DORA – Rafforzare e armonizzare la resilienza operativa in tutta l’UE. 

Vedi l'articolo completo su https://cjcit.com/insight/dora-navigating-the-eus-operativeal-resilience-landscape/

Il DORA dell’UE è inevitabile e avrà effetti a catena oltre i confini dell’Unione. Sostituisce le precedenti linee guida sulla resilienza operativa specifiche del settore e supera le disparità nazionali, armonizzando le linee guida per le aree chiave di interesse nell’intero settore finanziario.
catena del valore del settore per stabilire un quadro comune in tutta l’Unione. Questo approfondimento esplora i macro impatti di DORA, riassumendo le sezioni chiave del testo completo di DORA per definire:

1. Cos'è DORA e le sue 5 aree di interesse?
2. Perché DORA è importante?
3. A chi si rivolge DORA?
4. Conformità DORA e non conformità.

Le tecnologie digitali sono fondamentali per le società finanziarie e del mercato dei capitali globali per supportare sistemi complessi, sono fondamentali per la fornitura di funzioni aziendali tipiche e attività generatrici di entrate. La digitalizzazione e la conseguente interconnettività
consentire una maggiore efficienza e risparmi sui costi, ma anche amplificare i rischi legati alle tecnologie dell’informazione e della comunicazione (TIC) e aumentare la vulnerabilità del sistema finanziario alle minacce o alle interruzioni informatiche.

Nonostante le iniziative politiche e legislative mirate a livello nazionale, l’Unione Europea (UE) riconosce la necessità fondamentale di armonizzare e rafforzare la resilienza operativa tra i suoi Stati membri per proteggere l’integrità e l’efficienza del sistema interno
mercato, in particolare considerando l’escalation delle minacce informatiche1 e interruzione
incidenti2. Una visione recentemente ripresa da Liquidnet3:

“La forza del settore è pari a quella del suo anello più debole […] Il 2024 non rappresenterà solo un maggiore controllo normativo su conformità, rischi e controlli, nonché sull’interoperabilità tecnologica, ma anche una responsabilità individuale nel far funzionare l’ecosistema in modo ottimale”.

Per affrontare le sfide attuali in materia di resilienza, l’UE ha introdotto il Digital Operational Resilience Act (DORA) per rafforzare la sicurezza ICT e la robustezza operativa per le entità finanziarie.

Cos'è DORA e le sue 5 aree di interesse?

DORA è stato adottato dal Parlamento Europeo e dal Consiglio il 14 dicembre 2022, con conformità richiesta entro il 17 gennaio 2025. Il regolamento mira a consolidare e migliorare la resilienza operativa digitale nel panorama finanziario che ha,
fino a questo momento sono state affrontate separatamente in vari atti giuridici dell’Unione attraverso un quadro comune4 per la resilienza operativa digitale
delle entità finanziarie per resistere e riprendersi meglio da violazioni e incidenti ICT.

Le 5 aree di intervento di DORA:

1. Gestione del rischio ICT.
2. Gestione, classificazione e reporting degli incidenti legati alle ICT.
3. Test di resilienza operativa digitale.
4. Gestione del rischio ICT verso terze parti.
5. Accordi per la condivisione delle informazioni.

Perché DORA è importante?

DORA si basa e sostituisce le precedenti linee guida specifiche del settore per superare le disparità e consolidare costantemente le linee guida per le aree chiave dell’intera catena del valore. È unico perché introduce un quadro di controllo comune a livello sindacale
fornitori terzi critici di ICT, designati dalle Autorità europee di vigilanza (AEV)5.

