Regolamento DORA: tempi, contenuti e implicazioni di cybersecurity. 7Layers in prima fila

A cura di:Redazione Ore

Da tempo, l’evoluzione delle minacce informatiche occupa una posizione primaria nelle agende di governi e organizzazioni internazionali, portando ad una crescente produzione legislativa in materia, intesa a creare un contesto omogeneo e un ambiente affidabile per operatori e investimenti.

In particolare, le istituzioni europee negli ultimi anni si sono spese per l’adozione di normative avanzate a protezione di dati, infrastrutture e cittadini dell’Unione Europea, perseguendo la duplice finalità di uniformare le regole per chi opera in UE e innalzare il livello complessivo della sicurezza di reti e sistemi a salvaguardia di informazioni e servizi.

In tale contesto, tra le principali novità normative in via di applicazione vi è sicuramente il Digital Operational Resilience Act, più noto con la sigla DORA.

Origini e scopi del Regolamento DORA

Il DORA è stato pubblicato sulla Gazzetta Ufficiale dell’UE il 27 dicembre 2022 come Regolamento Europeo 2022/2554 relativo alla resilienza operativa digitale per il sistema finanziario. In quanto Regolamento, il DORA è da considerarsi in vigore in tutti gli stati membri dell’UE dal 17 gennaio 2023 e risulterà pienamente applicabile a partire dal 17 gennaio 2025. Ne deriva che i soggetti coinvolti hanno a disposizione ancora qualche mese per adeguarsi a una cornice giuridica vincolante circa la gestione del rischio informatico e la capacità di fronteggiare incidenti, che potrebbero compromettere reti e sistemi, a discapito della sicurezza delle informazioni e dell’erogazione dei servizi finanziari.

Del resto, nelle intenzioni del legislatore comunitario, la nuova normativa “accresce il livello di armonizzazione delle varie componenti della resilienza digitale” e “introduce requisiti in materia di gestione dei rischi informatici e segnalazione di incidenti connessi alle TIC più rigorosi rispetto a quelli contenuti nell’attuale normativa dell’Unione”, così migliorando la resilienza operativa e la sicurezza delle organizzazioni finanziarie.

In tale quadro, la regolamentazione da un lato deve rivolgersi a una maggiore varietà di soggetti attivi sui mercati finanziari, mentre dall’altro è tenuta a considerare nuove tipologie di Threat Actor e strumenti sempre più sofisticati a loro disposizione, senza trascurare l’estensione della superficie di attacco legata al frequente ricorso a fornitori di servizi ICT a supporto delle funzioni essenziali e importanti erogate dai soggetti a perimetro.

DORA e NIS2

Il DORA non è l’unica norma in materia di cybersecurity a livello europeo. Nei Considerando del Regolamento viene infatti richiama la Direttiva UE 2016/1148, già dedicata a stabilire criteri minimi di cybersicurezza per gli operatori di servizi essenziali, abrogata dalla più recente 2022/2555 (nota come NIS2), che ne amplia il perimetro di applicazione.

L’intersezione fra le prescrizioni del Regolamento DORA e le indicazioni della direttiva NIS2 è certamente significativa: la governance e la centralità della gestione del rischio e degli incidenti informatici ne costituiscono forse gli esempi più evidenti.

Tuttavia, il DORA prevede requisiti più rigorosi per le entità finanziarie ed è pertanto da considerarsi lex specialis rispetto alla direttiva (UE) 2022/2555 (cfr. Considerando 15-16 del Regolamento) e quindi su di essa prevalente laddove applicabile.

Chi è interessato dal Digital Operational Resilience Act?

Se la direttiva del 2016 si rivolgeva a tre sole tipologie di entità finanziarie (enti creditizi, sedi di negoziazione e controparti centrali), il DORA amplia notevolmente la platea dei propri destinatari.

Vi rientrano infatti, accanto alle istituzioni finanziarie “tradizionali” – come le banche o le società di investimento – anche realtà emerse solo da pochi anni, quali i gestori di piattaforme di crowdfunding o i vari attori del mondo delle criptovalute.

Un’ulteriore innovazione è rappresentata dal coinvolgimento, diretto o indiretto, di quelle terze parti che, pur non essendo strettamente del settore, rivestono un ruolo rilevante nella catena di valore dei mercati finanziari: tra questi, a mero titolo di esempio, citiamo i fornitori di servizi Cloud nonché le aziende che svolgono attività di Data Analytics o di rating che, qualora identificate come fornitori terzi critici, potranno essere sottoposti alla supervisione delle autorità di vigilanza.

