DORA e Thales: Aiutate i vostri clienti dei servizi finanziari a trasformare la conformità in un vantaggio competitivo

Voi (e i vostri clienti) siete pronti per la DORA?

Il Digital Operational Resilience Act, o DORA, sarà applicato in tutti gli Stati membri dell'UE a partire dal 17 gennaio 2025. L'obiettivo è quello di migliorare la resilienza delle organizzazioni del settore dei servizi finanziari alla minaccia in continua evoluzione degli attacchi informatici, armonizzando i requisiti di resilienza operativa digitale e di cybersecurity in tutta l'UE, invece di far sì che ogni Paese membro stabilisca le proprie normative.

Il DORA ha un impatto su tutte le organizzazioni di servizi finanziari dell'UE e del SEE, ma è probabile che anche le organizzazioni esterne a quest'area debbano conformarsi ai requisiti del DORA per poter operare in Europa. Inoltre, poiché il GDPR ha creato un precedente per la privacy dei dati che è stato seguito dal resto del mondo, gli esperti prevedono che il DORA avrà lo stesso effetto a livello globale.

Le organizzazioni del settore dei servizi finanziari devono comprendere le nuove regole e assicurarsi di essere preparate. Tuttavia, non è mai una cattiva idea aiutare i clienti a migliorare la loro posizione in materia di sicurezza informatica. Anzi, può essere ciò che li distingue dai loro concorrenti e voi dai vostri.

Thales offre una suite di prodotti per aiutare le organizzazioni a conformarsi al DORA e ottenere significativi vantaggi strategici. In questo articolo vi spiegheremo meglio il DORA e come potete aiutare i vostri clienti a essere nella posizione migliore per raccogliere questi frutti.

Requisiti di conformità al DORA

• Il DORA si applica a un'ampia gamma di organizzazioni del settore dei servizi finanziari, tra cui quelle che operano nei seguenti settori:
• Banche e credito
• Assicurazioni
• Pagamenti
• Tecnologia dell'informazione e della comunicazione (ICT) per i servizi finanziari
• Mercati finanziari
• Gestione patrimoniale
• Fornitori di servizi di cripto-asset

Il DORA è un insieme di requisiti di ampia portata che le organizzazioni che rientrano nel suo campo di applicazione devono dimostrare di rispettare entro il 17 gennaio 2025. I regolamenti del DORA sono incentrati su cinque pilastri fondamentali:

• Gestione e governance del rischio ICT - Le organizzazioni devono definire, implementare e mantenere un quadro di riferimento per gestire il rischio di cybersecurity e aumentare la resilienza.
• Segnalazione degli incidenti - Se si verifica un incidente di cybersecurity, la DORA richiede alle organizzazioni di segnalarlo alle autorità competenti entro termini rigorosi.
• Test di resilienza operativa digitale - Le organizzazioni devono condurre un programma di test annuale per garantire che le interruzioni siano minime in caso di incidente.
• Rischio ICT di terzi - Le organizzazioni di servizi finanziari si affidano a fornitori di tecnologia esterni (alcuni con sede al di fuori dell'UE) per gran parte del loro ambiente IT. Devono tenere conto di questi rischi di terzi nella loro strategia di gestione del rischio di cybersecurity.
• Condivisione delle informazioni - La DORA promuove la condivisione delle conoscenze sulle minacce informatiche tra le organizzazioni per migliorare la resilienza del settore.

Se un'organizzazione viene scoperta in violazione del DORA, può incorrere in multe fino al 2% del fatturato globale annuo.

Si può quindi capire quanto sia importante che le organizzazioni di servizi finanziari che rientrano nel DORA abbiano le basi coperte entro il gennaio 2025. Scaricate l'ultimo libro bianco sul DORA di Thales per avere un elenco più dettagliato dei nuovi requisiti.

SCARICA IL LIBRO BIANCO

Ruoli e responsabilità per la conformità al DORA

DORA è un regolamento, il che significa che è una legge, non "semplicemente" una certificazione tecnica come PCI o ISO27k. La conformità al DORA non è qualcosa che i leader possono lasciare al proprio team di sicurezza informatica. Richiede uno sforzo coordinato in tutta l'organizzazione con il contributo di diverse funzioni, tra cui:

• Consiglio di amministrazione - I direttori devono interessarsi personalmente alla sicurezza informatica e prendere le giuste decisioni su politiche, processi e allocazione delle risorse.
• Cybersecurity - I team di cybersecurity sono in prima linea, sostengono le politiche e i controlli e si occupano quotidianamente degli incidenti.
• Gestione del rischio - Questo team è responsabile dell'identificazione e dell'implementazione di misure per ridurre al minimo i rischi informatici, nonché della pianificazione della continuità in caso di incidente informatico dirompente.
• Conformità - Il team di conformità dell'organizzazione deve stabilire processi per la segnalazione tempestiva degli incidenti di cybersecurity per soddisfare gli obblighi di segnalazione DORA.
• Risorse umane - Le risorse umane svolgono un ruolo fondamentale nel fornire formazione sulla cybersecurity alla forza lavoro e nel garantire una cultura di consapevolezza della cybersecurity.
• IT - Questo team è responsabile dell'attuazione di molte delle regole del DORA, tra cui l'autenticazione obbligatoria a più fattori e la riservatezza dei dati.

