Il Digital Operational Resilience Act (DORA), il nuovo regolamento dell'Unione Europea, è ormai una realtà per il settore finanziario. Questa normativa impone nuove sfide e responsabilità ai CIO e ai CISO di banche, assicurazioni e altre entità finanziarie. L'obiettivo è ambizioso: rafforzare la resilienza operativa digitale dell'intero sistema finanziario europeo, rendendolo più capace di resistere a minacce informatiche sempre più sofisticate e a interruzioni operative di varia natura.
L'impatto profondo di DORA
Il DORA non si limita a semplici raccomandazioni, ma stabilisce requisiti stringenti e dettagliati che toccano diversi aspetti fondamentali della gestione dell'ICT nel settore finanziario. La gestione del rischio ICT diventa un processo continuo e integrato, che richiede alle aziende di identificare, valutare, mitigare e monitorare costantemente tutte le potenziali minacce legate alla tecnologia. Non si tratta più di una valutazione annuale, ma di un'attività quotidiana.
STAI SPRECANDO SOLDI nel marketing? La verità sui DATI che nessuno ti dice! - Matteo Zambon
Un altro aspetto cruciale è la segnalazione degli incidenti. Il DORA impone la tempestiva comunicazione alle autorità competenti di qualsiasi incidente informatico significativo. Questo obbligo di trasparenza mira a creare un sistema di allerta precoce a livello europeo, consentendo una risposta più rapida ed efficace alle minacce emergenti.
La resilienza operativa digitale non è solo teorica, ma deve essere messa alla prova. Il DORA richiede alle aziende di condurre regolarmente test rigorosi per valutare la propria capacità di resistere a scenari di stress e interruzioni, simulando attacchi informatici, guasti tecnici e altre situazioni critiche.
Un punto spesso sottovalutato è la gestione del rischio di terze parti. Molte entità finanziarie si affidano a fornitori esterni per servizi ICT essenziali. Il DORA impone di valutare e gestire attentamente i rischi derivanti da queste collaborazioni, garantendo che anche i fornitori rispettino standard di sicurezza e resilienza adeguati.
Infine, il DORA promuove la condivisione delle informazioni sulle minacce informatiche tra le entità finanziarie. Questa collaborazione, pur nel rispetto delle normative sulla privacy, mira a creare una rete di intelligence collettiva, aumentando la consapevolezza e la preparazione dell'intero settore.
La risposta congiunta di CIO e CISO
Di fronte a questa nuova realtà, CIO e CISO sono chiamati a un ruolo di primo piano. La loro collaborazione non è più un'opzione, ma una necessità. Devono lavorare insieme per garantire che le aziende non solo rispettino le nuove regole, ma sviluppino una vera e propria cultura della resilienza operativa digitale, che permei ogni aspetto dell'organizzazione.
Le strategie di maggior successo non si limitano a "mettersi in regola", ma puntano a trasformare l'obbligo normativo in un'opportunità. Ad esempio, si sta assistendo a un'integrazione sempre più stretta della gestione del rischio ICT in tutti i processi aziendali, superando la vecchia concezione della sicurezza informatica come un compartimento stagno.
L'innovazione tecnologica gioca un ruolo fondamentale. Molte aziende stanno investendo in soluzioni avanzate, come l'intelligenza artificiale e il machine learning, per automatizzare il rilevamento e la risposta alle minacce, rendendo i test di resilienza più efficienti e realistici.
Ma la tecnologia da sola non basta. La formazione e la sensibilizzazione del personale sono diventate prioritarie. Tutti i dipendenti, non solo gli specialisti IT, devono essere consapevoli dei rischi informatici e delle buone pratiche da seguire. La collaborazione con i fornitori di servizi ICT è un altro aspetto cruciale. CIO e CISO stanno lavorando a stretto contatto con questi partner per garantire che anch'essi adottino standard di sicurezza e resilienza all'altezza delle sfide poste dal DORA.
Infine, molte aziende stanno organizzando simulazioni di crisi su larga scala, coinvolgendo tutti i livelli dell'organizzazione, per testare i piani di risposta agli incidenti e migliorare la capacità di ripristino delle operazioni in caso di eventi avversi.
DORA come leva strategica
Il DORA non è solo un onere burocratico, ma un'opportunità strategica per le aziende del settore finanziario. Investire nella resilienza operativa digitale non è solo un costo, ma un investimento nel futuro. Significa proteggere la reputazione dell'azienda e la fiducia dei clienti, un bene prezioso in un mondo sempre più digitale e interconnesso.
Significa anche ridurre i costi a lungo termine. Prevenire un incidente informatico è molto meno oneroso che gestirne le conseguenze, sia in termini economici che di immagine. Un'infrastruttura ICT resiliente e ben gestita contribuisce a migliorare l'efficienza operativa complessiva, eliminando colli di bottiglia e ottimizzando i processi.
Infine, la resilienza operativa digitale può diventare un vero e proprio vantaggio competitivo. Le aziende che dimostrano di essere affidabili e in grado di garantire la continuità dei servizi anche in situazioni critiche possono attrarre e fidelizzare più clienti, distinguendosi dalla concorrenza.
La situazione italiana: luci e ombre
L'Italia, come gli altri Stati membri dell'UE, sta recependo il DORA. Le autorità di vigilanza, come Banca d'Italia e IVASS, sono impegnate a fornire linee guida e supporto alle aziende. Tuttavia, il panorama italiano appare piuttosto variegato. Alcune grandi banche e assicurazioni hanno già avviato progetti ambiziosi per adeguarsi al DORA, investendo in tecnologie, competenze e processi. Altre realtà, soprattutto le più piccole, stanno ancora cercando di capire come affrontare al meglio questa sfida.
Tra le difficoltà maggiori che le aziende italiane devono affrontare, spicca la carenza di esperti di cybersecurity e resilienza operativa digitale. La domanda di queste figure professionali supera di gran lunga l'offerta, creando una vera e propria "guerra dei talenti". Un'altra sfida è rappresentata dalla complessità tecnologica. Molte aziende italiane utilizzano ancora sistemi ICT obsoleti, che rendono più difficile l'implementazione delle nuove misure di sicurezza e resilienza richieste dal DORA.
Infine, non si possono ignorare i vincoli di budget. Per le piccole e medie imprese, gli investimenti necessari per adeguarsi al DORA possono rappresentare un ostacolo significativo.