Digital Operational Resilience Act (DORA)

Home » News & Press » Digital Operational Resilience Act (DORA)

Digital Operational Resilience Act (DORA)

Commenti disabilitati su Digital Operational Resilience Act (DORA)

Il Digital Operational Resilience Act (DORA) rappresenta un passo significativo verso la sicurezza e la resilienza delle infrastrutture digitali in Europa approvato a novembre 2022, questo regolamento mira a creare un quadro normativo internazionale uniforme entro il 2025. Fornisce le linee guida e le norme che le aziende devono seguire per conformarsi alle disposizioni della legge e assicurare un ambiente digitale più sicuro e robusto.

Questa legge impone alle istituzioni finanziarie regole specifiche per proteggere, rilevare, contenere, ripristinare e riparare le capacità contro gli incidenti legati alle tecnologie dell’informazione e delle comunicazioni (ICT).

In modo più accessibile, DORA cerca di stabilire un insieme chiaro di regole per i Regolatori e le Autorità di Vigilanza, coprendo vari aspetti delle tecnologie dell’informazione e della sicurezza informatica, inclusa la gestione degli incidenti. Armonizza le responsabilità tra i paesi membri, alzando gli standard dell’Unione Europea nella gestione dei rischi legati alle tecnologie e alla digitalizzazione. Inoltre, si integra con la strategia europea per la sicurezza informatica (NIS) per una migliore protezione contro i pericoli derivanti dalle tecnologie digitali.

Scopo del regolamento DORA

Il regolamento DORA ha due obiettivi principali:

  • Gestire completamente i rischi legati alle tecnologie dell’informazione e delle comunicazioni (ICT) nel settore finanziario;
  • Rendere più uniformi le regole sulla gestione di questi rischi tra i vari paesi membri dell’Unione Europea.

Prima dell’entrata in vigore di DORA, le regole per la gestione del rischio nelle istituzioni finanziarie dell’Unione Europea si concentravano principalmente sull’assicurarsi che avessero abbastanza capitale per affrontare i rischi operativi. Nonostante ci fossero alcune indicazioni da parte dell’UE riguardo alle tecnologie informatiche e alla gestione del rischio, queste direttive non erano uniformi per tutte le aziende finanziarie e spesso si basavano su principi generali invece di adottare standard tecnici specifici.

Attraverso DORA, l’Unione Europea si propone di creare un quadro universale per la gestione e la riduzione del rischio legato alle tecnologie dell’informazione e delle comunicazioni (ICT) nel settore finanziario. L’intento è eliminare le discrepanze e le sovrapposizioni tra le diverse regolamentazioni nazionali, semplificare il processo di conformità per le istituzioni finanziarie, potenziando la resilienza del sistema finanziario europeo e promuovere l’adozione di standard uniformi da parte di tutti gli attori del settore.

Quali sono le applicazioni?

Una volta arrivato il gennaio 2025, la responsabilità dell’applicazione sarà affidata alle autorità di competenza. Loro avranno il potere di richiedere alle entità finanziarie l’adozione di misure di sicurezza specifiche e la correzione di eventuali vulnerabilità. Potranno anche imporre sanzioni amministrative o penali, e ogni Stato membro avrà il compito di determinare le sanzioni appropriate.

Il regolamento stabilisce regole tecniche per le aziende finanziarie e i fornitori di servizi informatici in quattro aree:

  • Come gestire i rischi informatici e organizzare il lavoro
  • Cosa fare in caso di problemi e come comunicare
  • Come testare la resistenza
  • Come gestire i rischi da terze parti.

Gestione e segnalazione

Il regolamento DORA assegna ai dirigenti delle aziende la responsabilità della gestione delle tecnologie dell’informazione e della comunicazione (ICT). Devono sviluppare strategie di gestione del rischio, contribuire alla loro attuazione e mantenere una conoscenza aggiornata sul panorama dei rischi. In caso di mancato rispetto delle norme, i leader possono essere ritenuti personalmente responsabili.

Le aziende coinvolte devono sviluppare framework dettagliati per gestire i rischi legati al settore ICT. Questi framework includono:

  • La mappatura dei sistemi
  • L’identificazione di funzioni e asset critici
  • La documentazione delle relazioni tra risorse
  • L’esecuzione regolare di valutazione del rischio.

È essenziale anche l’analisi dell’impatto sul business per comprendere gli effetti.

Le organizzazioni coinvolte devono istituire sistemi per sorvegliare, gestire, registrare, classificare e notificare gli incidenti legati alle tecnologie del settore ICT.

A seconda della gravità dell’incidente, potrebbe essere necessario segnalarlo alle autorità di regolamentazione, così come ai clienti e ai partner interessati. Per gli incidenti critici, è obbligatorio presentare tre tipi di rapporti:

  • un primo rapporto di notifica alle autorità
  • un rapporto intermedio sui progressi compiuti per risolvere l’incidente
  • un rapporto finale che analizza le cause principali dell’evento.

In AGM Solutions, siamo fortemente impegnati nella sicurezza informatica. Riconosciamo l’importanza critica di proteggere le risorse digitali delle aziende e ci dedichiamo a fornire soluzioni di cybersecurity avanzate.

Il nostro team di consulenti esperti è pronto a offrire il massimo supporto, implementando strategie personalizzate e tecnologie all’avanguardia per garantire un ambiente digitale sicuro e protetto. La sicurezza dei dati e la difesa contro le minacce informatiche sono al centro della nostra missione, e ci impegniamo a collaborare con le aziende per affrontare le sfide in continua evoluzione del panorama della sicurezza cibernetica.

Condividi questo post

Mostra messaggi correlati

04Set

Phishing: come proteggersi con l’Intelligenza artificiale

L'intelligenza artificiale (AI) è diventata uno degli strumenti più efficaci per rilevare e prevenire il phishing. leggi di più

08Feb

DPO

Il Regolamento Europeo sulla protezione dei dati personali (GDPR) ha introdotto, tra le principali misure di “responsabilizzazione” del Titolare... leggi di più

21Feb

Le e-mail dei dipendenti devono essere cancellate entro 7 giorni

Il Garante Privacy ha emesso un recente provvedimento riguardante l'uso della posta elettronica in ambito lavorativo: si richiede la... leggi di più

25Giu

SOC: un grande alleato per la tua azienda

Il SOC (Security Operations Center) riveste compiti molto importanti, come quello di monitorare costantemente e rispondere ad eventuali minacce... leggi di più

27Ott

PCYSYS: una nuova partnership in AGM Solutions

Per aumentare la nostra competitività sul mercato abbiamo scelto di ampliare, ancora una volta, il nostro portafoglio prodotti con... leggi di più

12Giu

Google posticipa la cancellazione dei cookie di terze parti al 2025

Google ha annunciato un ulteriore rinvio della rimozione dei cookie di terze parti dal suo browser Chrome, spostando la... leggi di più

08Gen

GDPR: tutto quello c’è da sapere

Il Regolamento UE 679/2016 integra il Codice della Privacy abrogando la direttiva 95/46/CE. L’obiettivo del regolamento è aumentare la privacy... leggi di più

21Mag

Come iniziare la tua carriera nella sicurezza informatica

Ma cosa vuol dire essere un esperto di cybersecurity? Esiste un solo ruolo? Quali sono le competenze richieste? leggi di più

20Feb

Coronavirus

Fin dall’antichità le pandemie influenzali hanno innescato la paura di una calamità causata da una malattia infettiva in grado... leggi di più

05Apr

Quanto è utile avere un sito web nel 2023?

Nel 2023 il sito web rimane una risorsa di fondamentale importanza per il tuo business. Infatti non è soltanto una... leggi di più

it_ITItaliano
en_GBEnglish (UK) it_ITItaliano