Preparati al
regolamento
DORA
Cos'è il Digital Operational Resilience Act (DORA)?
Il Digital Operational Resilience Act (DORA) è un regolamento dell’UE che rafforza la resilienza operativa digitale nel settore finanziario. Stabilisce un quadro armonizzato per la gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione (ICT), la segnalazione degli incidenti, i test di resilienza, la supervisione di terzi e la governance.
Il regolamento DORA è entrato in vigore a partire dal 17 gennaio 2025 e le entità finanziarie soggette al regolamento devono ora soddisfare i suoi requisiti.
Chi deve conformarsi al regolamento DORA?
Il regolamento DORA si applica a un'ampia gamma di entità finanziarie che operano nell'UE, tra cui, a titolo esemplificativo e non esaustivo:
- Banche e istituti di credito
- Società di investimento e gestori patrimoniali
- Società di assicurazione e riassicurazione
- Istituti di pagamento e istituti di moneta elettronica
- Infrastrutture di mercato e piattaforme di trading
- Fornitori di servizi di cripto-asset e piattaforme di crowdfunding
Il regolamento DORA ha un impatto anche sui fornitori di servizi e sulle aziende ICT
Il regolamento DORA interessa anche i fornitori di servizi ICT di terze parti, compresi i fornitori di cloud e software, che forniscono servizi digitali alle entità finanziarie, in particolare quando supportano funzioni critiche o importanti.
Anche le organizzazioni che non sono entità finanziarie possono subire un impatto, in quanto le istituzioni regolamentate sono tenute a gestire e monitorare la resilienza operativa digitale dei loro principali fornitori di ICT.
Cosa richiede il regolamento DORA
Secondo il regolamento DORA, le entità coperte devono implementare pratiche solide e documentate in diverse aree principali. Queste includono in genere:
Le organizzazioni devono creare un quadro documentato per identificare, valutare, mitigare e monitorare il rischio ICT, con una chiara supervisione della governance.
Conformità, chiarezza e controllo
L’implementazione del DORA è tempestiva, poiché la crescente dipendenza degli istituti finanziari dalle tecnologie digitali e dai fornitori esterni di ICT ha aumentato le vulnerabilità operative, mentre gli incidenti informatici e ICT segnalati sono circa raddoppiati negli ultimi anni.
Gli incidenti informatici che hanno preso di mira il settore finanziario europeo sono stati segnalati e analizzati pubblicamente tra l'inizio del 2023 e la metà del 2024, e quasi la metà ha riguardato le banche.
Le perdite annuali dovute a incidenti informatici nel settore finanziario sono passate da circa 300 milioni di dollari nel 2017 a circa 2,2 miliardi di dollari nel 2021.
Ogni giorno si verificano più di 2.200 attacchi informatici in tutto il mondo, circa un attacco ogni 39 secondi.
La sfida per le entità finanziarie e i fornitori di tecnologia
Soddisfare i requisiti DORA può essere impegnativo, soprattutto per le organizzazioni che non dispongono di team dedicati al rischio operativo o alla conformità. Le sfide più comuni includono:
- Nessun team dedicato alla compliance o alla sicurezza
- Tempo limitato per comprendere i requisiti legali dettagliati
- Documenti sparsi e responsabilità poco chiare
- Monitoraggio e gestione del rischio dei fornitori ICT di terze parti
- Implementare processi coerenti di segnalazione degli incidenti
- Mantenere una governance e una documentazione che soddisfino i supervisori
- La non conformità può portare a sanzioni finanziarie, interventi normativi e danni alla reputazione
Ottenere la conformità DORA con Trustlinks
Trustlinks traduce la complessità dei requisiti DORA in azioni pratiche e guidate che il tuo team può seguire:
Inizia con una configurazione chiara, strutturata e intuitiva, allineata ai requisiti DORA, che include controlli predefiniti, modelli di policy e guida alla documentazione.
In questo modo la tua azienda può iniziare rapidamente a lavorare senza dover avere una profonda esperienza in materia di conformità. Non c’è bisogno di tirare a indovinare, tutto è organizzato in un flusso chiaro e logico in modo che il tuo team sappia esattamente da dove iniziare.
Preparati al regolamento DORA
Se hai domande su Trustlinks o vuoi scoprire come la nostra piattaforma supporta il tuo lavoro di compliance, contattaci e il nostro team sarà lieto di aiutarti.
Domande frequenti sulla conformità DORA
Cos'è il Digital Operational Resilience Act (DORA)?
Il Digital Operational Resilience Act (DORA) è un regolamento dell’UE che rafforza il modo in cui gli enti finanziari gestiscono il rischio ICT, rispondono agli incidenti e garantiscono la resilienza operativa digitale in tutto il settore finanziario.
Chi deve conformarsi al regolamento DORA?
Il regolamento DORA si applica a un’ampia gamma di entità finanziarie dell’UE, tra cui banche, assicurazioni, società di investimento, istituti di pagamento e fornitori di servizi di cripto-asset. Inoltre, riguarda i fornitori di servizi ICT che supportano funzioni critiche o importanti.
Quando si applica il regolamento DORA?
Il regolamento DORA è diventato pienamente applicabile il 17 gennaio 2025. A partire da tale data, le entità finanziarie coperte dovranno soddisfare i requisiti del regolamento ed essere in grado di dimostrarne la conformità.
Quali sono i principali requisiti DORA?
Il regolamento DORA richiede alle organizzazioni di implementare framework di gestione del rischio ICT, processi di segnalazione degli incidenti, test di resilienza operativa digitale, gestione del rischio ICT da parte di terzi e una forte governance e supervisione.
Come influisce il regolamento DORA sui fornitori di servizi ICT?
Anche se non sono entità finanziarie, i fornitori di servizi ICT possono essere colpiti perché le istituzioni regolamentate devono valutare, monitorare e gestire la resilienza digitale dei loro partner tecnologici chiave.
Esistono sanzioni in caso di mancata osservanza del regolamento DORA?
Sì. La mancata conformità al regolamento DORA può comportare azioni di vigilanza, misure correttive e sanzioni pecuniarie nell’ambito dei quadri normativi nazionali e comunitari.
In che modo Trustlinks può aiutare a rispettare il regolamento DORA?
Trustlinks aiuta le organizzazioni a strutturare i requisiti DORA in flussi di lavoro guidati, a gestire i rischi ICT e la supervisione di terze parti, a conservare la documentazione e a generare report chiari e pronti per la revisione.
