Il Regolamento DORA si avvicina sempre più alla sua fase vincolante, che prenderà il via il 17 gennaio 2025, due anni e venti giorni dopo la sua pubblicazione sulla gazzetta ufficiale dell’Unione Europea. DORA segna al tempo stesso un punto di continuità con le normative vigenti in fatto di sicurezza e privacy dei dati, rappresentando al tempo stesso una decisa evoluzione nel proporsi quale un autentico framework per le aziende del settore finanziario, chiamate a raggiungere standard di resilienza cibernetica sempre più elevati.
DORA rientra nell’ambito di un ampio insieme di misure, stabilite dalla UE, per elevare il livello di responsabilità in merito a tematiche relative alla cybersecurity, gestione del rischio IT, incident response nella prospettiva di una governance end-to-end capace di coinvolgere tutti gli aspetti legati alla cyber resilienza (GDPR, NIS 2, AI ACT, ecc.).
Il rispetto del regolamento DORA si rende necessario per tutte le istituzioni finanziarie operanti nella UE (banche, assicurazioni, società di investimento, provider servizi crypto, piattaforme di crowfunding, ecc. ) e ai loro provider di terze parti (cloud service provider, managed service provider, system integrator, software vendor, ecc.), con l’obiettivo di responsabilizzare l’intera supply chain del mondo finance ai fini di assicurare ai consumatori servizi sempre più sicuri ed affidabili.
La conformità a DORA implica una serie di procedure che richiedono una notevole esperienza in materia di security assessment, soprattutto per le fasi relative al rispetto della due diligence, che prevede l’auditing e la verifica degli standard di sicurezza dei fornitori di servizi. Inoltre, una delle maggiori sfide che le organizzazioni al momento devono affrontare nella preparazione a DORA è che i 5 pillar che compongono la norma, spiegati di seguito, non dispongono ancora di controlli tecnici ben definiti. Questa mancanza di chiarezza rende l’implementazione difficile per le organizzazioni, molte delle quali scelgono di posticipare fino a quando non saranno disponibili maggiori informazioni, il che inevitabilmente porterà a un’implementazione affrettata.
Il supporto tempestivo di un consulente qualificato come Deda Cloud assicura gli enti finanziari un quadro valutativo corretto e una efficace roadmap di implementazione delle eventuali integrazioni da effettuare per risultare conformi al 100% ai disposti del Regolamento DORA entro la data utile, e di rispondere con efficacia alla necessità di monitorare continuamente i sistemi aziendali per mantenere una chiara comprensione di eventuali lacune che devono essere colmate, un aspetto sul quale DORA pone forte enfasi (Articolo 6, Articolo 7, Articolo 10, Articolo 14, Articolo 16 e Articolo 19).
[Scopri i servi di Continous Control Monitoring di Deda Tech, la piattaforma che fornisce visibilità completa sulla condizione complessiva di sicurezza di un’organizzazione.]
Digital Operational Resilience Act (DORA): i cinque pillar fondamentali
Il regolamento DORA assume un carattere decisamente operativo, per stabilire le linee guida per gli EF (entità finanziarie) in fatto di sicurezza a 360 gradi. DORA si basa su cinque pillar fondamentali: gestione del rischio IT, gestione degli incidenti IT, test di resilienza operativa digitale, gestione del rischio IT di terze parti, reporting degli incidenti IT.
Gestione del Rischio IT
Gli articoli 5-16 del regolamento riguardano nello specifico la gestione del rischio operativo dei sistemi IT. Le EF sono pertanto chiamate a identificare, categorizzare e gestire i rischi legati alle attività digitali, ai fini di garantire i livelli di resilienza stabiliti. In tali aspetti, oltre alla sicurezza dei sistemi IT in senso stretto, rientrano una spiccata attenzione per le funzioni critiche, la formazione del personale e le capacità di monitoraggio e miglioramento continuo dell’organizzazione in tutte le sue linee di business.
