Il Regolamento DORA (Digital Operational Resilience Act) entrerà in vigore il 17 gennaio 2025. Le organizzazioni interessate dovranno dimostrare la conformità con i requisiti di DORA entro quella data.

Come prepararsi all’entrata in vigore di DORA

Per quanto possiamo già avere in azienda delle procedure di disaster recovery e di valutazione e mitigazione del rischio è bene usarle come punto di partenza ma non cullarsi nell’idea che siano sufficienti.

Una todo list essenziale su come le organizzazioni possono prepararsi per il Regolamento DORA si può delineare come segue:

  1. Sviluppare un quadro di gestione del rischio per le ICT: Migliorare il proprio sistema di gestione dei rischi ICT per allinearlo agli standard di DORA, utilizzando anche il framework di Cyber Security del National Institute of Technology degli USA (NIST) come riferimento.

  2. Definire una propria strategia di resilienza operativa digitale: Integrare i rischi ICT nella strategia aziendale più ampia e svolgere la dovuta diligenza su terze parti per mitigare i rischi ICT più ampi.

  3. Stabilire un metodo di segnalazione degli incidenti conforme a DORA: Implementare un processo di gestione degli incidenti che permetta di classificare e segnalare gli incidenti di cyber e data security a un’autorità competente.

  4. Adattare i propri test agli standard DORA: Eseguire test di penetrazione basati su minacce effettuati da esperti indipendenti, come richiesto da DORA per tutte le organizzazioni finanziarie, escluse le microimprese.

  5. Rivedere il modo in cui si gestiscono i fornitori di servizi ICT: Adottare un approccio multi-fornitore per minimizzare i rischi di concentrazione e assicurarsi che i terzi possano essere facilmente sostituiti, includendo strategie di uscita per ogni fornitore.

Questi passi sono fondamentali per assicurare che le organizzazioni non solo siano conformi alle nuove normative, ma siano anche resilienti di fronte ai rischi ICT in continua evoluzione.

Disposizioni specifiche per le PMI

il Regolamento DORA prevede delle disposizioni specifiche per le micro-imprese. Secondo il testo, tutte le organizzazioni finanziarie, ad eccezione delle micro-imprese, devono sottoporsi a test di penetrazione basati sulle minacce condotti da esperti indipendenti. Per essere classificate come micro-imprese nell’Unione Europea, le aziende devono avere un bilancio totale inferiore a 2 milioni di euro e meno di dieci dipendenti.

Questa esenzione mira a ridurre il carico normativo sulle piccole imprese, riconoscendo che possono non avere le stesse risorse delle più grandi istituzioni per gestire e implementare complessi framework di cybersecurity e test di penetrazione.

Conclusioni

In questo blog scriviamo spesso di sicurezza degli smart contract e buone pratiche per lo sviluppo di applicazioni blockchain e può sembrare quasi che questo regolamento non sia rilevante per chi opera in questi settori. In realtà non è corretto. Per un approfondimento su web3 e regolamento DORA ti invito leggere questo articolo.