Regolamento DORA nel settore finanziario

Regolamento DORA nel settore finanziario – Un approfondimento sui test di penetrazione avanzati

Abstract dell’elaborato del Dottor Mario Sivero, studente della III edizione del Master in Risk Management, Internal Audit & Frodi – RIAF.

Modulo 3 – Advanced risk management

ABSTRACT

Le linee guida, pur non costituendo un requisito normativo, rappresentano un utile strumento per gli operatori nazionali del settore per prepararsi in anticipo alla piena applicazione del Regolamento.

Dal 17° Gennaio 2023 è entrato in vigore il Regolamento UE 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario, meglio noto come DORA, che promuove la convergenza a livello comunitario dei requisiti di sicurezza richiesti per i sistemi digitali degli intermediari.
Il Regolamento si applica a tutti gli operatori del settore finanziario, inclusi i provider di servizi ICT (es. fornitori di software, applicazioni data analytics), che dovranno conformarsi alle disposizioni entro il Gennaio 2025.


Cosa chiede la normativa
Il regolamento introduce numerosi requisiti, classificabili nelle seguenti aree:
1) ICT Governance
Adozione di un sistema di governance e organizzazione interna che garantisca un controllo efficace di tutti i rischi ICT, sottoposto all’approvazione diretta dell’organo di gestione;
2) ICT Risk Management
Adozione di un piano di gestione dei rischi informatici, di una strategia di resilienza digitale e di un sistema di classificazione e segnalazione degli incidenti informatici;
3) Test di resilienza operativa digitale
Adozione di un piano di testing sugli applicativi e sistemi ICT, con cadenza almeno annuale, che includa la valutazione delle vulnerabilità, della sicurezza fisica e delle reti, e l’esecuzione di test di penetrazione avanzati (Threat-Led Penetration Test);
4) ICT Third-Party Management
Introduzione di specifici obblighi contrattuali per i fornitori al fine di garantire un adeguato monitoraggio delle attività svolte, con particolare attenzione per i provider di servizi critici.


Threat-Led Penetration Test – Cosa sono e a quali operatori sono rivolti?
I TLPT hanno l’obiettivo di valutare la sicurezza di una infrastruttura tecnologica tramite tentativi mirati di elusione dei controlli, simulando attacchi reali e sfruttando le vulnerabilità esistenti. I test vengono performati mediante rigide modalità di esecuzione e con il coinvolgimento di differenti gruppi interni e/o esterni all’ente (es. red e blue team).
Gli intermediari verranno assoggettati ai TLPT direttamente dall’autorità competente designata, sulla base delle dimensioni e del profilo di rischio complessivo.


Una anticipazione italiana al DORA
Nel corso del 2022 è stata pubblicata la guida TIBER-IT che recepisce a livello italiano il framework comunitario TIBER-EU (Threat Intelligence-based Ethical Red Teaming), ed espone una metodologia operativa sui TLPT per saggiare le capacità di protezione e risposta agli incidenti cyber malevoli.
Le linee guida, pur non costituendo un requisito normativo, rappresentano un utile strumento per gli operatori nazionali del settore per prepararsi in anticipo alla piena applicazione del Regolamento.


Vuoi approfondire ulteriormente?

Il Master in Risk Management, Internal Audit & Cybersecurity mira a formare figure professionali che siano in grado di interpretare e gestire le più recenti dinamiche normative e di mercato attinenti alla corporate governance. Grazie all’utilizzo di casi aziendali, verranno contestualizzati e analizzati i temi nelle diverse realtà: dalle aziende quotate alle banche, dalle grandi alle piccole/medie imprese.