Gestione degli incidenti IT (Incident Response)
Gli articoli 17-23 del regolamento DORA insistono sulla rilevanza della gestione degli incidenti ai fini di assicurare la resilienza operativa delle EF, stabilendo le linee guida per definire una efficace strategia di incident response, capace di tradursi in una risposta rapida e coordinata nel mitigare gli attacchi, oltre a documentarli nell’ottica di una strategia di miglioramento continuo.
Test di Resilienza Operativa Digitale
Gli articoli 24-27 del regolamento DORA si concentrano sui test di resilienza operativa digitale che le entità finanziarie sono chiamate ad affrontare, quale parte integrante della strategia di gestione del rischio IT, per garantire adeguati livelli di resilienza nei confronti degli incidenti informatici e degli incidenti di sicurezza informatica.
Gestione del Rischio IT di Terze Parti
Gli articoli 28-30 del regolamento DORA impongono alle entità finanziare la verifica, la valutazione e il monitoraggio nel tempo dei requisiti di sicurezza e resilienza dei provider di servizi IT e dei loro eventuali fornitori. Attraverso una concreta attività di due diligence, le EF, prima di impegnarsi con le terze parti, devono effettuare una serie di verifiche approfondite e contrattualizzare i necessari requisiti in fatto di sicurezza e resilienza IT, oltre a prevedere una strategia di uscita in caso di risoluzione del contratto.
Reporting degli incidenti IT
L’articolo 45 del regolamento DORA auspica e promuove la collaborazione tra le EF e le autorità competenti in merito alla segnalazione e alla reportistica degli incidenti IT, utile a sviluppare una base di conoscenza comune nei confronti della minaccia alla sicurezza informatica, intesa a livello comunitario.
Regolamento DORA: la governance end-to-end della cyber resilienza
Uno dei principali punti di merito del regolamento DORA risiede nell’aver portato ordine e sintesi ad un quadro di norme, regolamenti e misure piuttosto esteso e frammentato, come quello del mondo finanziario, da sempre tra i più normati in assoluto. A livello di contenuti, la lettura del regolamento DORA non offre particolari novità rispetto a direttive come la NIS 2, in fatto di sicurezza, e altri regolamenti come il GDPR, in materia di privacy dei dati.
La forza innovativa di DORA verte nella proposta di un approccio di governance end-to-end, capace di abbracciare in ogni fase tutte le funzioni aziendali, sulla base di una logica collaborativa che mira a rendere consapevoli tutti gli stakeholder di un obiettivo comune: rendere più robusti gli asset IT aziendali attraverso la formazione di una corretta igiene informatica.
Per raggiungere questo obiettivo, DORA stabilisce criteri che oltre agli enti soggetti ad obbligo, possono fungere da pratiche linee guida per qualsiasi organizzazione chiamata ad erogare servizi digitali. Dal canto loro, le EF dovrebbero quindi lavorare quanto prima sulla formazione di un modello di governance concentrato sugli aspetti di cyber resilienza, capace di includere le componenti tecniche e organizzative in una logica di processo.
Tale approccio andrebbe opportunamente finalizzato nell’ottica di utilizzare le moderne piattaforme digitali per superare definitivamente la logica a silos che ha tradizionalmente distinto i confini di responsabilità delle singole linee di business. Da questo punto di vista, è semplice intuire come la cyber resilienza debba essere intesa quale un valore ben più ampio di una semplice conformità normativa, costituendo l’occasione per tradurre concretamente una efficace strategia di trasformazione digitale.
LEGGI ANCHE: Nis 2 cos’è, quando entra in vigore: tutto quello che serve sapere
Come ottenere la compliance al regolamento DORA
Entro il 17 gennaio 2025, come accennato in sede di premessa, le entità finanziarie e i provider di servizi IT dovranno risultare conformi ai disposti del regolamento DORA. Il raggiungimento della compliance passa attraverso tre fasi fondamentali: la valutazione dell’attuale livello di conformità, la redazione di un modello di governance e la roadmap di implementazione delle misure tecniche e organizzative utili ad ottenere la conformità a DORA.
