DORA: nuove norme per la sicurezza digitale del finance

Il Digital Operational Resilience Act o DORA, introdotto dall’Unione Europea alla fine del 2022 ed entrato ufficialmente in vigore il 17 gennaio 2025, rappresenta un passo significativo per rafforzare la sicurezza informatica delle organizzazioni finanziarie e dei loro fornitori di servizi ICT. Questo regolamento, applicabile a tutti gli Stati membri dell’UE, impone misure concrete affinché le aziende siano preparate non solo a fronteggiare eventuali incidenti informatici, ma anche a prevenirli, segnalarli tempestivamente e garantire un rapido ripristino delle operazioni in caso di attacco.

DORA introduce un concetto chiave: la resilienza digitale, che va oltre la mera gestione delle minacce per diventare un requisito essenziale di stabilità dell’intero ecosistema finanziario europeo. In questo contesto, Tinext Cloud, società specializzata in servizi Cloud e cybersicurezza, ha approfondito il tema attraverso diverse iniziative - tra cui un webinar dedicato, che è possibile rivedere a questo link, e un articolo di approfondimento sul proprio Blog - per fornire alle imprese strumenti concreti per comprendere e affrontare i nuovi obblighi normativi.

Perché il DORA è rilevante anche per le aziende svizzere

Il regolamento coinvolge un’ampia gamma di operatori del settore finanziario, tra cui banche, istituti di pagamento, società di investimento, assicurazioni e fondi, oltre ai fornitori di servizi fintech e di infrastrutture digitali come Cloud provider e data center. L’obiettivo è garantire che tutti gli attori coinvolti nella catena del valore finanziario operino secondo standard elevati di sicurezza e resilienza.

Sebbene la Svizzera non sia direttamente vincolata da DORA, in quanto Stato non facente parte dell’UE, anche le aziende elvetiche possono beneficiare dell’adozione delle best practice previste dalla normativa europea; quest’ultima è, infatti, in linea con le direttive della FINMA, l’autorità di vigilanza finanziaria svizzera, che da tempo richiede elevati standard di sicurezza informatica. Inoltre, le imprese che intrattengono relazioni commerciali con partner europei possono ottenere un vantaggio competitivo investendo nella conformità a queste normative.

I quattro pilastri della conformità al DORA

Il regolamento DORA propone un modello strutturato di resilienza digitale basato su quattro ambiti fondamentali.

1. In primis, per garantire la continuità operativa, le imprese devono identificare le proprie funzioni critiche, analizzare le possibili minacce informatiche e adottare misure di sicurezza adeguate, rendendo così la gestione del rischio ICT un elemento chiave della strategia aziendale.

2. A questo si affianca l’obbligo di monitorare costantemente gli attacchi e segnalare tempestivamente eventuali incidenti alle autorità competenti, un’attività fondamentale per contenere i danni e preservare la fiducia di clienti e partner.

3. La resilienza operativa passa anche attraverso test periodici di sicurezza, tra cui penetration test avanzati, che consentono di simulare scenari di attacco e verificare l’efficacia delle difese informatiche.

4. Ultimo aspetto cruciale riguarda la gestione del rischio dei fornitori di servizi ICT, che devono garantire elevati standard di sicurezza e affidabilità, riducendo i pericoli lungo l’intera catena del valore.

Le soluzioni di Tinext Cloud per la conformità al DORA

Per supportare le aziende nell’adeguamento ai requisiti di DORA e migliorare la propria resilienza digitale, Tinext Cloud offre una gamma di servizi avanzati di cybersecurity.

• Managed Detection and Response (MDR), una soluzione di monitoraggio continuo che identifica e neutralizza in tempo reale le minacce informatiche;
  
• Vulnerability Management, sistema per l’analisi e la riduzione delle vulnerabilità, volto a minimizzare i rischi di attacco;
  
• Web Application Protection, ossia la protezione delle applicazioni web, fondamentale per prevenire intrusioni e attacchi mirati;
  
• Disaster Recovery as a Service (DRaaS), una strategia per garantire il ripristino rapido delle operazioni aziendali in caso di emergenza, limitando l’impatto degli incidenti informatici.
  

È importante sottolineare che implementare le misure previste dalle regolamentazioni internazionali, come DORA e FINMA, non solo permette di rispettare gli obblighi normativi, ma rappresenta anche un’opportunità strategica per rafforzare la continuità operativa e proteggere i dati aziendali: le imprese possono così affrontare con successo le sfide della cybersecurity e contribuire alla stabilità dell’intero ecosistema finanziario.