Regolamento DORA: un passo avanti nella resilienza digitale.
Il Regolamento DORA (Digital Operational Resilience Act) rappresenta una pietra miliare nell’ambito della resilienza digitale per il settore finanziario europeo. Con l’approvazione dello standard tecnico di regolamentazione (RTS) sugli aspetti contrattuali relativi all’uso dei servizi ICT, le entità finanziarie (EF) sono ora dotate di una cornice normativa dettagliata. L’obiettivo è affrontare efficacemente i rischi associati ai servizi ICT, in particolare quelli offerti da fornitori cloud e soggetti a rischi cyber.
Selezionare e gestire i fornitori ICT: il regolamento DORA
L’RTS mira a stabilire criteri stringenti per la selezione, contrattualizzazione e gestione dei fornitori di servizi ICT. In particolare, l’occhio è verso i servizi cloud e la minaccia cyber. Queste disposizioni sono essenziali per garantire che le EF possano mantenere alti livelli di resilienza digitale operativa. Ciò è fondamentale per proteggere l’infrastruttura finanziaria da attacchi informatici e altri incidenti che potrebbero compromettere la continuità e l’integrità dei servizi ICT.
Per facilitare l’adempimento di questi obblighi, il mercato offre avanzate soluzioni software di cybersecurity. Tra cui, i sistemi di gestione del rischio cyber di terze parti (TPCRM). Questi strumenti automatizzano il processo di valutazione dei rischi, rendendo le analisi meno onerose e più efficaci.
Attraverso un monitoraggio continuo e dettagliato, le EF possono ora valutare in modo proattivo la sicurezza dei loro fornitori, comprendendo meglio le vulnerabilità e implementando tempestivamente le necessarie misure di mitigazione.
Due diligence e monitoraggio del rischio
Il processo di due diligence richiede alle EF di effettuare valutazioni del rischio esaurienti, considerando vari aspetti come il rischio operativo, legale, informatico e reputazionale. Inoltre, è fondamentale esaminare la capacità e l’affidabilità dei fornitori in termini di risorse umane, tecniche e finanziarie. Nonché i loro standard di sicurezza e la capacità di rispondere efficacemente a incidenti e interruzioni del servizio.
L’automazione gioca un ruolo chiave nell’efficacia di questo processo, consentendo valutazioni rapide e accurate del rischio cyber dei fornitori. Le soluzioni TPCRM, ad esempio, permettono di esaminare la postura di sicurezza dei fornitori da vari angoli, inclusi l’organizzazione interna. Ma anche la tecnologia ICT e il fattore umano, offrendo un quadro completo del rischio associato.