Con il settore finanziario che fa affidamento sui sistemi ICT digitali e con la crescita dell’interconnettività, i rischi e le vulnerabilità ICT avranno un impatto transfrontaliero sempre più dirompente in tutta l’Unione, che amplifica l’effetto delle interruzioni operative e delle minacce informatiche.
minacce alle società finanziarie. DORA riconosce che la digitalizzazione ora comprende funzioni finanziarie critiche6 piace
pagamenti, compensazione titoli, negoziazione algoritmica e operazioni di back-office. Mira a rafforzare la resilienza operativa di queste funzioni per mantenere la stabilità finanziaria complessiva e proteggere la fiducia dei consumatori nei mercati interni. DORA mira a preservare
fiducia del mercato garantendo la fornitura continua di servizi finanziari anche in scenari difficili.

A chi si rivolge DORA?

DORA si applica a tutti gli istituti finanziari dell'UE e ai fornitori di servizi ICT di terze parti che forniscono servizi a loro supporto. Un'intuizione recente10 indirizzata
Questo. Il regolamento DORA dell'UE introduce requisiti specifici e prescrittivi per tutti i partecipanti ai mercati finanziari.

DORA – Enti Finanziari

Per conformarsi a DORA, le entità finanziarie devono migliorare le pratiche di gestione dei rischi ICT, che includono l’identificazione, la valutazione e la mitigazione dei rischi associati alle operazioni digitali. DORA introduce inoltre obblighi di tempestiva segnalazione degli incidenti ICT ai
autorità competenti per interruzioni di funzioni critiche. Inoltre, le istituzioni devono simulare regolarmente varie interruzioni per testare la resilienza operativa e le capacità di recupero.

In particolare, DORA sottolinea che le entità finanziarie devono valutare e gestire il rischio ICT di terze parti dei loro fornitori di servizi e garantire che gli accordi contrattuali affrontino la resilienza operativa. Si tratta della concentrazione del rischio (DORA articolo 2911)
e segue incidenti come l'interruzione dell'OPRA12e la criminalità informatica che prende di mira i fornitori critici
nella catena di fornitura finanziaria come l’hacking del gruppo Ion dell’anno scorso13 or
fornitori di cloud computing14, Dove
un singolo incidente può avere un impatto potenziale su più entità finanziarie.

Va notato che l’impatto delle interruzioni non si limita alle imprese e agli utenti finali, con ripercussioni potenzialmente traboccanti sulle finanze personali, come dimostrato dalla banca DBS15 prima
quest'anno.

DORA – Dipendenze da terze parti e resilienza operativa

Le entità finanziarie fanno sempre più affidamento su fornitori terzi per fornire parti critiche delle loro operazioni e servizi, di conseguenza, DORA influisce in modo significativo anche sulle dipendenze da terze parti. Queste terze parti includono fornitori di servizi cloud,
fornitori di dati, sviluppatori di software e altri partner tecnologici. L’esternalizzazione di alcune funzioni può migliorare l’efficienza e ridurre i costi ma, come abbiamo visto con Ion, introduce anche nuovi rischi. Le autorità devono ora guardare oltre la resilienza dei singoli soggetti regolamentati
imprese e valutare la più ampia resilienza operativa del settore.

DORA sottolinea l’importanza di solide pratiche di gestione del rischio per le dipendenze di terze parti con l’obiettivo di rafforzare la resilienza complessiva del settore finanziario nell’era digitale. Questi includono:

1. Ampio ambito del rischio ICT di terze parti – Per migliorare la resilienza operativa nel settore dei servizi finanziari, DORA getta un’ampia rete per definire il rischio ICT di terze parti. Ad esempio, DORA articolo 3 (18)16 definisce
   Rischio ICT di terzi come qualsiasi rischio ICT – Articolo 3, paragrafo 517 – che possono derivare per un soggetto finanziario dall'utilizzo dei servizi ICT forniti
   da un fornitore di servizi terzo, da subappaltatori o da accordi di outsourcing.
2. Pratiche di gestione del rischio per fornitori di terze parti – DORA impone pratiche di gestione del rischio adeguate per i fornitori di terze parti per ridurre i rischi operativi associati ai rapporti con terze parti e garantire la resilienza. Si propone inoltre di attuare un sistema armonizzato
   quadro normativo per la gestione del rischio dei fornitori terzi in tutta l’UE (articolo 1518).
3. Fornitori di servizi ICT critici di terze parti – DORA riconosce il ruolo critico dei fornitori di servizi ICT nei servizi finanziari. Se una terza parte è ritenuta critica, come in alcuni casi CJC, deve rispettare i requisiti di DORA. In particolare, terze parti critiche
   al di fuori dell’UE sono tenuti a stabilire una filiale all’interno dell’UE – Articolo 31 (12)19 – nonostante il preambolo (82)20 note
   il requisito “non dovrebbe impedire al fornitore terzo di servizi ICT critici di fornire servizi ICT e relativo supporto tecnico da strutture e infrastrutture situate al di fuori dell’Unione”.

