{"id":95349,"date":"2025-03-27T11:35:45","date_gmt":"2025-03-27T10:35:45","guid":{"rendered":"https:\/\/www.deepki.com\/?p=95349"},"modified":"2025-03-27T11:35:46","modified_gmt":"2025-03-27T10:35:46","slug":"regolamento-dora","status":"publish","type":"post","link":"https:\/\/www.deepki.com\/it\/blog\/regolamento-dora\/","title":{"rendered":"Regolamento DORA: La strategia europea per un settore finanziario pi\u00f9 resiliente dal punto di vista digitale"},"content":{"rendered":"\n

Ma questa trasformazione digitale comporta una maggiore esposizione alle minacce informatiche, ai guasti di sistema e alle interruzioni informatiche. <\/strong>Un singolo attacco informatico o un’interruzione tecnica possono causare instabilit\u00e0 finanziaria, con un impatto su banche, assicurazioni e societ\u00e0 di invest<\/p>\n\n\n\n

Per affrontare questi rischi, l’Unione Europea ha introdotto il Digital Operational Resilience Act <\/strong>(DORA), un quadro normativo volto a garantire la stabilit\u00e0 digitale del settore finanziario. In vigore dal 17 gennaio 2025, il DORA stabilisce misure per la gestione dei rischi informatici, salvaguardando le operazioni del settore anche in caso di interruzioni digitali.<\/p>\n\n\n\n

Deepki si impegna da tempo a garantire la resilienza della propria infrastruttura ICT e ne comprende l’importanza per i propri clienti. Di seguito abbiamo analizzato cosa significa DORA per noi e per i nostri clienti.<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n\n

Che cos\u2019\u00e8 il DORA?<\/h2>\n\n\n\n

Nel settembre 2020, la Commissione Europea ha presentato una proposta di regolamento sulla resilienza operativa digitale per il settore finanziario, comunemente denominata Digital Operational Resilience Act (DORA),<\/a> come parte della sua strategia di finanza digitale. Il testo \u00e8 stato adottato il 10 novembre 2022, \u00e8 entrato in vigore il 16 gennaio 2023 ed \u00e8 in vigore dal 17 gennaio 2025. Il periodo di transizione di due anni \u00e8 stato pensato per dare alle entit\u00e0 finanziarie e ai loro partner ICT il tempo sufficiente per soddisfare i loro requisiti.
<\/p>\n\n\n\n

Il DORA obbliga le istituzioni finanziarie a rafforzare la loro resilienza operativa digitale.<\/em><\/strong>” Il regolamento definisce la \u201cresilienza operativa digitale\u201d come \u201cla capacit\u00e0 di un’entit\u00e0 finanziaria di costruire, assicurare e rivedere la propria integrit\u00e0 e affidabilit\u00e0 operativa garantendo, direttamente o indirettamente attraverso l’uso di servizi forniti da fornitori terzi di servizi ICT, l’intera gamma di capacit\u00e0 legate all’ICT necessarie per affrontare la sicurezza della rete e dei sistemi informativi che un’entit\u00e0 finanziaria utilizza, e che supportano la fornitura continua di servizi finanziari e la loro qualit\u00e0, anche durante le interruzioni\u201d.<\/em><\/p>\n\n\n\n

Il DORA introduce nuove disposizioni volte a rafforzare le risorse interne e la gestione efficace dei partner esterni. Il regolamento stabilisce nuovi obiettivi per le aziende che cercano di garantire che i loro processi, le infrastrutture e la gestione del rischio soddisfino i severi requisiti stabiliti dall’UE. La conseguenza per i nostri clienti che sono istituti finanziari operanti nell’UE, \u00e8 che probabilmente vorranno esaminare gli accordi contrattuali in essere con i fornitori di ICT.<\/strong><\/p>\n\n\n\n

<\/div>\n\n\n\n

Cosa richiede il DORA?<\/h2>\n\n\n\n

Il DORA ha come obiettivo principale quello di garantire che le istituzioni finanziarie possano operare in sicurezza in un’epoca di incertezza digitale. Il regolamento introduce un quadro completo di resilienza basato su cinque pilastri essenziali:<\/p>\n\n\n\n

