Il Regolamento DORA si avvicina sempre più alla sua fase vincolante, che prenderà il via il 17 gennaio 2025, due anni e venti giorni dopo la sua pubblicazione sulla gazzetta ufficiale dell’Unione Europea. DORA segna al tempo stesso un punto di continuità con le normative vigenti in fatto di sicurezza e privacy dei dati, rappresentando al tempo stesso una decisa evoluzione nel proporsi quale un autentico framework per le aziende del settore finanziario, chiamate a raggiungere standard di resilienza cibernetica sempre più elevati.
DORA rientra nell’ambito di un ampio insieme di misure, stabilite dalla UE, per elevare il livello di responsabilità in merito a tematiche relative alla cybersecurity, gestione del rischio IT, incident response nella prospettiva di una governance end-to-end capace di coinvolgere tutti gli aspetti legati alla cyber resilienza (GDPR, NIS 2, AI ACT, ecc.).
Il rispetto del regolamento DORA si rende necessario per tutte le istituzioni finanziarie operanti nella UE (banche, assicurazioni, società di investimento, provider servizi crypto, piattaforme di crowfunding, ecc. ) e ai loro provider di terze parti (cloud service provider, managed service provider, system integrator, software vendor, ecc.), con l’obiettivo di responsabilizzare l’intera supply chain del mondo finance ai fini di assicurare ai consumatori servizi sempre più sicuri ed affidabili.
Digital Operational Resilience Act (DORA): i cinque pilastri fondamentali
Il regolamento DORA assume un carattere decisamente operativo, per stabilire le linee guida per gli EF (entità finanziarie) in fatto di sicurezza a 360 gradi. DORA si basa su cinque pilastri fondamentali: gestione del rischio IT, gestione degli incidenti IT, test di resilienza operativa digitale, gestione del rischio IT di terze parti, reporting degli incidenti IT.
Gestione del Rischio IT
Gli articoli 5-16 del regolamento riguardano nello specifico la gestione del rischio operativo dei sistemi IT. Le EF sono pertanto chiamate a identificare, categorizzare e gestire i rischi legati alle attività digitali, ai fini di garantire i livelli di resilienza stabiliti. In tali aspetti, oltre alla sicurezza dei sistemi IT in senso stretto, rientrano una spiccata attenzione per le funzioni critiche, la formazione del personale e le capacità di monitoraggio e miglioramento continuo dell’organizzazione in tutte le sue linee di business.
Gestione degli incidenti IT (Incident Response)
Gli articoli 17-23 del regolamento DORA insistono sulla rilevanza della gestione degli incidenti ai fini di assicurare la resilienza operativa delle EF, stabilendo le linee guida per definire una efficace strategia di incident response, capace di tradursi in una risposta rapida e coordinata nel mitigare gli attacchi, oltre a documentarli nell’ottica di una strategia di miglioramento continuo.
Test di Resilienza Operativa Digitale
Gli articoli 24-27 del regolamento DORA si concentrano sui test di resilienza operativa digitale che le entità finanziarie sono chiamate ad affrontare, quale parte integrante della strategia di gestione del rischio IT, per garantire adeguati livelli di resilienza nei confronti degli incidenti informatici e degli incidenti di sicurezza informatica.
Gestione del Rischio IT di Terze Parti
Gli articoli 28-30 del regolamento DORA impongono alle entità finanziare la verifica, la valutazione e il monitoraggio nel tempo dei requisiti di sicurezza e resilienza dei provider di servizi IT e dei loro eventuali fornitori. Attraverso una concreta attività di due diligence, le EF, prima di impegnarsi con le terze parti, devono effettuare una serie di verifiche approfondite e contrattualizzare i necessari requisiti in fatto di sicurezza e resilienza IT, oltre a prevedere una strategia di uscita in caso di risoluzione del contratto.
Reporting degli incidenti IT
L’articolo 45 del regolamento DORA auspica e promuove la collaborazione tra le EF e le autorità competenti in merito alla segnalazione e alla reportistica degli incidenti IT, utile a sviluppare una base di conoscenza comune nei confronti della minaccia alla sicurezza informatica, intesa a livello comunitario.