Parlando di resilienza operativa e conformità DORA, Gina Wee, Chief Information Officer di CJC, ha affermato: "Dall'implementazione di una solida crittografia e di un rigoroso controllo degli accessi alla conduzione di audit regolari, CJC mantiene elevati livelli di conformità per garantire che i dati
sicurezza. In combinazione con una pianificazione proattiva, procedure adattive e una cultura di miglioramento continuo, garantiamo servizi ininterrotti ai nostri clienti. Ci auguriamo che il nostro impegno nei confronti della sicurezza delle informazioni, della resilienza operativa e della responsabilità fornisca il nostro
tranquillità dei clienti e fiducia nei nostri servizi gestiti”.

Conformità DORA e non conformità

Il rischio di non conformità

Il mancato rispetto di DORA può comportare danni alla reputazione, perdite finanziarie e sanzioni normative. Le aziende che non rispettano i requisiti DORA rischiano interruzioni operative, insoddisfazione dei clienti e potenziali conseguenze legali.

Conformità DORA – 3 considerazioni e migliori pratiche

Per conformarsi a DORA, le istituzioni finanziarie devono mappare in modo completo le dipendenze esistenti di terze parti e comprendere la comprensione dei servizi delle funzioni esternalizzate per identificare le dipendenze critiche. Il passaggio 2 valuta la resilienza delle dipendenze mappate
valutare le capacità operative, le misure di sicurezza e i piani di ripristino di emergenza del proprio fornitore di servizi. Infine, gli accordi contrattuali con terzi dovrebbero affrontare specificamente i requisiti di resilienza operativa. Ciò include disposizioni per incidenti
obiettivi di reporting, continuità aziendale e tempi di ripristino.

Per rimanere conformi, gli istituti finanziari possono adottare diverse misure per implementare le migliori pratiche per garantire la conformità continua con DORA. Questi includono:

1. Due Diligence – Quando si selezionano fornitori terzi, condurre un'approfondita due diligence considerando i loro precedenti di risultati, stabilità finanziaria e resilienza operativa.
2. Test degli scenari: simula vari scenari con terze parti per testare l'efficacia dei piani di ripristino. Ciò dovrebbe includere attacchi informatici, guasti di sistema e disastri naturali.
3. Monitoraggio continuo: monitorare regolarmente le prestazioni e la conformità di terze parti, essendo pronti ad adattarsi qualora le condizioni di resilienza dovessero cambiare.

Parole finali:

DORA non è solo un regolamento; è un'opportunità strategica per migliorare la vostra resilienza operativa e creare fiducia nell'era digitale. In qualità di fornitore leader di servizi e consulenza tecnologica sui dati di mercato per i mercati finanziari globali, CJC mantiene la propria posizione
seriamente come fornitore terzo critico di servizi gestiti di dati di mercato per la comunità del mercato dei capitali. Indipendentemente dal livello di servizio, gli standard conformi a DORA e la trasparenza sono fuori dagli schemi di CJC, che fornisce consulenza pluripremiata,
servizi gestiti, soluzioni cloud, osservabilità e servizi di gestione commerciale professionale per sistemi di dati di mercato mission-critical. CJC è indipendente dal fornitore e certificato ISO 27001, consentendo ai partner di CJC la libertà di concentrarsi sul proprio core business.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs