Scarica la lista di controlloPreparatevi con la nostra autovalutazione

Legge sulla resilienza operativa digitale (DORA)

Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, sulla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011 (DORA)

Il Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA), è un quadro completo volto a garantire che il settore finanziario dell'UE sia in grado di resistere e riprendersi da interruzioni legate alle TIC. Le sezioni principali includono i requisiti per le TIC rischioIl rischio Si intende il potenziale di perdita o di perturbazione causato da un incidente e deve essere espresso come una combinazione dell'entità di tale perdita o perturbazione e della probabilità che l'incidente si verifichi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) gestione, incidenteIncidente Si intende un evento che compromette la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati memorizzati, trasmessi o elaborati o dei servizi offerti o accessibili tramite i sistemi di rete e di informazione -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) reporting, test di resilienza operativa e gestione del rischio di terzi. Il DORA stabilisce inoltre un quadro di supervisione regolamentare per le attività critiche di terze parti. Servizio ICTServizio ICT Si intende un servizio che consiste interamente o principalmente nella trasmissione, memorizzazione, recupero o elaborazione di informazioni mediante reti e sistemi informativi - Definizione ai sensi dell'articolo 2, punto (13), del Regolamento (UE) 2019/881 fornitori. Consolida e aggiorna le norme sul rischio ICT in diverse normative, promuovendo la coerenza, la certezza del diritto e la riduzione dei costi di conformità per le entità finanziarie che operano a livello transfrontaliero.

Struttura e sezioni chiave

  1. Disposizioni generali. Questa sezione delinea l'ambito di applicazione e gli obiettivi del DORA, che si applica a un'ampia gamma di soggetti finanziari, tra cui banche, imprese di investimento e istituti di pagamento. Definisce i termini chiave e stabilisce la base giuridica del regolamento, sottolineando la necessità di un approccio uniforme alla resilienza digitale in tutta l'UE.
  2. Gestione del rischio ICT. Questa sezione richiede che le entità finanziarie implementino quadri completi di gestione del rischio ICT. Tali strutture devono coprire tutti gli aspetti del rischio ICT, tra cui l'identificazione, la protezione, la rilevazione, la risposta e il ripristino. Le entità sono tenute a rivedere e aggiornare regolarmente le proprie strategie di gestione del rischio per far fronte all'evoluzione delle minacce.
  3. Segnalazione di incidenti legati alle TIC. Il DORA richiede agli istituti finanziari di stabilire procedure chiare per la segnalazione di incidenti significativi legati alle TIC. Ciò include gli incidenti che hanno un impatto sostanziale sul sistema di gestione delle informazioni. entitàEntità Persona fisica o giuridica creata e riconosciuta come tale dalla legislazione nazionale del suo luogo di stabilimento, che può, agendo in nome proprio, esercitare diritti ed essere soggetta a obblighi -. Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2)operazioni, la stabilità finanziaria o la protezione dei fondi e dei dati dei clienti. La tempestività delle segnalazioni alle autorità competenti è cruciale per il coordinamento delle risposte a livello europeo.
  4. Test di resilienza operativa digitale
    Le entità finanziarie devono condurre regolarmente test di resilienza operativa digitale, compresi test di penetrazione guidati dalle minacce (TLPT). L'obiettivo è valutare l'efficacia della gestione del rischio ICT e la preparazione alle potenziali minacce informatiche. Le entità identificate come critiche devono sottoporsi a test più severi sotto la supervisione delle autorità competenti.
  5. Condivisione delle informazioni. La DORA incoraggia la condivisione di informazioni sulle minacce e le vulnerabilità informatiche tra le entità finanziarie. Questa cooperazione mira a migliorare la resilienza collettiva, consentendo alle entità di imparare dalle reciproche esperienze e di prepararsi meglio alle potenziali minacce.
  6. Gestione dei rischi di terzi. Questa sezione regola l'utilizzo di fornitori terzi di servizi ICT, riconoscendo i rischi associati all'esternalizzazione di funzioni critiche. Le entità finanziarie sono tenute a monitorare e gestire i rischi derivanti dai fornitori terzi, assicurando che questi ultimi soddisfino rigorosi standard di resilienza. I fornitori di servizi ICT critici possono anche essere soggetti alla supervisione diretta delle autorità di regolamentazione dell'UE.
  7. Misure di vigilanza e sanzioni. Il DORA conferisce alle autorità di vigilanza il potere di imporre la conformità e di comminare sanzioni in caso di violazione del regolamento. Questa sezione delinea il quadro di vigilanza, specificando i poteri delle autorità nazionali ed europee per garantire che le entità finanziarie rispettino i requisiti. Le sanzioni possono essere significative, in quanto riflettono la gravità della non conformità.

Il regolamento mira a creare un approccio armonizzato alla resilienza operativa digitale, garantendo che i sistemi finanziari dell'UE siano solidi, sicuri e in grado di resistere alle interruzioni legate alle TIC.

Ottenere la lista di controllo del rischio della catena di approvvigionamento NIS 2

Scaricate la nostra lista di controllo gratuita sui rischi della catena di approvvigionamento NIS2 per assicurarvi che la vostra organizzazione soddisfi i requisiti più recenti. sicurezza informaticaSicurezza informatica per "cibersicurezza" si intende la cibersicurezza quale definita all'articolo 2, punto 1, del regolamento (UE) 2019/881; - Definizione ai sensi dell'articolo 6 della direttiva (UE) 2022/2555 (direttiva NIS2) per "sicurezza informatica" si intendono le attività necessarie per proteggere i sistemi di rete e di informazione, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche; - definizione ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2019/881; standard di conformità senza alcuno sforzo.