Le prescrizioni del Regolamento DORA

A tutte le entità che rientrano nel suo campo di applicazione il DORA richiede innanzitutto di:

  • definire un’organizzazione interna che preveda un quadro di governance della sicurezza informatica, in grado di garantire una gestione efficace dei rischi, l’approvazione di contromisure e controlli adeguati, nonché la loro effettiva applicazione
  • pianificare la gestione dei rischi per tecnologie e servizi ICT, mediante l’adozione di un framework di risk management a supporto della definizione di una strategia di resilienza digitale, che garantisca la continuità operativa e una adeguata capacità di affrontare scenari di crisi
  • classificare gli incidenti, ivi inclusi gli incidenti correlati ai fornitori terzi di servizi ICT, e le minacce che potrebbero insidiare la sicurezza informatica dell’entità finanziaria
  • predisposizione di un sistema di segnalazione degli incidenti informatici, dal monitoraggio alla comunicazione, laddove previsto, alle autorità competenti e agli stakeholder potenzialmente coinvolti: si rendono necessari piani per la gestione degli incidenti (IRP) per contenerne l’impatto e accelerare il ripristino dei servizi coinvolti.
  • pianificare lo svolgimento di Threat Lead Penetration Test (TLPT) mirati a valutare, con frequenza almeno triennale, la resilienza delle infrastrutture informatiche rispetto al mutato panorama delle minacce
  • gestire i rischi informatici correlati a fornitori, mediante l’identificazione di servizi e processi che prevedano il coinvolgimento di soggetti terzi e la conseguente definizione di clausole contrattuali, che garantiscano un livello di sicurezza adeguato e strumenti di monitoraggio dei servizi forniti.

I requisiti del Regolamento implicano pertanto la necessità di:

  • ricorrere a framework di sicurezza di riconosciuta affidabilità ed efficacia (es. ISO/IEC 27001) per garantire un approccio sistemico e coerente alla gestione della sicurezza delle informazioni
  • adottare configurazioni sicure per i sistemi e le reti, facendo riferimento alle best practice internazionali (in particolare a quelle del NIST);
  • valutare la criticità dei componenti ICT e documentare le dipendenze esistenti a livello di sistemi, processi e third party provider (TPP), prevedendo adeguate misure a protezione degli asset più critici.

Si impone altresì l’adozione di robusti framework di gestione dei rischi ICT, che includano:

  • l’uso di metodologie avanzate per identificare e valutare i rischi, come l’analisi delle minacce (threat modeling) e la periodica valutazione delle vulnerabilità (vulnerability assessment)
  • il ricorso a strumenti di controllo e mitigazione delle minacce quali firewall avanzati, sistemi di prevenzione delle intrusioni (IPS) o soluzioni di crittografia end-to-end
  • l’implementazione di sistemi di monitoraggio continuo per rilevare e rispondere tempestivamente a comportamenti anomali e potenziali incidenti di sicurezza.

Il DORA richiede poi che le organizzazioni prevedano piani dettagliati di continuità operativa che comporteranno:

  • l’esecuzione di Business Impact Analysis (BIA) per identificare le funzioni critiche e determinare l’impatto di possibili interruzioni operative
  • lo sviluppo di piani di recupero dettagliati che comprendano il backup dei dati, il ripristino dei sistemi (Disaster Recovery) e le procedure di failover
  • lo svolgimento di regolari test sui piani e protocolli così definiti, per assicurarne l’efficacia e garantirne il loro costante aggiornamento.

Il Regolamento enfatizza l’importanza del monitoraggio continuo e della capacità di rispondere rapidamente agli eventuali incidenti informatici. Tali requisiti sono attuabili tramite:

  • l’utilizzo di Security Information and Event Management (SIEM) per aggregare e analizzare i log di sicurezza, fornendo visibilità in tempo reale su tutti gli eventi rilevanti;
  • l’integrazione di feed di intelligence sulle minacce per migliorare la capacità di rilevamento e risposta agli attacchi emergenti;
  • l’adozione di soluzioni di Security Orchestration, Automation and Response (SOAR) per ridurre drasticamente i tempi di reazione agli incidenti.

Infine, non può essere trascurato l’aspetto documentale: il Regolamento richiede alle entità finanziarie di definire dettagliate politiche di sicurezza e procedure operative standard (SOP) per la gestione del rischio informatico.