Valutazione del livello di conformità attuale
La valutazione dell’attuale livello di conformità al regolamento DORA va effettuata in riferimento ai RTS (regulatory technical standards) e ai ITS (implementing technical standards), nel momento in cui scriviamo in fase di open public consultation, in attesa della versione definitiva, la cui pubblicazione è prevista entro il mese di luglio 2024. La logica con cui condurre le fasi di assessment andrebbe strutturata sulla base dei cinque pillar di DORA: gestione rischio IT, gestione incidenti IT, test di resilienza operativa, gestione rischio IT terze parti e intelligence incidenti IT per determinare su cosa focalizzare la azioni per porre rimedio.
Sulla base dei report analitici, le EF dovranno stabilire in qualche misura i loro asset IT risultano conformi a DORA, valutando contestualmente le misure di remediation utili ad ottenere la piena conformità, pesando opportunamente gli aspetti prioritari su cui intervenire.
Modello di governance end-to-end
La redazione di un modello di governance appare fondamentale per stabilire le relazioni e le interazioni che concorrono alla definizione di una efficace strategia di cyber resilienza, nella logica di un processo basato sul miglioramento continuo.
È dunque auspicabile disegnare una mappa delle relazioni tra le varie linee di business impegnate nel garantire la corretta e continua erogazione dei servizi fondamentali delle entità finanziarie. Anche in questo caso, è utile produrre una valutazione dello stato attuale in previsione di una fase di remediation, utile a facilitare il raggiungimento della compliance al regolamento DORA.
Roadmap di implementazione
Nel mettere in pratica le misure necessarie ai fini di ottenere un adeguato livello di conformità al regolamento DORA, le EF devono tenere in conto di una scala di priorità, considerando la validità di un provvedimento fissata per il 17 gennaio 2025, che prevede pochi mesi di lavoro, a fronte di interventi spesso importanti per sanare i gap in termini di requisiti rilevati nella fase di assessment. La definizione delle priorità in merito alle azioni di remediation stabilisce un ordine di esecuzione funzionale a tempi, costi e benefici sulla base dell’effettiva rilevanza di ogni processo nei termini disposti dal regolamento DORA.
Rischio cyber e terze parti: un nodo critico
La tendenza dei cybercriminali è sempre stata quella di cercare l’anello debole di una filiera informatica, in modo da poterla colpire con elevate probabilità di successo. La naturale complessità che si innesca quando entrano in gioco provider di servizi di terze parti agevola l’emergere di vulnerabilità, potenzialmente critiche in funzione delle minacce provenienti dalla rete.
Il rapporto ENISA: “Good Practices for supply chain cybersecurity” (giugno 2023) mediante i dati ottenuti da studi indipendenti, metteva in evidenza come le organizzazioni vittime di un attacco, possono imputarlo a terze parti fino al 62% dei casi in cui si verifica un incidente. Di queste, secondo una ricerca di Gartner, emerge che l’82% dichiara di aver subito danni tangibili.
La criticità delle lacune di sicurezza imputabili al rapporto con terze parti emerge anche nel report di CSA (Cloud Security Alliance): “The State of Security Remediation 2024”, quando soltanto il 23% delle aziende intervistate dichiara di avere un adeguato livello di visibilità sui loro ambienti IT, in particolare per quelli in cloud.
A prescindere dalle prescrizioni di DORA, l’attenta verifica dei cloud service provider dovrebbe costituire una priorità nell’agenda di qualsiasi organizzazione impegnata nel suo percorso di trasformazione digitale.
La selezione dei provider di servizi
Il regolamento DORA, attraverso lo standard tecnico di regolamentazione (RTS) descrive i criteri di selezione, contrattualizzazione e gestione dei fornitori di servizi IT critici, con particolare riferimento ai cloud service provider e ai fattori legati al rischio IT. Si tratta di una disciplina complessa ed onerosa che richiede competenze approfondite, oltre alla disponibilità a collaborare dei provider stessi.
Lo standard RTS riporta un titolo che lascia poco spazio ai dubbi: “Specificare il contenuto dettagliato della politica relativa agli accordi contrattuali sull’uso dei servizi ICT che supportano funzioni critiche o importanti fornite da terzi service provider ICT, come prescritto dal Regolamento (UE) 2022/2554” (regolamento DORA).
