Per rispondere in modo efficace a queste sfide, dal 17 gennaio del prossimo anno entrerà in vigore il Digital Operational Resilience Act (DORA) dell’UE, che prevede severe sanzioni pecuniarie in caso di non conformità. L’obiettivo di DORA è quello di rafforzare “la sicurezza informatica di entità finanziarie come banche, compagnie assicurative e società di investimento e garantire che il settore finanziario in Europa sia in grado di rimanere resiliente in caso di gravi interruzioni operative.” A livello pratico, DORA armonizzerà le regole di resilienza operativa in 20 diverse tipologie di entità finanziarie e fornitori di servizi ICT di terze parti. Si tratta, tra l’altro, di istituti di credito e di pagamento, società di investimento, fornitori di servizi di cripto-asset, aziende del settore assicurativo e pensionistico e persino servizi di crowdfunding.
I regolamenti richiedono alle imprese di concentrarsi su una serie di aree chiave, che vanno dalla gestione del rischio ICT (compresi i fornitori di terze parti), ai test di resilienza operativa digitale e alla segnalazione degli incidenti, fino alla condivisione delle informazioni e all’implementazione di un framework di supervisione per i fornitori ICT critici di terze parti. Questi possono causare potenziali conseguenze di ampia portata per entità finanziarie e fornitori tech che operano senza processi o controlli adeguati.
Essendo una normativa dell’UE, DORA avrà valore non solo sulle aziende basate territorialmente nell’Unione, ma – in modo simile al GDPR – sarà rilevante anche per le entità finanziarie o fornitori di ICT che forniscono servizi ad aziende nell’Unione, ad esempio dal Regno Unito, che dovranno attenersi alle sue regole, con violazioni che possono comportare sanzioni fino al 2% del fatturato totale annuo mondiale, in base alla gravità del caso. Se l’applicazione del GDPR è un dato di fatto, le autorità di regolamentazione dell’UE sono pienamente concentrate sulle regole, con oltre 4 miliardi di euro riscossi su chi ha violato il GDPR dal 2018.
Quindi, a meno di un anno dall’inizio delle attività di supervisione, quali passi possono compiere le aziende per assicurarsi di essere conformi? Ci sono cinque punti fondamentali da tenere in considerazione:
In un ambiente in cui le normative giocano un ruolo sempre più importante nel determinare la direzione della strategia di cybersecurity, è fondamentale che le aziende affinino il loro approccio alla conformità in generale. In questo modo si apre la prospettiva di un vantaggio per tutti: la sicurezza digitale e la resilienza ricevono l’enfasi che meritano e un numero minore di imprese è vittima di gravi violazioni. Non è difficile prevedere che saranno sufficienti poche settimane per vedere annunciata la prima azione esecutiva legata a DORA. Le aziende che si preparano ora potranno ridurre al minimo le possibilità di finire sulle prime pagine dei giornali nel modo sbagliato.
di Darren Thomson, Field CTO EMEAI di Commvault
Leggi anche: “Parlamento UE boccia nuova direttiva sul copyrght”
*illustrazione articolo by EIOPA
EasyOS è una distribuzione Linux leggera e user-friendly sviluppata da Barry Kauler, creatore di Puppy…
Scoperto dai ricercatori di Kaspersky un trojan che prende di mira gli utenti italiani
I programmi formativi promossi da Samsung Electronics sono progettati per indirizzare i giovani verso le…
Potenziate le applicazioni della AI per aziende private e pubbliche amministrazioni grazie alla protezione dell’AI…
Il malware, che Kaspersky ha identificato come Backdoor.Win64.MLoki, è una versione private agent del framework…
Nuove funzionalità e miglioramenti per supporto hardware, gestione della CPU e della memoria, prestazioni di…
Abbonati ad Hackerjournal per un anno a 33,90 € con digitale in omaggio anziché 46,90 €!
CLICCA QUI PER ABBONARTI!