Summary
1. La Normativa DORA
Il Digital Operational Resilience Act (DORA) è la normativa dell'Unione Europea progettata per accelerare le capacità di resilienza cibernetica delle istituzioni finanziarie.
L'obiettivo principale del DORA è prevenire e mitigare le minacce informatiche e garantire che le entità finanziarie possano resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate all'ICT.
Entro il 17 gennaio 2025, gli Stati membri dell'UE saranno tenuti a conformarsi a questa legge, che impone alle organizzazioni dei servizi finanziari di potenziare la loro risposta alle interruzioni operative, concentrando maggiormente l'attenzione sulla resilienza e il recupero rispetto agli approcci tradizionali di individuazione e protezione.
La normativa stabilisce requisiti uniformi per la sicurezza dei sistemi di rete e informazione che sostengono i processi aziendali delle entità finanziarie. Questi requisiti includono la gestione del rischio ICT, la gestione degli incidenti legati all'ICT, la classificazione e la segnalazione, i test di resilienza operativa digitale, la condivisione di informazioni e intelligence sulle minacce informatiche e vulnerabilità, oltre a misure per la gestione del rischio associato ai fornitori di servizi ICT di terze parti.
2. A chi si applica
La portata del Regolamento DORA è estremamente ampia e coinvolge quasi tutti gli operatori del settore finanziario.
Le istituzioni finanziarie interessate, comprese banche, compagnie assicurative, società di investimento, scambi di criptovalute e piattaforme di trading, insieme ad altre organizzazioni che forniscono loro servizi critici, dovranno adeguarsi alla normativa per evitare multe che potrebbero raggiungere fino al 2% del loro fatturato annuo totale. L'importo delle multe dipenderà dalla gravità delle violazioni e dalla cooperazione dell'entità finanziaria con le autorità di regolamentazione.
3. I 5 pilastri del regolamento DORA
Le società finanziarie dell'UE sono tenute a conformarsi ai nuovi requisiti indicati secondo i seguenti cinque pilastri.
1. Gestione del rischio ICT:
Il quadro normativo DORA impone ai vertici aziendali la responsabilità di sovrintendere alla gestione delle tecnologie dell'informazione e della comunicazione (ICT), definendo adeguate strategie di gestione del rischio e garantendone l’effettiva implementazione, nonchè l’aggiornamento.
Le organizzazioni interessate sono tenute a sviluppare un framework di gestione del rischio ICT che assicuri la mappatura dei sistemi informatici, l'identificazione e la classificazione degli asset critici e la documentazione delle interdipendenze tra risorse, sistemi, processi e fornitori.
È imperativo per queste organizzazioni condurre regolari valutazioni dei rischi ICT, segnalare e categorizzare le minacce alla sicurezza informatica e delineare strategie per arginare i rischi identificati. Parte fondamentale di questo processo include l'analisi dell'impatto che specifici scenari di rischio e interruzioni potrebbero avere sulle operazioni aziendali, consentendo di stabilire livelli di rischio bassi e di adeguare di conseguenza l'infrastruttura ICT.
Parallelamente, è richiesto alle aziende di implementare robuste misure di sicurezza informatica, che comprendono protocolli per la gestione delle identità e degli accessi, l'aggiornamento costante dei software e l'integrazione di tecnologie all'avanguardia quali software XDR, sistemi SIEM e soluzioni SOAR.
Altrettanto cruciali sono lo sviluppo e l'attuazione di piani di business continuity e di ripristino post-disastro per affrontare una vasta gamma di rischi informatici, dai guasti tecnici e catastrofi naturali ai cyberattacchi. Questi piani devono includere strategie efficaci di backup e recupero dati, procedure per il ripristino operativo dei sistemi e canali di comunicazione efficaci con clienti, partner commerciali e autorità di regolamentazione.
-
Come Certego può aiutare:
La piattaforma PanOptikon è progettata come sistema unificato, per fornire un punto di controllo unico e sempre attivo sullo stato di sicurezza dei diversi ambienti IT e attivare procedure di Incident Response 24/7 in caso di eventuali anomalie riscontrate tramite le logiche di detection.
2. Reportistica degli incidenti ICT:
Le entità interessate sono chiamate ad adottare soluzioni in grado di monitorare, gestire, classificare e segnalare gli incidenti informatici. In base alla gravità dell’incidente, alle organizzazioni interessate potrebbe essere richiesto di informare sia le autorità normative che i clienti e i partner coinvolti.
Per gli eventi di maggiore rilevanza, sarà obbligatorio fornire tre tipi di documentazione:
Rapporto iniziale: subito dopo l'identificazione di un incidente significativo, deve essere inviato un rapporto iniziale alle autorità di vigilanza, fornendo dettagli preliminari sull'incidente.
Rapporto intermedio: a seconda dell'evoluzione dell'incidente e delle sue indagini, possono essere richiesti uno o più rapporti intermedi per aggiornare le autorità sulle misure di mitigazione adottate e sul progresso della risoluzione.
Rapporto finale: una volta risolto l'incidente, un rapporto finale deve essere presentato per analizzare le cause, le conseguenze, le misure di mitigazione adottate e le lezioni apprese. Questo rapporto può anche fornire raccomandazioni per prevenire la ricorrenza di incidenti simili.
I requisiti dettagliati di reportistica sotto la normativa DORA possono differire a seconda delle interpretazioni delle autorità nazionali e europee. Le entità devono quindi riferirsi alle regolamentazioni e alle linee guida specifiche vigenti per conformarsi pienamente agli obblighi di reportistica.