Vediamo quali sono i principali aspetti da considerare quando si tratta di valutare e monitorare nel tempo i fornitori di terze parti, con particolare attenzione per quanto riguarda gli aspetti legati alla cyber resilienza.
[Scopri i servi di Continous Control Monitoring di Deda Tech, la piattaforma che fornisce visibilità completa sulla condizione complessiva di sicurezza di un’organizzazione. Guarda e ascolta anche la video guida esclusiva]
Valutazione iniziale e monitoraggio continuo dei fornitori di servizi
Il regolamento DORA impone alle EF un approccio proattivo nei confronti dei loro provider di servizi. Oltre alla valutazione iniziale, è infatti precisato l’obbligo di un monitoraggio continuo, che si traduce, tra le altre cose, nell’esecuzione di test di resilienza per accertare adeguati livelli di sicurezza nei sistemi dei fornitori di servizi, oltre a verificare la loro capacità di rispondere con successo ad eventuali incidenti.
Secondo le disposizioni del regolamento DORA, i test di resilienza delle terze parti dovrebbero comprendere almeno le seguenti operazioni, da misurarsi sulla base dell’effettiva criticità e rilevanza costituita dal servizio oggetto di un contratto con un fornitore di terze parti:
- Valutazione e scansione delle vulnerabilità
- Open source intelligence (OSINT) attraverso le fonti disponibili su internet
- Valutazioni della sicurezza delle reti
- Gap analysis sullo stato di applicazione delle misure di sicurezza
- Valutazione della sicurezza fisica
- Questionari e richiesta di certificazioni
- Analisi del codice sorgente delle eventuali applicazioni utilizzate, se necessario
- Test di scenario, test di compatibilità, test di prestazione e test end-to-end.
- Penetration test, secondo i criteri definiti dal TIBER-EU, framework europeo di ethical hacking.
Il regolamento DORA impone inoltre alle EF di richiedere ai fornitori che anche gli eventuali sub-fornitori rispettino le stesse condizioni contrattualizzate, allargando il quadro dell’assessment e del monitoraggio anche alle quarte e alle quinte parti, nella direzione di responsabilizzare l’intera filiera dei servizi, secondo le intenzioni più volte manifestate dal legislatore europeo.
Creare un processo di selezione e valutazione dei fornitori
Secondo quanto finora espresso, un processo di selezione a valutazione dei provider di servizi dovrebbe essere strutturato su una serie di step fondamentali a partire dalla mappatura e profilazione dei fornitori, per definire un invio ragionato dei questionari sulla sicurezza IT. Un ulteriore passaggio potrebbe essere costituito dall’analisi della superficie d’attacco, per condurre infine una correlazione con i risultati ottenuti tramite i questionari, utili ad accertare la coerenza delle informazioni oggetto di verifica.
Questionari sulla sicurezza
Esistono vari modelli di questionario utili a verificare i requisiti di sicurezza e cyber resilienza dei provider di servizi, come il celebre CAIQ (Consensus Assesment Initiative Questionnaire), specifico per gli ambienti cloud e realizzato dalla Cloud Service Alliance (CSA). Il questionario CAIQ, nella sua versione di base, viene continuamente aggiornato sulla base delle nuove evidenze tecnologiche, normative e organizzative che intervengono nel tempo, e prevedere 133 obiettivi di controllo, distribuiti in 16 aree tematiche.
La compilazione del questionario comporta un impegno importante per un fornitore che svolge in maniera corretta e responsabile la procedura di risposta e può richiedere un dialogo tra le parti e l’esecuzione di particolari test e audit da cui produrre adeguate relazioni di accertamento, almeno nella prospettiva di soddisfare i requisiti del DORA.
Analisi e test dei provider
Altre attività utili ad ottenere informazioni sul livello di cyber resilienza di un fornitore di servizi IT sono il penetration test, svolto da hacker etici per ricercare eventuali vulnerabilità nei sistemi, secondo quanto previsto dal già citato framework TIBER-EU.
