Cybersecurity: il 17 gennaio sarà attivo il regolamento DORA. Cosa è e come impatta sulle aziende

L'Unione Europea sta prendendo molto sul serio il tema della sicurezza informatica, imponendo una serie di regolamenti ai quali devono sottostare le imprese che operano in ambiti specifici, considerati critici. A ottobre è entrato in vigore NIS2, rivolto alle realtà che operano nella sanità, nell'alimentare, nei servizi postali e di spedizioni, nei servizi digitali e non solo. 

Il 17 gennaio, invece, è il turno della normativa DORA, che si applica alle aziende che operano nel settore dei servizi finanziari. 

Cosa è DORA e perché è importante

DORA (Digital Operational Resilience Act) è una normativa dell'Unione Europea volta a garantire la resilienza operativa digitale delle imprese e delle infrastrutture critiche nel settore finanziario. A tutti gli effetti, parliamo di un framework per assicurare che le realtà coinvolte possano contare su standard di sicurezza considerati adeguati all'ambito di riferimento. 

Sono coinvolte le banche e gli istituti finanziari, le compagnie assicurative, i fondi di investimento, i fornitori di servizi di pagamento e i fornitori di servizi ICT che operano nel settore finanziario. 

Le aziende che devono sottostare a queste norme dovranno strutturarsi e mettere in piedi dei sistemi per rilevare, identificare e respingere le minacce informatiche, ma anche effettuare auditi a intervalli regolari per verificare la robustezza dei sistemi e il corretto funzionamento delle procedure di backup, ripristino e disaster recovery.

Come già avviene per le realtà che devono rispettare il NIS2, sono previsti obblighi di segnalazione tempestiva degli incidenti informatici, sia alle autorità sia agli utenti coinvolti. L'aspetto più critico però è relativo alla responsabilità: in maniera simile a quanto avviene con il NIS2, infatti, le imprese saranno responsabili anche dei loro fornitori, e quindi dovranno assicurarsi che le realtà che fanno parte della supply chain adottino anch'esse degli standard adeguati per la sicurezza informatica. 

Le aziende sono pronte?

Sebbene DORA sarà attivo a partire dal 17 gennaio 2025, è dal 2022 che il regolamento UE è stato approvato: le aziende, insomma, hanno avuto tempo per adeguarsi. Anche se, come spesso accade, i decreti attuativi dei singoli Stati membri sono arrivati tardi: in Italia, è avvenuto fra la fine di settembre e gli inizi di ottobre 2024. 

Questa, però, non può essere presa come scusa per arrivare lunghi all'appuntamento del 17 gennaio: i decreti attuativi, infatti, vanno a definire piccoli dettagli dell'ambito di applicazione, non il quadro di riferimento. Questo significa che le imprese coinvolte hanno avuto tutto il tempo necessario per adeguarsi al nuovo regolamento. 

La sensazione diffusa fra gli operatori di settore è che non tutti, però, saranno totalmente pronti quanto entrerà in vigore. Anche per questo, molte aziende che operano nel settore della cybersecurity stanno mettendo insieme offerte per aiutare le imprese ad accelerare il loro percorso verso la conformità. 

L'offerta di CISO as a Service di Hitachi Vantara

Fra le realtà che si stanno attivando per supportare le aziende del settore finanziario nel loro percorso verso la conformità con DORA c'è Hitachi Vantara, che offre un sistema di gestione degli incidenti che include una pianificazione personalizzata della risposta, formazione continua e monitoraggio dei sistemi e servizi gestiti di rilevazione e risposta alle minacce informatiche. 

Un'offerta di CISO-as-a-Service, insomma, tramite la quale Hitachi Vantara fornirà anche report strategici ai clienti, assicurando così la conformità alle normative.