La conformità al DORA deve essere un impegno di tutta l'azienda. Tuttavia, è disponibile un'ottima tecnologia per supportare la transizione.

Presentazione delle tecnologie Thales per la conformità

Thales dispone di un ampio portafoglio di soluzioni per la sicurezza delle applicazioni, la sicurezza dei dati e la gestione delle identità e degli accessi che possono aiutare i vostri clienti a raggiungere la conformità DORA.

Thales offre una gamma di soluzioni per la sicurezza delle applicazioni che proteggono le applicazioni e le API su scala, sia nel cloud che on-premise o in un modello ibrido. La Sicurezza delle applicazioni di Thales Imperva è posizionata come leader da Gartner nel segmento Web Application and API Protection (WAAP). Gli strumenti chiave del portafoglio includono Web Application Firewall, soluzioni per la protezione da attacchi DDoS (Distributed Denial of Service) e bot maligni, e sicurezza delle API.

Nel settore della sicurezza dei dati, Thales offre soluzioni per la scoperta e la classificazione dei dati, l'analisi dei rischi dei dati e la gestione delle vulnerabilità. Queste soluzioni aiutano a identificare i dati sensibili strutturati e non strutturati a rischio, sia in sede che nel cloud. Nella gestione delle identità e degli accessi, Thales fornisce soluzioni per la gestione del controllo degli accessi, compresa la definizione di chi ha accesso a specifiche risorse all'interno di un'organizzazione.

Nel settore della crittografia e della cifratura, Cipher Trust Manager è il sistema di gestione delle chiavi leader del settore di Thales, che aiuta anche le organizzazioni più grandi a gestire le chiavi di cifratura e le politiche di accesso da una posizione centrale, con funzionalità di reporting complete. I moduli di sicurezza hardware (HSM) Thales Luna aiutano a proteggere le applicazioni business-critical e i dati sensibili gestendo le chiavi crittografiche all'interno della rete, mentre Thales Data Protection on Demand (DPoD) è un sistema di gestione delle chiavi basato su cloud che non richiede hardware.

Questi prodotti potrebbero aiutare direttamente i vostri clienti a conformarsi alla DORA, rispondendo ai requisiti essenziali di gestione del rischio di cybersecurity e fornendo report completi, accurati e tempestivi, in conformità agli articoli 8, 9, 10, 11, 19 e 28.

In particolare, la DORA richiede esplicitamente alle entità finanziarie di definire e implementare politiche per la crittografia dei dati e la gestione delle chiavi crittografiche, compresa l'agilità crittografica (aka Post Quantum Crypto). Nel caso di incidenti ICT, il DORA richiede agli enti finanziari di reagire a un incidente grave entro quattro ore e di fornire una prima analisi forense, come l'analisi dell'attività dei dati, entro 72 ore. I report e i portali sulla Sicurezza dei Dati di Thales rendono semplice la conformità a queste regole, fornendo 12 mesi di registrazioni conservate, facilmente accessibili per ricerche e indagini dettagliate. I dati di audit vengono archiviati automaticamente, ma rimangono accessibili in pochi secondi per le interrogazioni e i report.

Trasformare la conformità in un vantaggio

Utilizzando le tecnologie Thales per ottenere la conformità DORA, potete supportare i vostri clienti nel miglioramento della loro posizione di sicurezza, offrendo a voi e a loro un vantaggio competitivo.

Naturalmente, il vantaggio principale della conformità al DORA è che i vostri clienti si tengono lontani dai guai legali ed evitano multe potenzialmente devastanti. Tuttavia, in uno spazio ultra-competitivo come quello dei servizi finanziari, porre la sicurezza informatica al centro delle vostre operazioni può offrire significativi vantaggi strategici:

• Gli incidenti informatici possono danneggiare in modo significativo la reputazione di un'organizzazione, soprattutto nel settore finanziario. Quali investitori vorrebbero affidare i loro soldi a un istituto che non può garantirne la sicurezza?
• I tempi di inattività causati da incidenti informatici sono dannosi sia per i dipendenti che per i clienti, soprattutto se non sono in grado di gestire il proprio denaro. Proteggere il vostro ambiente dagli attacchi informatici aiuta a fornire un servizio di qualità superiore.
• Un sistema informatico efficiente, privo di minacce informatiche ma anche di ingombranti misure di controllo degli accessi, rende i dipendenti più produttivi.

La conformità al DORA richiede uno sforzo coordinato a livello aziendale. Ma nel mondo di oggi, caratterizzato da minacce informatiche sempre più sofisticate, è essenziale. Tuttavia, se supportate i vostri clienti con la giusta competenza e la migliore tecnologia, non deve essere una sfida troppo grande. Invece di limitarsi a rispettare la DORA, perché non andare oltre la conformità e iniziare a cogliere i vantaggi aziendali?

Per saperne di più

Scaricate l'ultimo white paper di Thales per saperne di più sulla conformità al DORA (comprese le spiegazioni dettagliate dei requisiti) e su come la suite di soluzioni Thales può aiutarvi a raggiungerla.

SCARICA IL LIBRO BIANCO

Se siete alla ricerca di assistenza e guida esperta nel vostro percorso di conformità DORA, è il momento di parlare con Exclusive Networks. Vi aiuteremo a cogliere le opportunità che il DORA presenta, in modo che la conformità diventi il vostro vantaggio competitivo.

CONTATTATECI