L’analisi di una superficie d’attacco può prendere ad esempio in considerazione:
- Infrastruttura IT e di rete
- Applicazioni web
- Fattore Umano
In merito all’ultimo punto viene solitamente svolta una analisi del digital footprint, verificando la presenza e il comportamento nei social network dei dipendenti dell’organizzazione, la scansione di eventuali credenziali di autenticazione compromesse, diffuse liberamente nella rete o rese disponibili per l’acquisto nel famigerato dark web.
Correlazione dei risultati, valutazione e monitoraggio continuo
Dopo aver svolto tutte le analisi utili a procedere con la valutazione del rischio è possibile correlare i risultati e riassumerli per avere una comprensione globale del problema, utile a selezionare o scartare il provider e a suggerire eventuali attività di mitigazione, almeno per quanto concerne gli aspetti presi in esame durante le varie fasi di assessment.
Come precisato, DORA non ammette l’esecuzione di una procedura valutativa una tantum, ma impone una concreta attività di monitoraggio continuo, che potrà essere svolta avvalendosi di piattaforme TPCRM (Third Party Cyber Risk Management), che consentono di automatizzare le procedure necessarie in fase di auditing e testing del provider di servizi, ai fini di accertare il mantenimento delle condizioni contrattualizzate a fronte delle continue novità tecnologiche, sia a livello di offerta che di minacce provenienti dalla rete.
Implicazioni sulla privacy nella valutazione delle terze parti
DORA si ricollega nei disposti ad altri strumenti normativi dell’Unione, tra cui il GDPR, con cui presenta interessanti analogie, a partire dalla comune natura di regolamento.
Un nodo critico dell’attività di dovuta diligenza è costituito dalla conduzione delle verifiche richieste nel rispetto della privacy del provider. La risposta arriva direttamente dal Regolamento EU 2016/679 GDPR (General Data Protection Regulation), che stabilisce come, data la natura dei loro servizi, le EF abbiano le basi giuridiche per operare secondo la necessità di trattamento per compiti di interesse pubblico.
Come già citato, gli auditor chiamati a svolgere le verifiche richieste da DORA si ritrovano in una condizione per certi versi un po’ paradossale, dovendo operare in sede pre-contrattuale, secondo le disposizioni dell’art. 28.4.d del Regolamento.
Fortunatamente le indagini OSINT consentono di ottenere buona parte delle informazioni necessarie, e i provider stessi, oltre a rispondere ai questionari che vengono loro sottoposti, mettono in primis a disposizione una serie di risorse per facilitare il lavoro degli auditor, oltre ad una serie di certificazioni utili ad accelerare la procedura di assessment che precede la contrattualizzazione del servizio con le entità finanziarie.
Uno dei punti di maggior complessità rimane la visibilità sull’intera filiera, quando il provider di riferimento si avvale a sua volta di altri fornitori di servizi, che potrebbero manifestare elementi di vulnerabilità di non semplice individuazione. Fondamentale, anche in questo caso, rimane la trasparenza e l’efficienza dei provider nel condurre a loro volta una serie di verifiche conformi alle richieste di DORA nei confronti dei loro provider.
Perché affidare a Deda Cloud la consulenza sulla valutazione di conformità al Regolamento DORA
La guida al Regolamento DORA che vi abbiamo proposto evidenzia la complessità delle misure da intraprendere ai fini di risultare conformi al 100% con i disposti normativi, a partire dalla corretta comprensione delle intenzioni del legislatore.
La consulenza di Deda Cloud può assicurare a tutti gli enti finanziari una comprovabile esperienza sul campo nelle valutazioni di sicurezza informatica, utili a supportare tutte le operazioni richieste per garantire la corretta resilienza del business.
L’offerta di Deda Cloud si distingue per il supporto fornito alle aziende attraverso consulenti certificati ed esperti nella governance e nella compliance, specializzati nella gestione di realtà strutturate e complesse. L’obiettivo è guidare l’azienda verso una strategia di adeguamento sia organizzativo che tecnologico, rispondendo in modo proattivo alle crescenti pressioni regolatorie.