RTS, ITS e regolamenti delegati

Il DORA affida alle autorità europee di vigilanza (le AEV: EBA, ESMA, EIOPA) la definizione di norme tecniche di regolamentazione (RTS) e di attuazione (ITS) che contengano indicazioni puntuali riguardo gli aspetti più rilevanti e delicati. Le norme che ne derivano sono adottate dall’UE mediante atti (o regolamenti) delegati della Commissione Europea.

Al riguardo citiamo:

  • il regolamento delegato (UE) 2024/1772, che sancisce i criteri primari e secondari da adottare per la classificazione degli incidenti informatici sulla base dei servizi impattati, del profilo dei clienti coinvolti, della perdita di dati, nonché dell’impatto reputazionale, economico e dell’ambito geografico. Il regolamento stabilisce per ogni criterio una soglia intesa a supportare l’individuazione degli incidenti da considerarsi gravi e, dunque, da notificare alle autorità di settore
  • il Regolamento delegato (UE) 2024/1773, che riporta i principi che dovranno comparire nelle politiche di gestione dei contratti per l’acquisizione di servizi ICT da terze parti a supporto di funzioni essenziali e importanti dell’Entità Finanziaria. Tali politiche dovranno definire ruoli e responsabilità nell’ambito dell’organizzazione e garantire la definizione di clausole che consentano di stabilire il livello dei servizi forniti dalla terza parte, il rapporto con eventuali sub-fornitori, i requisiti di sicurezza delle informazioni, i diritti di audit e le strategie di uscita a cui poter ricorrere.
  • Il Regolamento delegato (UE) 2024/1774, che delinea le politiche di risk management per l’identificazione e la valutazione dei rischi a cui sono esposti tecnologie e servizi ICT, al fine di individuare e attuare le misure di sicurezza tecniche e organizzative necessarie, quali politiche per la gestione delle chiavi crittografiche, vulnerability management, asset management, politiche per la gestione degli ambienti di produzione, testing e sviluppo, politiche per l’acquisizione e sviluppo di applicazioni software da integrare con i sistemi ICT dell’Entità Finanziaria.

Il set di atti delegati non è ancora da considerarsi completo: altri ne sono attesi entro la fine del 2024.

“Il DORA – secondo Guido Arrigoni, Cybersecurity compliance manager di 7Layers – è da considerarsi una normativa in divenire e, come tale, richiede una verifica costante delle sue evoluzioni unitamente a una valutazione delle indicazioni fornite dalle autorità di settore, sia a livello europeo sia a livello nazionale”.

Il ruolo dei fornitori di servizi ICT

Come accennato, il DORA presenta implicazioni non trascurabili per i fornitori di servizi ICT a supporto dell’attività delle Entità Finanziarie incluse nel perimetro di applicazione del Regolamento, che dovranno redigere un registro dei contratti stipulati con i TPP (cfr. DORA, art. 23). Coerentemente con le prescrizioni del Regolamento, i requisiti in capo alle Entità Finanziarie si tradurranno in clausole a cui i fornitori dovranno essere capaci di rispondere esprimendo una security posture tale da soddisfare le esigenze dei propri clienti.

I fornitori più rilevanti potranno essere classificati come critici dalle autorità di vigilanza europee sulla base dei criteri indicati dall’art. 31 del Regolamento e dettagliati dal Discussion Paper pubblicato dalle AEV, per stabilire il percorso che porterà a identificare i CTPP (Critical Third Party Provider) sulla base della continuità, della qualità dei servizi forniti e del possibile impatto sistemico che potrebbe derivare da un eventuale incidente che comprometta la sicurezza del fornitore.

DORA: implicazioni per la Cyber Security

L’implementazione del Regolamento DORA richiede senz’altro risorse significative, che andranno indirizzate verso:

  • investimenti in tecnologie avanzate di sicurezza, come sistemi di rilevamento delle intrusioni (IDS), soluzioni di crittografia e strumenti di monitoraggio continuo;
  • formazione continua del personale sulle migliori pratiche di cybersecurity e la gestione dei rischi ICT;
  • definizione di una chiara governance della sicurezza informatica, che individui ruoli e responsabilità legati alla gestione degli incidenti nonché ai relativi obblighi di documentazione e reportistica di eventuali incidenti.

Conclusioni

Oltre a garantire la necessaria compliance, l’adeguamento alle nuove regole porterà maggiore trasparenza, responsabilità e innovazione presso le aziende e gli enti interessati, uniformando i livelli di resilienza digitale dei servizi finanziari sul mercato europeo.

