Effettua la tua ricerca
More results...
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
L’impegno europeo per una maggiore sicurezza informatica
A cura di Eugenio Gualdi, Advanced Cybersecurity Advisor
Entrato in vigore il 16 gennaio 2023, tra poco più di un mese, il 17 gennaio 2025, il Digital Operational Resilience Act (DORA) (Regolamento (UE) 2022/2554) diventerà pienamente applicabile, delineando un quadro normativo armonizzato in tutti gli Stati membri sul tema della resilienza operativa digitale nel settore finanziario.
Il Regolamento si inserisce nel più ampio contesto di interventi normativi che negli ultimi anni sono stati portati avanti a livello comunitario per far fronte alle sfide poste dalla trasformazione digitale, con particolare attenzione ai rischi per la sicurezza cibernetica. Il crescente aumento di attacchi cyber ha portato infatti il legislatore europeo ad intervenire per rafforzare la cibersicurezza e la resilienza operativa digitale nel settore finanziario e più in generale in tutti i settori considerati critici.
In tale scenario, un altro tassello importante è rappresentato dalla Direttiva (UE) 2022/2555 (c.d. “Network and Information Systems Directive” – NIS 2) – recepita di recente in Italia con il D.Lgs. 138/2024 – che mira a garantire un livello comune elevato di cibersicurezza nell’Unione, prevedendo una serie di obblighi per le imprese che operano in settori critici, tra cui anche quello bancario.
DORA e NIS 2 presentano diversi profili di interconnessione, operando in stretta sinergia per raggiungere lo stesso, comune, obiettivo: creare un ambiente digitale più sicuro e resiliente. Diventa quindi essenziale per le organizzazioni individuare e comprendere le aree di intersezione tra queste due normative, al fine di adottare una strategia di cybersecurity sostenibile ed efficace.
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
DORA e NIS 2, due atti normativi differenti
Prima di analizzare gli aspetti che accomunano DORA e NIS 2, occorre sottolineare un’importante differenza tra i due atti normativi, relativa alla loro natura giuridica.
Il Digital Operational Resilience Act è un regolamento, ossia un atto giuridico vincolante e direttamente applicabile in tutti gli Stati membri, senza necessità di recepimento da parte di questi ultimi. Questo ovviamente garantisce una maggiore uniformità e armonizzazione nell’applicazione degli obblighi.
La NIS 2 invece è una direttiva, ossia un atto che stabilisce determinati obiettivi generali che tutti i Paesi dell’UE devono conseguire entro un termine predefinito, lasciando però a questi ultimi il potere di scegliere la forma e i mezzi per raggiungere tale scopo. La NIS 2 pertanto non è direttamente applicabile per ciascuno Stato ma necessita di essere recepita e attuata all’interno dei singoli ordinamenti nazionali, con la possibilità che vi siano alcune differenze tra uno Stato membro e l’altro riguardo agli adempimenti previsti. Tale circostanza potrebbe avere un impatto in particolare per quelle organizzazioni con sedi in diversi Stati membri, che dovranno monitorare e tenere in considerazione le eventuali differenze nelle misure richieste per garantire la compliance.
Ambito di applicazione: il rapporto tra DORA e NIS 2
Per quanto riguarda l’ambito di applicazione, se il DORA si rivolge specificamente al settore finanziario e assicurativo – nonché ai fornitori critici di servizi ICT operanti in tale mercato – la NIS 2 presenta un perimetro più ampio, ricomprendendo tutti i soggetti pubblici e privati che forniscono servizi considerati come “essenziali” o “importanti” per l’economia e la società (secondo quanto definito dagli allegati I e II della Direttiva). Tra questi, vi rientrano anche gli enti creditizi, le infrastrutture dei mercati finanziari (gestori delle sedi di negoziazione e controparti centrali) e i fornitori di infrastrutture digitali critiche nel settore finanziario, andando quindi a sovrapporsi, in parte, al perimetro della normativa DORA. In tali casi, come precisato sia dal Considerando §16 del Regolamento che dall’art. 4 della Direttiva, prevarranno le disposizioni del Regolamento, in quanto costituisce una lex specialis rispetto alla NIS 2.
