La sicurezza IT nel settore finance & insurance è stato uno dei temi focali della presentazione del Rapporto Clusit di metà anno, che ha raccolto le testimonainze di alcune importanti aziende che saranno interessate dalla nuova normativa. In tale ambito, la sicurezza IT presenta oggi un quadro legislativo complesso, frutto di oltre un decennio di evoluzione legislativa, in cui i trend normativi sono stati fortemente influenzati dai cambiamenti socioeconomici e geopolitici. La crescente digitalizzazione dei servizi finanziari ha portato alla necessità di introdurre sempre più aspetti tecnologici nelle regolamentazioni, determinando una sovrapposizione di norme. A partire dal 2018, con l’introduzione del GDPR, l’Unione europea ha definito un percorso legislativo che mira a costruire una cultura del rischio e del security by design.
Sovrapposizione tra DORA, NIS2 e Direttiva CER
Nei meandri normativi attuali, il regolamento DORA, concepito come legge speciale, si distingue dalla direttiva NIS2 e dalla Direttiva CER per l’accento posto sulla resilienza operativa digitale. La Commissione Europea ha chiarito che il regolamento DORA esonera le entità finanziarie dall’applicazione della NIS2, contribuendo a rendere più lineare il quadro normativo per il settore. Tuttavia, DORA prevede l’introduzione di oltre 13 atti legislativi tecnici, alcuni già in vigore e altri ancora in fase di definizione, con ulteriori regolamenti specifici attesi entro il 2025.
Adeguamento normativo e impatti su processi interni
Pasquale De Rinaldis responsabile sicurezza delle informazioni del Gruppo BCC Iccrea ha approfondito una spetto del regolamento DORA, ovvero come abbia introdotto modifiche sostanziali per le entità finanziarie, in particolare per quanto riguarda la gestione dei rischi legati a terze parti e la continuità operativa. “DORA ha obbligato le entità finanziarie a rivedere processi consolidati come la gestione delle esternalizzazioni, enfatizzando la necessità di una gestione end-to-end delle terze parti”. Ciò comporta, per esempio, un censimento dettagliato delle funzioni essenziali, incluso l’intero ecosistema di fornitori che supportano tali funzioni.
Registro degli accordi contrattuali e clausole di sicurezza
Un tema chiave riguarda l’obbligo di mantenere un’annotazione dettagliata degli accordi stipulati con i fornitori di servizi ICT. De Rinaldis preferisce definirlo “registro di accordi contrattuali” enfatizzando come questo rappresenti un miglioramento rispetto al tradizionale registro delle esternalizzazioni. “DORA impone la definizione di clausole contrattuali specifiche, che indirizzano aspetti di sicurezza IT critici e legati alla tipologia di fornitura”, ha aggiunto De Rinaldis, notando che queste condizioni possono variare a seconda della criticità dei servizi forniti.
Test di resilienza e monitoraggio continuo
Oltre a rimarcare l’importanza del ruolo delle terze parti e anche dei contratti stipulati con loro, Sergio Insalaco, responsabile governance standard di sicurezza dei servizi informatici di Unipolsai, ha messo in evidenza un altro aspetto innovativo introdotto da DORA, i test di resilienza operativa orientati alla minaccia: “Durano mesi e richiedono una valutazione sul campo, in ambienti produttivi e senza preavviso al personale operativo”. Questo approccio consente di simulare scenari reali, mettendo alla prova non solo la sicurezza IT, ma anche la capacità delle entità di rispondere a eventi avversi.
Coinvolgimento delle funzioni di business nella resilienza
Il regolamento impone inoltre un coinvolgimento diretto del business nei processi di resilienza. Milena Boetti, IT security governance specialist di Cassa Centrale Banca, ha evidenziato come “le funzioni di business non siano più solo beneficiarie delle misure di sicurezza IT, ma partecipino attivamente alle strategie di risposta e recovery”. Questo significa che, in caso di interruzioni, le funzioni critiche dovranno essere pronte a coordinarsi con i team tecnici per garantire la continuità operativa. “Non è più sufficiente considerare solo il ripristino completo dei data center – ha aggiunto Boetti –. Oggi il business richiede una continuità operativa anche a fronte di disfunzioni parziali”.
Monitoraggio delle terze parti ed exit strategy
Il regolamento DORA introduce anche l’obbligo di definire exit strategy ben documentate e formalizzate per i fornitori critici, applicando processi di monitoraggio continuo. “In pratica – ha sostenuto Insalaco – dobbiamo gestire le terze parti con un monitoraggio pre e post contrattuale, considerando l’intero ciclo di vita della fornitura”. Inoltre, sono previsti protocolli per la gestione del rischio di lock-in, un aspetto che garantisce “che non si dipenda completamente da un singolo provider”.
Competenze e coinvolgimento di terze parti nel testing
Luca Boselli, partner di KPMG Advisory e responsabile dei servizi di cybertech e risk, ha focalizzato l’attenzione sull’importanza della valutazione delle competenze interne ed esterne. “DORA richiede che le entità siano in grado di internalizzare le competenze necessarie per rispondere in modo autonomo agli incidenti” ha evidenziato, sottolineando come il regolamento richieda di coinvolgere anche i fornitori in test di resilienza critici.”La resilienza del business – ha continuato Boselli – diventerà una componente chiave dei piani di risposta operativa”. Questo implica anche una mappatura completa delle funzioni critiche e la definizione di investimenti prioritari per supportare la continuità operativa.
Futuri adeguamenti
Dal convegno è emerso chiaramente come il Digital Operational Resilience Act (DORA) rappresenti un cambiamento epocale per il settore, richiedendo un investimento costante per garantire non solo la conformità normativa ma anche una resilienza effettiva e tangibile.
“Nel 2025, la macchina DORA dovrà essere pienamente operativa” ha affermato in conclusione Carlo di Giangiacomo, responsabile del dipartimento di business continuity & resilience di Unicredit, preconizzando come il processo di monitoraggio e adeguamento delle terze parti sarà una delle principali sfide operative per le istituzioni finanziarie nell’ambito della sicurezza IT.