In data 16 gennaio 2023 è entrato formalmente in vigore il Regolamento 2022/2554 (Digital Operational Resilience Act, “Regolamento DORA”) che troverà applicazione e sarà vincolante a partire dal 17 Gennaio 2025.

DORA stabilisce chiari requisiti per i Regolatori e le Autorità di Vigilanza per la gestione ICT e Cybersecurity, inclusa la gestione degli incidenti; si inserisce in un più ampio quadro di produzione normativa europea, che comprende anche la pubblicazione della Direttiva  2022/2555 “Direttiva NIS 2” con l’obiettivo di rafforzare la capacità resiliente delle imprese europee all’interno del contesto cyber.

Si applicherà a circa 22.000 società rientranti nell’ambito della fornitura dei servizi finanziari, sia tradizionali (istituti di pagamento e imprese di assicurazione) sia non tradizionali come, ad esempio, i fornitori di servizi crypto e i fornitori di servizi ICT.

Il regolamento stabilisce requisiti tecnici per le entità finanziarie e i fornitori ICT nei domini relativi alla gestione del rischio ICT, alla ICT governance, alla gestione e risposta agli incidenti e alla loro segnalazione, alla resilienza e alla gestione del rischio di terze parti.

I requisiti saranno applicati in modo proporzionale, vale a dire che le entità minori non saranno tenute a rispettare gli stessi standard delle principali istituzioni finanziarie. 

Il nuovo Regolamento rafforzerà la resilienza operativa digitale delle entità del settore finanziario europee e avrà cinque pilastri cardine:

  • software & data audit ria grant thornton

    ICT Risk Management: ovvero l’insieme delle regole di gestione dei rischi relativi alle tecnologie dell'informazione e della comunicazione (ICT) attraverso la creazione di un ICT Risk Management Framework robusto ed efficace e la definizione di una strategia di resilienza digitale in materia di business continuity e disaster recovery.

  • software selection ria grant thornton

    ICT-related incident management: ovvero l’insieme dei requisiti per l’armonizzazione delle attività di classificazione e segnalazione degli incidenti ICT, con l’obiettivo principale di razionalizzare le segnalazioni di incidenti connessi alle tecnologie ICT attraverso l’adozione di modelli e procedure comuni.

  • software deployment ria grant thortnon

    Digital operational resilience testing: ovvero la standardizzazione delle regole per la conduzione dei test di resilienza operativa digitale, secondo un approccio risk-based; l’esecuzione dei test di resilienza dovranno essere condotti periodicamente.

  • Analisi aziendale ria grant thornton

    ICT third-party risks management: ovvero l’insieme delle strategie per il monitoraggio e la gestione dei rischi derivanti da fornitori di servizi ICT/Cyber di terze parti incluse le clausole standard nei contratti con fornitori terzi di servizi ICT/Cyber.

  • Business Intelligence Ria Grant Thornton

    Information sharing: ovvero l’insieme degli indicatori e dei segnali di allarme da predisporre con l’obiettivo di incoraggiare lo scambio di dati sulle minacce all’interno del settore finanziario, su base volontaria, per consentire alle entità finanziarie di stabilire accordi per la condivisione e lo scambio di informazioni di cyber threat.  

Il nostro team è in grado di sviluppare un quadro efficace di gestione dei requisiti DORA e definire impostare un assessment efficace da cui costruire il framework di resilienza più adatto al contesto aziendale.

Possiamo garantire un approccio sistematico e interdisciplinare avendo a disposizione tutte le competenze specialistiche necessarie. 

Contatta i nostri esperti

Mario Galiano RIA GT
Mario Galiano
Partner – Grant Thornton Consultants
Roma
Visualizza il profilo
Marco Ondoli
Marco Ondoli
Senior Manager - Grant Thornton...
Milano
Visualizza il profilo