Che impatto avrà il Digital Operational Resilience Act (DORA) sulla mia organizzazione?
Il Digital Operational Resilience Act definisce le soglie di criticità per i servizi forniti agli istituti finanziari. Se un'organizzazione è un fornitore diretto di servizi a un istituto finanziario e i suoi servizi soddisfano queste soglie, l'azienda è soggetta al DORA. Ciò significa che l'organizzazione sarà supervisionata direttamente dal regolatore finanziario competente.
Per le organizzazioni i cui servizi non soddisfano le soglie DORA, il regolamento si applica ancora, ma non è richiesta la supervisione diretta. Invece, i clienti dell'organizzazione dovranno richiedere determinati termini contrattuali per ottenere la Conformità con i requisiti del DORA.
Ad esempio, il Digital Operational Resilience Act (DORA) richiede agli istituti finanziari di segnalare le violazioni dei dati alle autorità di regolamentazione entro una certa finestra di scoperta. Le istituzioni finanziarie dovranno imporre gli stessi requisiti di segnalazione delle violazioni ai loro fornitori e provider di servizi, come parte dei loro obblighi contrattuali. Se un'organizzazione non è disposta ad accettare questi termini, il DORA vieta all'istituto finanziario di fare affari con lei.
Il Digital Operational Resilience Act stabilisce i termini che gli istituti finanziari richiederanno ai loro fornitori e i controlli di sicurezza che questi fornitori devono attuare. Poiché il DORA è orientato a migliorare la resilienza dell'intero settore finanziario, è probabile che questi obblighi e requisiti vengano trasmessi attraverso l'intera catena di fornitura.
I requisiti principali della Legge sulla resilienza operativa digitale (DORA)
L'obiettivo primario del DORA è quello di garantire la resilienza operativa del settore finanziario. Come parte di questo, le organizzazioni coperte dal Digital Operational Resilience Act devono implementare processi di gestione del rischio che aiutino a identificare le potenziali vulnerabilità alle minacce informatiche plausibili e a mettere in atto politiche e controlli di sicurezza per proteggersi da questi rischi.
Il DORA crea un quadro di regole che le istituzioni finanziarie e i loro fornitori devono seguire per la resilienza operativa. Alcuni degli obiettivi e dei requisiti chiave includono:
- Gestione del rischio e governance: Il DORA definisce i quadri e le linee guida per la gestione del rischio nel settore finanziario. Queste linee guida hanno lo scopo di aiutare le organizzazioni a costruire programmi di gestione del rischio più maturi e a migliorare la resilienza operativa.
- Test di resilienza: Il DORA suggerisce alle organizzazioni coperte di implementare programmi di test di resilienza basati sulle loro valutazioni del rischio. Questo aiuta a identificare e correggere eventuali problemi prima che rappresentino una minaccia per le operazioni.
- Condivisione dell'intelligence: Molti attori delle minacce informatiche che operano nel settore finanziario prendono di mira più organizzazioni contemporaneamente. Incoraggiando la condivisione di threat intelligence, DORA aiuta l'intero settore a diventare più consapevole e preparato ad affrontare le continue minacce informatiche.
- Gestione della catena di approvvigionamento: Il DORA impone dei requisiti sui rapporti contrattuali delle istituzioni finanziarie con i loro fornitori. Inoltre, le istituzioni finanziarie sono tenute a disporre di strategie per gestire i rischi che questi fornitori creano, compresa la possibilità di uscire dai rapporti e di passare a prodotti sostitutivi.
- Segnalazione degli incidenti: Il DORA amplia la portata della segnalazione degli incidenti e cerca di semplificare il processo di segnalazione. Richiedendo una segnalazione più rapida, il DORA incoraggia anche una rapida indagine e risposta agli incidenti, che aiuta a mitigare l'impatto di una violazione. Inoltre, i rapporti sulle violazioni possono essere utilizzati per aiutare a rilevare intrusioni sconosciute in altre reti.
- Accesso agli audit: Il regolamento DORA consente alle autorità di regolamentazione (e alle istituzioni finanziarie nel caso dei fornitori) di eseguire audit lungo tutta la catena di fornitura nel settore finanziario. Questo aiuta a guidare la Conformità, ma significa che le organizzazioni devono avere la capacità di generare report su richiesta.
- Analisi retrospettiva: La maggior parte delle organizzazioni cerca di imparare dai propri incidenti interni, ma il DORA incoraggia lo studio e la revisione delle politiche anche sulla base di incidenti esterni. Lo scopo è quello di evitare che più organizzazioni siano vittime degli stessi tipi di attacchi.
I requisiti esatti della Legge sulla resilienza operativa digitale sono sconosciuti, poiché è ancora in fase di bozza. Tuttavia, iniziare oggi il processo per soddisfare questi requisiti semplificherà la Conformità una volta approvata la legge.
Come le soluzioni Check Point aiutano con la Conformità DORA
Il DORA non è ancora stato approvato, ma si prevede che diventi legge nel 2022. Ciò significa che le organizzazioni che potrebbero essere interessate dal DORA dovrebbero iniziare a lavorare oggi stesso per raggiungere la Conformità.
Per prepararsi al Digital Operational Resilience Act, uno dei passi più importanti che un'organizzazione può compiere è semplificare e snellire la sua architettura di sicurezza. Il DORA richiede la segnalazione rapida degli incidenti di cybersecurity, la visibilità delle dipendenze di terzi di un'organizzazione e la capacità di rispondere alle richieste di audit da parte degli enti regolatori o dei clienti.
Check Point Harmony Suite offre una protezione consolidata su tutta l'Infrastruttura IT di un'organizzazione, compreso il supporto per endpoint, mobile, cloud ed e-mail. Semplificando e snellendo l'infrastruttura di sicurezza di un'organizzazione, Harmony Suite facilita la protezione dalle minacce informatiche e il rispetto dei requisiti di rendicontazione del DORA. Per saperne di più su come le soluzioni Check Point possono aiutare a rispettare la Conformità e altre normative, ci contatti.
Feedback