Lo stesso Considerando §16 del Regolamento sottolinea che al tempo stesso è essenziale mantenere un saldo rapporto tra il settore finanziario e il quadro orizzontale di cibersicurezza dell’Unione, come stabilito nella Direttiva NIS 2, per garantire la coerenza con le strategie di cybersecurity adottate dagli Stati membri e permettere alle autorità di vigilanza finanziaria di venire a conoscenza degli incidenti informatici che colpiscono altri settori contemplati da tale direttiva.
Finanziamenti personali e aziendali
Prestiti immediati
Requisiti di sicurezza previsti dalle due normative: la centralità di una governance end-to-end e l’importanza della supply-chain security
Quanto ai principali requisiti previsti dalle due normative, il DORA introduce obblighi dettagliati in merito alla gestione dei rischi ICT, all’incident management, allagestione della supply-chain security e alla conduzione dei test di resilienza operativa digitale, enfatizzando l’importanza di una governance end-to-end che attribuisca alla resilienza operativa digitale il ruolo di “orchestrare” e dirigere tutti i processi aziendali. Allo stesso modo la NIS 2, se da un lato prevede requisiti più generici rispetto alla normativa DORA in materia di risk management e misure di sicurezza (individuando comunque una serie di misure minime da rispettare) , dall’altro anche la Direttiva insiste sull’importanza di un metodo di governance che integri la cybersecurity tra gli elementi che devono orientare le attività di business. In tale ottica, entrambe le normative attribuiscono specifici compiti e responsabilità in capo all’organo di gestione, come ad esempio l’approvazione delle politiche di sicurezza, una supervisione continua sull’attuazione e sull’efficacia delle misure, nonché l’obbligo di mantenere sempre aggiornate le conoscenze e le competenze in materia di sicurezza informatica, attraverso una formazione specifica.
Per quanto riguarda gli incidenti di sicurezza, entrambi i framework prevedono una serie di obblighi in merito alla gestione e alla notifica degli stessi, disciplinando criteri e tempistiche per l’identificazione, classificazione e segnalazione.
Altro tema centrale per entrambe le normative è quello della governance della supply-chain. Sia il DORA che la NIS 2 infatti sottolineano l’importanza di gestire i rischi derivanti da terze parti, in particolare per quanto riguarda i fornitori di servizi IT.
Nello specifico, l’approccio dettato dal Regolamento è quello di integrare la gestione dei rischi derivanti da terzi all’interno della propria strategia di risk management, stabilendo altresì obblighi specifici riguardo alla registrazione e documentazione degli accordi con terze parti, alle clausole da inserire all’interno dei contratti e alle valutazioni da effettuare prima della stipula e durante l’intero rapporto contrattuale.
A quanto previsto dalla normativa DORA fa eco la NIS 2, che richiede ai soggetti obbligati di tenere conto delle vulnerabilità specifiche per ogni diretto fornitore e della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei propri fornitori, comprese le loro procedure di sviluppo sicuro.
L’approccio di NTT DATA: una cybersecurity strategy sostenibile
DORA e NIS 2 rappresentano un passo avanti significativo nell’innalzamento degli standard di cybersecurity all’interno dell’Unione Europea. Le organizzazioni che rientrano nel perimetro di applicazione delle due normative sono chiamate a un cambio di passo importante per adottare le misure necessarie ad assicurare un livello di sicurezza adeguato e garantire la conformità.
In tale scenario, NTT DATA si pone al fianco delle aziende nella definizione di una strategia di cybersecurity efficace e “su misura”, sulla base delle specifiche esigenze di business, che tenga conto delle relazioni e dei punti di intersezione tra le diverse normative – anche attraverso il riferimento ai principali framework di settore – ottimizzando così i processi e gli investimenti delle organizzazioni.
Prestito condominio
per lavori di ristrutturazione
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