-
Come Certego può aiutare:
La piattaforma PanOptikon consente la gestione end-to-end di un incidente informatico, fornendo informazioni dettagliate e report personalizzati per tutte le fasi dell’incidente, quali rilevamento, analisi, contenimento e risposta.
3. Test di resilienza digitale
Le organizzazioni sono chiamate ad eseguire test periodici sui propri sistemi informatici per verificare l'efficacia delle misure di sicurezza e scoprire eventuali punti deboli. I risultati dei test svolti ed i piani adottati per affrontare eventuali debolezze di cybersecurity dovranno essere comunicati alle autorità competenti e da esse convalidati.
È prevista annualmente l'attuazione di test essenziali, come analisi di vulnerabilità e simulazioni basate su scenari specifici.
Le istituzioni finanziarie ritenute strategiche per il sistema finanziario dovranno inoltre sottoporsi ogni tre anni a test di intrusione che simulino attacchi informatici (TLPT), coinvolgendo anche i loro fornitori di servizi ICT critici.
Il framework richiesto dalla normativa DORA per lo svolgimento di questi test è il TIBER-EU (Threat Intelligence Based Etichal Red-Teaming) elaborato dalla BCE nel 2018 e che Consob, insieme con Banca d’Italia e IVASS, ha contribuito a tradurre in un corrispondente framework a livello nazionale, il TIBER-IT.
-
Come Certego può aiutare:
La piattaforma PanOptikon è in grado di evidenziare eventuali configurazioni errate e/o lacune nei controlli di sicurezza esistenti e contribuisce ad identificare sistemi operativi e software obsoleti. Inoltre, può essere utilizzata per supportare un programma di test di sicurezza fornendo visibilità sui modelli di traffico.
4. Rischio ICT di terze parti
Il regolamento DORA estende la sua portata non solo alle istituzioni finanziarie ma anche ai fornitori di servizi ICT che operano all'interno del settore finanziario.
Si sottolinea l'importanza per le istituzioni finanziarie di impegnarsi nella gestione dei rischi associati alle collaborazioni con terze parti nel settore ICT, soprattutto quando si tratta di affidare loro compiti critici.
La legislazione prevede che non si possano instaurare rapporti di lavoro con fornitori di servizi ICT che non rispettano determinati standard di sicurezza e qualità, con le autorità vigenti pronte a intervenire in caso di accordi non conformi.
Per quanto riguarda i fornitori di servizi ICT considerati fondamentali, questi saranno sottoposti a un controllo diretto da parte delle autorità di regolamentazione europee. La Commissione Europea è attualmente impegnata a definire i parametri che stabiliscono quali fornitori rientrino in questa categoria. A questi fornitori verrà assegnata un'autorità di vigilanza designata, incaricata di assicurare che aderiscano ai requisiti di DORA e di prevenire accordi con entità che non sono in linea con il regolamento.
-
Come Certego può aiutare:
La piattaforma PanOptikon può supportare il monitoraggio dei rischi di terze parti rilevando attività sospette o anomale che possono originare da una terza parte compromessa.
5. Condivisione delle informazioni
Il regolamento DORA richiede alle istituzioni finanziarie di implementare meccanismi di apprendimento dagli incidenti ICT, sia interni che esterni, promuovendo la partecipazione a iniziative di condivisione volontaria di informazioni su minacce informatiche. Le informazioni scambiate devono essere tutelate rispettando le normative pertinenti, inclusa la protezione dei dati personali secondo il GDPR.
-
Come Certego può aiutare:
Attraverso un quadro di visibilità unificata e al monitoraggio continuo dell’infrastruttura IT, la piattaforma PanOptikon consente alle organizzazioni di esportare e condividere dati relative alle minacce, quali ad esempio ransomware e indicatori di compromissione, con altre entità finanziarie fidate. La Threat Intelligence proprietaria di Certego consente inoltre di avere un quadro più approfondito in merito all’analisi delle minacce e delle vulnerabilità.
4. Certego
I servizi gestiti di Managed Detection & Response erogati da Certego si basano su un modello adattivo che, partendo dalle attività di Prevenzione, è in grado di gestire ogni fase di un incidente informatico.
PanOptikon® Cybersecurity Platform
La piattaforma di cybersecurity PanOptikon® è la soluzione SaaS che consente di unificare in’unica soluzione la visibilità dei diversi ambienti IT, semplificare i processi di rilevamento e risposta agli attacchi e migliorare l’interazione tra il Security Operations Team di Certego e il cliente.
Security Operations Team
Il SecOps Team si compone di Analisti, Threat Hunter, Threat Researcher, Incident Responder, Forensics Analyst e Service Specialist per identificare, analizzare e rispondere alle minacce informatiche.
Fornisce supporto tempestivo e raccomandazioni per il contenimento, l'eradicazione, il ripristino e la resilienza 24/7/365.
Threat Intelligence
Un Team dedicato in grado di garantire informazioni in tempo reale sulle potenziali minacce, fornendo un dettaglio sulle motivazioni e le tattiche utilizzate dagli attaccanti.
Attraverso l’analisi delle TTP (Tactics, Techniques, Procedures) utilizzate dagli attaccanti, la piattaforma di intelligence sulle minacce di Certego fornisce al cliente dati aggiornati sulle più moderne minacce alla sicurezza informatica.
5. Whitepaper
Scopri come i servizi di Managed Detection & Response di Certego, erogati attraverso la piattaforma PanOptikon ti permettono, di essere conforme ai 5 pilastri normativi del regolamento DORA.
Il Whitepaper mostra un esempio pratico di come i servizi gestiti di cybersecurity erogati da Certego ti permettono di essere conforme agli obblighi di reposrtistica richiesti dalla Normativa DORA, in ogni fase di un attacco.