    \n
  1. Gestione del rischio ICT: <\/strong>Le entit\u00e0 finanziarie devono implementare un solido framework di gestione del rischio ICT, nonch\u00e9 un quadro di governance e controllo interno per affrontare e mitigare i rischi digitali. Ci\u00f2 include sistemi aggiornati, documentazioni e politiche di continuit\u00e0.<\/li>\n\n\n\n
  2. Gestione, classificazione e reporting degli incidenti ICT:<\/strong> Le entit\u00e0 devono disporre di processi per la gestione degli incidenti informatici, compresi il rilevamento, la segnalazione e l’analisi delle cause principali. <\/li>\n\n\n\n
  3. Test di resilienza operativa digitale:<\/strong> Le entit\u00e0 finanziarie (escluse le microimprese) devono stabilire, mantenere e rivedere un programma di test sulla resilienza operativa digitale. Questo programma \u00e8 progettato per identificare i punti deboli, valutare la preparazione e implementare misure correttive. <\/li>\n\n\n\n
  4. Gestione del rischio ICT di terze parti<\/strong>: le entit\u00e0 finanziarie devono gestire i rischi associati ai fornitori ICT di terze parti  e un quadro di gestione del rischio. Ci\u00f2 include il mantenimento della piena responsabilit\u00e0 per la conformit\u00e0 alle disposizioni del DORA, indipendentemente dagli accordi di outsourcing. Le entit\u00e0 finanziarie devono valutare e gestire i rischi di terzi in base alla criticit\u00e0 e al potenziale impatto sulle loro operazioni. Inoltre, le entit\u00e0 devono tenere un registro dei contratti di servizio ICT e fornire reportistica annuale sui loro rapporti con terzi nel settore ICT.<\/li>\n\n\n\n
  5. Accordi di condivisione delle informazioni: <\/strong>Le entit\u00e0 finanziarie sono incoraggiate a condividere le informazioni sulle minacce informatiche, compresi gli indicatori di compromissione e gli avvisi di cibersecurity, per migliorare la resilienza dell’intero settore. La partecipazione a questi accordi di condivisione delle informazioni deve essere comunicata alle autorit\u00e0 competenti<\/li>\n<\/ol>\n\n\n\n

     I punti 1 e 4 possono essere particolarmente rilevanti per i nostri clienti nella collaborazione con Deepki.<\/p>\n\n\n\n

    <\/div>\n\n\n\n

    Chi deve essere conforme al DORA?<\/h2>\n\n\n\n

    Il DORA si applica direttamente alle istituzioni finanziarie, <\/strong>tra cui banche, societ\u00e0 d’investimento, agenzie di rating del credito e fornitori di servizi di pagamento terzi. Secondo PwC, pi\u00f9 di 22.200 entit\u00e0 finanziarie e fornitori di servizi IT rientrano nel perimetro  di applicazione del DORA. <\/a>Se la vostra organizzazione svolge un qualsiasi ruolo nei servizi finanziari, la conformit\u00e0 non \u00e8 facoltativa: \u00e8 una necessit\u00e0.<\/p>\n\n\n\n

    Il DORA richiede che queste istituzioni abbiano disposizioni specifiche con i fornitori terzi di servizi tecnologici,  con requisiti pi\u00f9 severi per i fornitori ritenuti critici per le operazioni finanziarie.<\/p>\n\n\n\n

    In questo contesto, Deepki si qualifica come \u201cfornitore terzo di servizi ICT<\/strong>\u201d ai sensi del regolamento<\/p>\n\n\n\n

    <\/div>\n\n\n\n

    Cosa succede se non si rispetta la normativa?<\/h2>\n\n\n\n

    Il DORA non \u00e8 solo un’altro tassello di controllo normativo, ma comporta conseguenze reali.<\/p>\n\n\n\n

    Un report McKinsey del gennaio 2025 <\/a>ha rivelato che molte istituzioni finanziarie stanno ancora lottando per soddisfare i requisiti del DORA,<\/strong> in particolare nella gestione della conformit\u00e0 di terzi. I fornitori ICT pi\u00f9 piccoli spesso non hanno le risorse per implementare le misure di sicurezza necessarie, creando lacune di conformit\u00e0 che potrebbero allungare i tempi di implementazione per le aziende finanziarie.<\/p>\n\n\n\n

    Inoltre, gli istituti finanziari si trovano spesso ad affrontare una duplice sfida<\/strong>: devono essere conformi al DORA non solo come destinatari di servizi, ma anche come fornitori di servizi ad altri istituti. Questo duplice ruolo accresce il controllo normativo, richiedendo alle aziende sia di imporre la conformit\u00e0 ai propri partner sia di rispettare gli obblighi imposti dai rapporti con i propri terzi.<\/p>\n\n\n\n

    Deepki comprende l’importanza dei nostri clienti di analizzare la loro esposizione e i contratti in essere con i fornitori. Inoltre, siamo pronti ad assistere i nostri clienti in ogni fase del processo per garantire che il nostro rapporto rimanga all’interno del quadro normativo previsto dalla DORA.<\/strong><\/p>\n\n\n\n

    <\/div>\n\n\n\n

    L’impatto globale del DORA: cosa significa per le imprese e le multinazionali<\/h2>\n\n\n\n

    Sebbene il DORA sia un regolamento dell’UE, il suo impatto si estende ben oltre la giurisdizione dell’Unione Europea.<\/p>\n\n\n\n

    Se la vostra azienda lavora con i mercati finanziari dell’UE, la conformit\u00e0 \u00e8 fondamentale per mantenere la fiducia ed evitare gli ostacoli normativi. Ci\u00f2 \u00e8 particolarmente importante per le imprese coinvolte in servizi transfrontalieri o catene di fornitura legate all’UE, anche se non hanno una presenza fisica nel paese<\/p>\n\n\n\n

    Per le aziende multinazionali navigare tra i diversi framework normativi aggiunge un ulteriore livello di complessit\u00e0. Le aziende devono allineare le loro strategie di gestione del rischio ICT con il DORA, rispettando al contempo altri standard internazionali. Ci\u00f2 pu\u00f2 includere:<\/p>\n\n\n\n