Regolamento DORA: la governance end-to-end della cyber resilienza
Uno dei principali punti di merito del regolamento DORA risiede nell’aver portato ordine e sintesi ad un quadro di norme, regolamenti e misure piuttosto esteso e frammentato, come quello del mondo finanziario, da sempre tra i più normati in assoluto. A livello di contenuti, la lettura del regolamento DORA non offre particolari novità rispetto a direttive come la NIS 2, in fatto di sicurezza, e altri regolamenti come il GDPR, in materia di privacy dei dati.
La forza innovativa di DORA verte nella proposta di un approccio di governance end-to-end, capace di abbracciare in ogni fase tutte le funzioni aziendali, sulla base di una logica collaborativa che mira a rendere consapevoli tutti gli stakeholder di un obiettivo comune: rendere più robusti gli asset IT aziendali attraverso la formazione di una corretta igiene informatica.
Per raggiungere questo obiettivo, DORA stabilisce criteri che oltre agli enti soggetti ad obbligo, possono fungere da pratiche linee guida per qualsiasi organizzazione chiamata ad erogare servizi digitali. Dal canto loro, le EF dovrebbero quindi lavorare quanto prima sulla formazione di un modello di governance concentrato sugli aspetti di cyber resilienza, capace di includere le componenti tecniche e organizzative in una logica di processo.
Tale approccio andrebbe opportunamente finalizzato nell’ottica di utilizzare le moderne piattaforme digitali per superare definitivamente la logica a silos che ha tradizionalmente distinto i confini di responsabilità delle singole linee di business. Da questo punto di vista, è semplice intuire come la cyber resilienza debba essere intesa quale un valore ben più ampio di una semplice conformità normativa, costituendo l’occasione per tradurre concretamente una efficace strategia di trasformazione digitale.
LEGGI ANCHE: Nis 2 cos’è, quando entra in vigore: tutto quello che serve sapere
Come ottenere la compliance al regolamento DORA
Entro il 17 gennaio 2025, come accennato in sede di premessa, le entità finanziarie e i provider di servizi IT dovranno risultare conformi ai disposti del regolamento DORA. Il raggiungimento della compliance passa attraverso tre fasi fondamentali: la valutazione dell’attuale livello di conformità, la redazione di un modello di governance e la roadmap di implementazione delle misure tecniche e organizzative utili ad ottenere la conformità a DORA.
Valutazione del livello di conformità attuale
La valutazione dell’attuale livello di conformità al regolamento DORA va effettuata in riferimento ai RTS (regulatory technical standards) e ai ITS (implementing technical standards), nel momento in cui scriviamo in fase di open public consultation, in attesa della versione definitiva, la cui pubblicazione è prevista entro il mese di luglio 2024. La logica con cui condurre le fasi di assessment andrebbe strutturata sulla base dei cinque pillar di DORA: gestione rischio IT, gestione incidenti IT, test di resilienza operativa, gestione rischio IT terze parti e intelligence incidenti IT.
Sulla base dei report analitici, le EF dovranno stabilire in qualche misura i loro asset IT risultano conformi a DORA, valutando contestualmente le misure di remediation utili ad ottenere la piena conformità, pesando opportunamente gli aspetti prioritari su cui intervenire.
Modello di governance end-to-end
La redazione di un modello di governance appare fondamentale per stabilire le relazioni e le interazioni che concorrono alla definizione di una efficace strategia di cyber resilienza, nella logica di un processo basato sul miglioramento continuo.
È dunque auspicabile disegnare una mappa delle relazioni tra le varie linee di business impegnate nel garantire la corretta e continua erogazione dei servizi fondamentali delle entità finanziarie. Anche in questo caso, è utile produrre una valutazione dello stato attuale in previsione di una fase di remediation, utile a facilitare il raggiungimento della compliance al regolamento DORA.
Roadmap di implementazione
Nel mettere in pratica le misure necessarie ai fini di ottenere un adeguato livello di conformità al regolamento DORA, le EF devono tenere in conto di una scala di priorità, considerando la validità di un provvedimento fissata per il 17 gennaio 2025, che prevede pochi mesi di lavoro, a fronte di interventi spesso importanti per sanare i gap in termini di requisiti rilevati nella fase di assessment. La definizione delle priorità in merito alle azioni di remediation stabilisce un ordine di esecuzione funzionale a tempi, costi e benefici sulla base dell’effettiva rilevanza di ogni processo nei termini disposti dal regolamento DORA.
Rischio cyber e terze parti: un nodo critico
La tendenza dei cybercriminali è sempre stata quella di cercare l’anello debole di una filiera informatica, in modo da poterla colpire con elevate probabilità di successo. La naturale complessità che si innesca quando entrano in gioco provider di servizi di terze parti agevola l’emergere di vulnerabilità, potenzialmente critiche in funzione delle minacce provenienti dalla rete.
