CHE COS'È
Il
Digital Operational Resilience Act, o DORA , è il
Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla
resilienza operativa digitale per il settore finanziario.
Il Regolamento modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (Testo rilevante ai fini del SEE).
Il Regolamento DORA, entrato in vigore il 16 gennaio 2023,
stabilisce una serie di requisiti vincolanti e completi relativi
alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) che le
entità finanziarie e i loro fornitori critici devono implementare nei propri sistemi ICT
entro il 17 gennaio 2025.
Le autorità di vigilanza europee (ESA), ossia l'Autorità Bancaria Europea (EBA), l'Autorità Europea degli Strumenti Finanziari e dei Mercati (ESMA) e l'Autorità Europea delle Assicurazioni e delle Pensioni Aziendali e Professionali (EIOPA) hanno definito nel dettaglio gli
standard tecnici (RTS e ITS) rispettivamente Regulatory Standards e Implementing Standards. Come CSQA può aiutare la tua azienda ad adeguarsi al Regolamento DORA?
- FORMAZIONE RIVOLTA AL TOP MANAGEMENT
- La formazione di CSQA si rivolge nella fase iniziale al Top Management con l’obiettivo di:
- fornire una comprensione completa del Regolamento Dora e dei suoi impatti sulla cybersecurity, delle organizzazioni finanziarie,
- creare consapevolezza riguardo le responsabilità in capo al management (accountability),
- comprendere la portata del regolamento, valutare il suo impatto sulle operazioni delle organizzazioni finanziarie e implementare strategie efficaci per garantire la conformità,
- conoscere le eventuali sanzioni applicabili in caso di non ottemperanza.
- GAP ANALYSIS
- Attraverso l’utilizzo di una check-list appositamente progettata, CSQA definisce il livello di compliance dell’organizzazione rispetto alle seguenti norme di riferimento:
- Regolamento Dora,
- RTS e ITS di attuazione del regolamento DORA,
- ISO 27001:2022 e ISO 22301.
- Lo svolgimento dell’attività prevede:
- la verifica della documentazione esistente e dell'adeguatezza e dell'efficienza delle policy cyber adottate dall’organizzazione finanziaria cliente,
- interviste al personale coinvolto su aspetti sia organizzativi che tecnologici,
- identificazione del posizionamento cybersecurity dell’organizzazione finanziarie cliente,
- Identificazione delle eventuali esclusioni ammissibili da documentare,
- individuazione dei gap da risolvere a fronte di eventuali criticità e non conformità.
- Deliverables:
- rapporto del livello di adeguatezza dei requisiti normativi e dei controlli di sicurezza,
- elenco delle aree di adeguamento e miglioramento.
- PIANO DI RIENTRO: ANALISI DEI RISCHI, POLICY E PROCEDURE , CONTROMISURE TECNOLOGICHE
- L’organizzazione finanziaria cliente, sulla base dei GAP evidenziati da CSQA, definisce un piano di rientro per poter mitigare gli stessi.
- GAP ANALYSIS FOLLOW UP
- Una volta attuate tutte le contromisure da parte dell’organizzazione finanziaria cliente, CSQA svolge un attività di Follow UP rispetto ai GAP evidenziati nella prima fase e restituisce un report evidenziando la nuova postura di Cybersecurity dell’organizzazione finanziaria cliente.
Deliverables: rapporto del livello dello stato di adeguatezza delle azioni di miglioramento implementate.
- FORMAZIONE CYBER A TUTTO IL PERSONALE
- Se nella prima fase la formazione di CSQA è rivolta al Top Management e ai primi livelli, nella seconda fase la formazione è indirizzata a tutto il personale con l’obiettivo di fornire ai partecipanti competenze pratiche per valutare e affrontare i rischi di cybersecurity a fronte di minacce nei confronti delle organizzazioni finanziarie, nonché dei fornitori terzi.
- MONITORAGGIO AUDIT INTERNI
- L’organizzazione finanziaria cliente svolge in autonomia un monitoraggio sui processi e procedure implementate e attuate alle parti interessate.
- VERIFICA DELLA SICUREZZA CYBER DELLA SUPPLY CHAIN
- La strategia nazionale per la cybersicurezza delle organizzazioni finanziarie prevede la verifica della sicurezza informatica dei fornitori terzi utilizzati per l’approvvigionamento dei prodotti e dei servizi TIC. CSQA svolge audit di II parte con l'obiettivo di verificare che il fornitore:
- rispetti i requisiti di cybersecurity stabiliti nel contratto,
- definisca i requisiti per la sicurezza delle informazioni,
- assicuri la protezione degli asset dell’organizzazione accessibili,
- formalizzi documenti contrattuali nei quali siano riportati i requisiti di sicurezza richiesta.
- CSQA svolge sia la verifica della documentazione contrattuale esistente, eseguendo un’ispezione documentale, sia un audit in campo presso i fornitori che prevede anche interviste al personale coinvolto con l’obiettivo di verificare il rispetto delle policy cyber definite dal committente in fase contrattuale. L'output delle attività di ispezione evidenzierà il livello di conformità del fornitore rispetto al contratto stipulato e il rispetto delle policy e procedure cyber condivise alla stipula del contratto.
- RILASCIO DELLE CERTIFICAZIONI ISO 27001 E ISO 22301
- CSQA raccomanda l’importanza delle certificazioni secondo i due standard ISO/IEC 27001 e ISO 22301 , che, oltre a facilitare il rispetto del regolamento DORA, più in generale per le organizzazioni finanziarie clienti rappresentano un framework a disposizione per fronteggiare e soprattutto prevenire i rischi cyber in continua evoluzione.
Le certificazioni ISO 27001 e ISO 22301 non sono obbligatorie ma rappresentano una prova tangibile di compliance in termini di adeguatezza delle misure tecniche ed organizzative adottate in un’ottica di resilienza informatica.
Verifica se il Regolamento DORA si applica alla tua organizzazione
RICHIEDI GRATUITAMENTE