Sebbene l’implementazione del DORA possa presentare delle sfide, è prevedibile che nel lungo termine i costi siano compensati dall’accresciuto valore derivante dalla maggiore affidabilità e sicurezza garantite ai propri clienti e dalla capacità di affrontare scenari in grado di arrivare a compromettere l’intero mercato finanziario europeo se non adeguatamente gestiti.

Condividi sui Social Network:

Articoli simili

Effetti DOMINO nelle infrastrutture critiche: analisi delle interdipendenze

Effetti DOMINO nelle infrastrutture critiche: analisi delle interdipendenze

A cura di:Redazione Ore Pubblicato il

Lo studio esamina le interdipendenze tra infrastrutture critiche e gli effetti domino causati da interruzioni di servizio. Utilizzando il software DOMINO, vengono analizzati gli impatti su energia, ICT e trasporti. La ricerca evidenzia come un guasto in un settore possa rapidamente propagarsi, compromettendo servizi essenziali e la sicurezza nazionale. Particolare attenzione è rivolta alle conseguenze…

Peculiarità delle perquisizioni dirette alla ricerca di evidenze informatiche. L’individuazione.

Peculiarità delle perquisizioni dirette alla ricerca di evidenze informatiche. L’individuazione.

A cura di:Pier Luca Toselli Ore Pubblicato il

Vorrei dare inizio alla redazione di una serie di articoli dedicati alle peculiarità delle perquisizioni dirette alla ricerca di evidenze informatiche. Anche se molti tratti le accomunano a quelle tradizionali quelle cosiddette informatiche presentano diverse caratteristiche di cui l’operatore dovrebbe tener conto o che quantomeno dovrebbero costituire un momento di particolare attenzione e valutazione nella…

Se la Mela si baca: sicurezza, forensic e di tutto quello che non c’è nell’ordinanza del giudice federale di Los Angeles

Se la Mela si baca: sicurezza, forensic e di tutto quello che non c’è nell’ordinanza del giudice federale di Los Angeles

A cura di:Paolo Dal Checco Ore Pubblicato il

La controversia Apple-FBI sul caso San Bernardino solleva questioni cruciali su sicurezza iOS, privacy smartphone e digital forensics. L’FBI richiede ad Apple di sviluppare un firmware speciale per sbloccare l’iPhone di un terrorista, ma l’azienda resiste citando preoccupazioni etiche e di sicurezza. Il dibattito si estende alle implicazioni legali e all’importanza della metodologia forense nelle…

L’hacking è un percorso, non una destinazione

L’hacking è un percorso, non una destinazione

A cura di:Massimiliano Brolli Ore Pubblicato il

La parola Hacking deriva dal verbo inglese “to hack”, che significa “intaccare”. La storia dell’hacking inizia da molto lontano, nei sotterranei dell’edificio 26 del MIT (Massachusetts Institute of Technology), precisamente nel 1958 presso il Tech Model Railroad Club, da appassionati di modellismo ferroviario. Il club gestiva una sofisticatissima ferrovia in miniatura, ed era drasticamente diviso…

Le nostre reti IoT casalinghe sono sicure?

Le nostre reti IoT casalinghe sono sicure?

A cura di:Francesco Santini Ore Pubblicato il

Con l’incremento sempre più importante della domotica nelle nostre case [1], il numero dei piccoli – e non così piccoli – dispositivi connessi in rete all’interno delle nostre abitazioni sta crescendo sempre di più. Il loro scopo è, attraverso l’utilizzo di tecnologie per lo più wireless, quello di migliorare la qualità della vita, ottimizzare le…

Procedure di gara o istanze telematiche alla P.A.: problemi informatici o di malfunzionamento delle piattaforme online. Che fare e chi risponde?

Procedure di gara o istanze telematiche alla P.A.: problemi informatici o di malfunzionamento delle piattaforme online. Che fare e chi risponde?

A cura di:Maurizio Lucca Ore Pubblicato il

L’utilizzo di una piattaforma informatica per la partecipazione ad un procedimento di gara pubblica o, più in generale, per la formulazione di una richiesta alla P.A. mediante una specifica procedura on line, deve garantire e assolvere, da una parte, la sicurezza della trasmissione/trattamento dei dati, delle procedure e l’individuazione certa dell’offerente/richiedente; dall’altra, le eventuali anomalie…