Il rapporto ENISA: “Good Practices for supply chain cybersecurity” (giugno 2023) mediante i dati ottenuti da studi indipendenti, metteva in evidenza come le organizzazioni vittime di un attacco, possono imputarlo a terze parti fino al 62% dei casi in cui si verifica un incidente. Di queste, secondo una ricerca di Gartner, emerge che l’82% dichiara di aver subito danni tangibili.
La criticità delle lacune di sicurezza imputabili al rapporto con terze parti emerge anche nel report di CSA (Cloud Security Alliance): “The State of Security Remediation 2024”, quando soltanto il 23% delle aziende intervistate dichiara di avere un adeguato livello di visibilità sui loro ambienti IT, in particolare per quelli in cloud.
A prescindere dalle prescrizioni di DORA, l’attenta verifica dei cloud service provider dovrebbe costituire una priorità nell’agenda di qualsiasi organizzazione impegnata nel suo percorso di trasformazione digitale.
La selezione dei provider di servizi
Il regolamento DORA, attraverso lo standard tecnico di regolamentazione (RTS) descrive i criteri di selezione, contrattualizzazione e gestione dei fornitori di servizi IT critici, con particolare riferimento ai cloud service provider e ai fattori legati al rischio IT. Si tratta di una disciplina complessa ed onerosa che richiede competenze approfondite, oltre alla disponibilità a collaborare dei provider stessi.
Lo standard RTS riporta un titolo che lascia poco spazio ai dubbi: “Specificare il contenuto dettagliato della politica relativa agli accordi contrattuali sull’uso dei servizi ICT che supportano funzioni critiche o importanti fornite da terzi service provider ICT, come prescritto dal Regolamento (UE) 2022/2554” (regolamento DORA).
Vediamo quali sono i principali aspetti da considerare quando si tratta di valutare e monitorare nel tempo i fornitori di terze parti, con particolare attenzione per quanto riguarda gli aspetti legati alla cyber resilienza.
Valutazione iniziale e monitoraggio continuo dei fornitori di servizi
Il regolamento DORA impone alle EF un approccio proattivo nei confronti dei loro provider di servizi. Oltre alla valutazione iniziale, è infatti precisato l’obbligo di un monitoraggio continuo, che si traduce, tra le altre cose, nell’esecuzione di test di resilienza per accertare adeguati livelli di sicurezza nei sistemi dei fornitori di servizi, oltre a verificare la loro capacità di rispondere con successo ad eventuali incidenti.
Secondo le disposizioni del regolamento DORA, i test di resilienza delle terze parti dovrebbero comprendere almeno le seguenti operazioni, da misurarsi sulla base dell’effettiva criticità e rilevanza costituita dal servizio oggetto di un contratto con un fornitore di terze parti:
- Valutazione e scansione delle vulnerabilità
- Open source intelligence (OSINT) attraverso le fonti disponibili su internet
- Valutazioni della sicurezza delle reti
- Gap analysis sullo stato di applicazione delle misure di sicurezza
- Valutazione della sicurezza fisica
- Questionari e richiesta di certificazioni
- Analisi del codice sorgente delle eventuali applicazioni utilizzate, se necessario
- Test di scenario, test di compatibilità, test di prestazione e test end-to-end.
- Penetration test, secondo i criteri definiti dal TIBER-EU, framework europeo di ethical hacking.
Il regolamento DORA impone inoltre alle EF di richiedere ai fornitori che anche gli eventuali sub-fornitori rispettino le stesse condizioni contrattualizzate, allargando il quadro dell’assessment e del monitoraggio anche alle quarte e alle quinte parti, nella direzione di responsabilizzare l’intera filiera dei servizi, secondo le intenzioni più volte manifestate dal legislatore europeo.
Creare un processo di selezione e valutazione dei fornitori
Secondo quanto finora espresso, un processo di selezione a valutazione dei provider di servizi dovrebbe essere strutturato su una serie di step fondamentali a partire dalla mappatura e profilazione dei fornitori, per definire un invio ragionato dei questionari sulla sicurezza IT. Un ulteriore passaggio potrebbe essere costituito dall’analisi della superficie d’attacco, per condurre infine una correlazione con i risultati ottenuti tramite i questionari, utili ad accertare la coerenza delle informazioni oggetto di verifica.
Questionari sulla sicurezza
Esistono vari modelli di questionario utili a verificare i requisiti di sicurezza e cyber resilienza dei provider di servizi, come il celebre CAIQ (Consensus Assesment Initiative Questionnaire), specifico per gli ambienti cloud e realizzato dalla Cloud Service Alliance (CSA). Il questionario CAIQ, nella sua versione di base, viene continuamente aggiornato sulla base delle nuove evidenze tecnologiche, normative e organizzative che intervengono nel tempo, e prevedere 133 obiettivi di controllo, distribuiti in 16 aree tematiche.
La compilazione del questionario comporta un impegno importante per un fornitore che svolge in maniera corretta e responsabile la procedura di risposta e può richiedere un dialogo tra le parti e l’esecuzione di particolari test e audit da cui produrre adeguate relazioni di accertamento, almeno nella prospettiva di soddisfare i requisiti del DORA.
Analisi e test dei provider
Altre attività utili ad ottenere informazioni sul livello di cyber resilienza di un fornitore di servizi IT sono il penetration test, svolto da hacker etici per ricercare eventuali vulnerabilità nei sistemi, secondo quanto previsto dal già citato framework TIBER-EU.
L’analisi di una superficie d’attacco può prendere ad esempio in considerazione:
- Infrastruttura IT e di rete
- Applicazioni web
- Fattore Umano
In merito all’ultimo punto viene solitamente svolta una analisi del digital footprint, verificando la presenza e il comportamento nei social network dei dipendenti dell’organizzazione, la scansione di eventuali credenziali di autenticazione compromesse, diffuse liberamente nella rete o rese disponibili per l’acquisto nel famigerato dark web.
Correlazione dei risultati, valutazione e monitoraggio continuo
Dopo aver svolto tutte le analisi utili a procedere con la valutazione del rischio è possibile correlare i risultati e riassumerli per avere una comprensione globale del problema, utile a selezionare o scartare il provider e a suggerire eventuali attività di mitigazione, almeno per quanto concerne gli aspetti presi in esame durante le varie fasi di assessment.
Come precisato, DORA non ammette l’esecuzione di una procedura valutativa una tantum, ma impone una concreta attività di monitoraggio continuo, che potrà essere svolta avvalendosi di piattaforme TPCRM (Third Party Cyber Risk Management), che consentono di automatizzare le procedure necessarie in fase di auditing e testing del provider di servizi, ai fini di accertare il mantenimento delle condizioni contrattualizzate a fronte delle continue novità tecnologiche, sia a livello di offerta che di minacce provenienti dalla rete.
Implicazioni sulla privacy nella valutazione delle terze parti
DORA si ricollega nei disposti ad altri strumenti normativi dell’Unione, tra cui il GDPR, con cui presenta interessanti analogie, a partire dalla comune natura di regolamento.
Un nodo critico dell’attività di dovuta diligenza è costituito dalla conduzione delle verifiche richieste nel rispetto della privacy del provider. La risposta arriva direttamente dal Regolamento EU 2016/679 GDPR (General Data Protection Regulation), che stabilisce come, data la natura dei loro servizi, le EF abbiano le basi giuridiche per operare secondo la necessità di trattamento per compiti di interesse pubblico.
Come già citato, gli auditor chiamati a svolgere le verifiche richieste da DORA si ritrovano in una condizione per certi versi un po’ paradossale, dovendo operare in sede pre-contrattuale, secondo le disposizioni dell’art. 28.4.d del Regolamento.
Fortunatamente le indagini OSINT consentono di ottenere buona parte delle informazioni necessarie, e i provider stessi, oltre a rispondere ai questionari che vengono loro sottoposti, mettono in primis a disposizione una serie di risorse per facilitare il lavoro degli auditor, oltre ad una serie di certificazioni utili ad accelerare la procedura di assessment che precede la contrattualizzazione del servizio con le entità finanziarie.
Uno dei punti di maggior complessità rimane la visibilità sull’intera filiera, quando il provider di riferimento si avvale a sua volta di altri fornitori di servizi, che potrebbero manifestare elementi di vulnerabilità di non semplice individuazione. Fondamentale, anche in questo caso, rimane la trasparenza e l’efficienza dei provider nel condurre a loro volta una serie di verifiche conformi alle richieste di DORA nei confronti dei loro provider.
