processo per soddisfare questi requisiti semplificherà la Conformità una volta approvata la legge.
Il DORA non è ancora stato approvato, ma si prevede che diventi legge nel 2022. Ciò significa che le organizzazioni che potrebbero essere interessate dal DORA dovrebbero iniziare a lavorare oggi stesso per raggiungere la Conformità.
Per prepararsi al Digital Operational Resilience Act, uno dei passi più importanti che un'organizzazione può compiere è semplificare e snellire la sua architettura di sicurezza. Il DORA richiede la segnalazione rapida degli incidenti di cybersecurity, la visibilità delle dipendenze di terzi di un'organizzazione e la capacità di rispondere alle richieste di audit da parte degli enti regolatori o dei clienti.
Check Point Harmony Suite offre una protezione consolidata su tutta l'Infrastruttura IT di un'organizzazione, compreso il supporto per endpoint, mobile, cloud ed e-mail. Semplificando e snellendo l'infrastruttura di sicurezza di un'organizzazione, Harmony Suite facilita la protezione dalle minacce informatiche e il rispetto dei requisiti di rendicontazione del DORA. Per saperne di più su come le soluzioni Check Point possono aiutare a rispettare la Conformità e altre normative, ci contatti.