Non si tratta semplicemente di “superare l’esame” o di subire l’audit scramble, ovvero la corsa contro il tempo che molte aziende intraprendono alla vigilia delle scadenze di conformità. La vera sfida è quella di preparare l’organizzazione a gestire i processi di compliance in modo strutturato e sostenibile nel tempo, riducendo lo stress legato alle verifiche periodiche e ottimizzando l’efficienza complessiva.
La divisione cybersecurity di Deda Cloud dispone di una ampia case history a supporto delle aziende italiane, oltre ad una serie di competenze certificate sulle principali tecnologie e metodologie utilizzate in questo settore.
L’approccio di Deda Cloud va oltre le inconcludenti “soluzioni da scaffale”, per garantire alle imprese un percorso completo, fatto di analisi e strategie ponderate a soddisfare le esigenze specifiche di ciascun business.
Deda Cloud offre un servizio end-to-end, che spazia dalla consulenza iniziale al supporto decisionale in ciascuna sua fase, prima di procedere alla definizione di una solida roadmap di implementazione di tutte le policy necessarie.
Dal punto di vista tecnologico, Deda Cloud offre un elevato livello di integrazione tra gli aspetti di cybersecurity e le più moderne soluzioni di infrastruttura cloud e on-premise necessarie per assicurare il più elevato livello di resilienza agli enti finanziari, in un contesto in cui il tutto è ben più della somma delle parti.
Automatizzare e Semplificare la Compliance al Regolamento DORA con il CCM di Quod Orbis
Deda Cloud si avvale dell’innovativa piattaforma CCM (Continuous Controls Monitor) Quod Orbis, che consente di visualizzare, verificare e comprendere la postura di sicurezza e di rischio degli enti finanziari in tempo reale.
La soluzione CCM Quod Orbis garantisce alle aziende innovative funzioni di monitoraggio continuo, completamente automatizzate, per tutti i controlli e le metriche di sicurezza previste, compresa la conformità continua al Regolamento DORA, implementando con successo i suoi 5 pillar fondamentali.
- Gestione del rischio informatico: CCM Quod Orbis di Deda misura e valuta in modo coerente i rischi e i controlli all’interno dell’organizzazione, integrandosi direttamente con l’infrastruttura tecnologica esistente.
- Segnalazione di incidenti: la piattaforma CCM monitora costantemente tutti gli asset digitali critici, ottenendo automaticamente le informazioni di dettaglio sugli incidenti, per un reporting estremamente accurato degli eventi.
- Test di resilienza: la piattaforma CCM automatizza e semplifica i test richiesti per garantire la compliance a DORA, coinvolgendo tutti i sistemi e i processi più critici.
- Gestione del rischio di terzi: la piattaforma CCM monitora le prestazioni e la sicurezza dei provider di servizi, aiutando gli enti finanziari a garantire un elevato livello di resilienza per la loro supply chain digitale.
- Condivisione di informazioni e intelligence: la piattaforma CCM genera report dettagliati sulla base delle attività di monitoraggio pianificate, che possono essere utilizzate come prova di conformità ai requisiti, secondo quanto espressamente previsto dal Regolamento DORA.
Grazie all’integrazione della piattaforma Quod Orbis, Deda Cloud offre una soluzione avanzata e completa per supportare le aziende nel raggiungere una piena compliance al Regolamento DORA e nel rafforzare la propria postura di sicurezza. L’automazione e la semplificazione dei processi di monitoraggio continuo non solo riducono il carico operativo, ma permettono alle organizzazioni di affrontare le sfide di sicurezza e conformità in modo più rapido ed efficace.
Con Quod Orbis, le aziende possono contare su una gestione proattiva e integrata del rischio, garantendo resilienza e sicurezza costanti, e trasformando la compliance da un onere amministrativo a un vantaggio strategico nel lungo termine.
[Scopri i servi di Continous Control Monitoring di Deda Tech, la piattaforma che fornisce visibilità completa sulla condizione complessiva di sicurezza di un’organizzazione.]