Regolamento DORA: cosa devono fare le aziende per adeguarsi

Regolamento DORA: tutto ciò che c’è da sapere

Il Regolamento DORA dal 17 gennaio 2025, vincolerà le aziende dei settori finanziari a una serie di requisiti di sicurezza informatica e di resilienza.

Negli ultimi tempi, e sempre più frequentemente, i mezzi di informazione riferiscono di attacchi hacker posti in essere nei confronti di importanti istituti finanziari e aventi ad oggetto il furto di dati sensibili.

Al fine di contrastare tali attacchi, l’Unione Europea decideva di presentare un pacchetto sulla finanza digitale, volto a colmare le lacune presenti nell’attuale legislazione e, contemporaneamente, a garantire che il quadro giuridico europeo non ostacolasse l’uso di nuovi strumenti finanziari digitali.

Tra le diverse norme si colloca proprio il Regolamento UE n. 2022/2554, più comunemente conosciuto come “DORA” (Digital Operational Resilience Act) e riguardante la resilienza operativa digitale per il settore finanziario.

Il Regolamento DORA è entrato in vigore il 16 gennaio 2023 ma i destinatari della norma avranno la possibilità di adempiere ai numerosi obblighi entro il 17 gennaio 2025.

Chi sono i destinatari del Regolamento DORA?

Come anticipato, il Regolamento DORA è stato emanato nell’ambito della finanza digitale e, di conseguenza, si rivolge a un ampio novero di operatori finanziari, quali:

enti creditizi, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi per le cripto-attività, depositari centrali di titoli, gestori di fondi di investimento alternativi, società di gestione, imprese di assicurazione e di riassicurazione, intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio, enti pensionistici aziendali o professionali, oltre che ai fornitori di servizi di tecnologie dell’informazione e della comunicazione (ICT).

Quali sono gli obblighi a cui dovranno adempire gli istituti finanziari?

Per quanto attiene, invece, ai principali adempimenti previsti a carico dei soprammenzionati soggetti, dall’analisi complessiva del dettato normativo emergono numerosi obblighi.

In particolare, i medesimi saranno tenuti a:

Gestire il rischio ICT – adottare un quadro di governance e organizzazione interna, che garantisca un controllo efficace e prudente di tutti i rischi ICT. P
Adottare un piano per la gestione dei rischi informatici – identificandone le fonti, implementando i meccanismi volti al rilevamento di attività anormale e adottando misure di prevenzione, il tutto per il tramite di strumenti e sistemi di ICT resilienti, in maniera da limitare l’impatto degli eventuali rischi;

Gestione del rischio ICT di terze parti – Classificare gli incidenti connessi ai fornitori di ICT e le minacce informatiche in base ai criteri stabiliti dal Legislatore comunitario;

Segnalare gli incidenti informatici – gli operatori saranno tenuti a creare un sistema di segnalazione mediante un processo di monitoraggio, registrazione e gestione degli incidenti, al fine di notificarli alle autorità competenti;

Svolgere test di resilienza operativa digitale – proporzionati all’attività e alle dimensioni dell’operatore;

Condividere le informazioni – Prevedere protocolli di information sharing, al fine di incentivare lo scambio delle informazioni relative alle minacce informatiche. DORA prevede, nel dettaglio, l’istituzione di un programma su base volontaria che consenta ai soggetti interessati di prevedere accordi appositi per lo scambio di informazioni in materia di cyber threat intelligence.

In conclusione, sebbene – come anticipato – gli adempimenti sopra menzionati possano essere portati a termine sino al 17 gennaio 2025, appare chiaro come la mole di lavoro prevista sia decisamente importante e come gli operatori del settore debbano necessariamente iniziare a procedere quanto prima, sempre tenendo presente il contenuto della precedente normativa, con la predisposizione delle implementazioni richieste dal Regolamento.

Personalizza i cookies attivi su questo sito

Necessary

Sempre abilitato

I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questi cookie garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web, in modo anonimo.

Cookie	Durata	Descrizione
__hssrc	Session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altri.
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
JSESSIONID	Session	Utilizzato da siti scritti in JSP. Cookie di sessione della piattaforma per scopi generici che vengono utilizzati per mantenere lo stato degli utenti attraverso le richieste di pagina.
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Functional

I cookie funzionali aiutano a eseguire determinate funzionalità come condividere il contenuto del sito Web su piattaforme di social media, raccogliere feedback e altre funzionalità di terze parti.

Cookie	Durata	Descrizione
__cf_bm	30 minuti	Questo cookie, impostato da Cloudflare, viene utilizzato per supportare la gestione dei bot di Cloudflare.
__hssc	30 minuti	HubSpot imposta questo cookie per tenere traccia delle sessioni e per determinare se HubSpot deve incrementare il numero di sessione e i timestamp nel cookie __hstc.
bcookie	2 anni	LinkedIn imposta questo cookie dai pulsanti di condivisione di LinkedIn e aggiunge tag per riconoscere l'ID del browser.
lang	Session	Questo cookie viene utilizzato per memorizzare le preferenze di lingua di un utente per fornire contenuti in quella lingua memorizzata la prossima volta che l'utente visita il sito web.
lidc	1 giorno	LinkedIn imposta il cookie lidc per facilitare la selezione del data center.

Performance

Analytics

I cookie analitici vengono utilizzati per capire come i visitatori interagiscono con il sito web. Questi cookie aiutano a fornire informazioni sulle metriche del numero di visitatori, della frequenza di rimbalzo, della sorgente del traffico, ecc.

Cookie	Durata	Descrizione
__hstc	1 anno 24 giorni	his is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gat_gtag_UA_162571803_1	1 minuto	This cookie is set by Google and is used to distinguish users.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.
CONSENT	16 years 3 months 10 days 7 hours 5 minutes	Questi cookie vengono impostati tramite video di YouTube incorporati. Registrano dati statistici anonimi su ad esempio quante volte viene visualizzato il video e quali impostazioni vengono utilizzate per la riproduzione. Nessun dato sensibile viene raccolto a meno che non accedi al tuo account google, in tal caso le tue scelte sono legate al tuo account, ad esempio se fai clic su "mi piace" su un video.
hubspotutk	1 year 24 days	Questo cookie viene utilizzato da HubSpot per tenere traccia dei visitatori del sito web. Questo cookie viene passato a Hubspot all'invio del modulo e utilizzato durante la deduplicazione dei contatti.
UID	2 anni

Advertisment

Others