Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA

Bollettino dei cyberattacchi: Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA >

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Guida alle migliori pratiche

Come Vectra AI consente la conformità DORA

Come Vectra AI consente la conformità DORA
Come Vectra AI consente la conformità DORA
Selezionare la lingua da scaricare
Scaricare
Rapporto di accesso
Grazie per il download!
Accedete alla vostra offerta gratuita qui sotto.
Scaricare
Scaricare
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

Che cos'è il DORA?

Il Digital Operational Resilience Act (DORA) è una proposta legislativa dell'Unione Europea (UE) volta a migliorare la resilienza operativa del settore finanziario nell'era digitale. Stabilisce un quadro completo per la gestione dei rischi legati alle tecnologie dell'informazione e della comunicazione (TIC) e delle minacce informatiche cui sono esposti gli enti finanziari. Gli obiettivi principali del DORA sono garantire la continuità dei servizi finanziari critici di fronte agli incidenti informatici, rafforzare la supervisione e il coordinamento della gestione del rischio ICT da parte delle autorità competenti, rafforzare la cooperazione e la condivisione delle informazioni e migliorare la segnalazione e la trasparenza degli incidenti significativi legati alle ICT.

Da quando è in vigore il DORA?

Il DORA, Digital Operational Resilience Act, è in vigore dal 16 gennaio 2023. Nel giugno 2023, le Autorità di vigilanza europee (ESA) pubblicheranno i documenti di consultazione relativi a diversi standard tecnici e di attuazione di livello 2 (RTS e ITS). Questi documenti mirano a delineare i requisiti specifici. Le imprese finanziarie dovranno aderire a questa normativa entro il 17 gennaio 2025, dopo un periodo di attuazione di due anni e lo sviluppo di standard tecnici di regolamentazione da parte delle Autorità di vigilanza europee (ESA).

Quali aziende sono ammissibili al regolamento DORA?

La DORA ha un ampio campo di applicazione, con impatti su vari soggetti come banche, istituti di credito, istituti di pagamento, imprese di investimento, istituti di moneta elettronica, controparti centrali e fornitori di servizi di criptovalute, tra gli altri. Inoltre, anche i fornitori di servizi ICT critici di terze parti sono soggetti alla regolamentazione, con la designazione di un Lead Overseer, che potrebbe essere l'EBA, l'ESMA o l'EIOPA.

  1. La DORA adotta un approccio globale, comprendendo un'ampia gamma di istituzioni finanziarie. Mentre le banche e le compagnie di assicurazione, già note con le linee guida EBA/EIOPA sulla sicurezza ICT e l'outsourcing, sono incluse, il campo di applicazione si estende alle sedi di negoziazione, agli enti che offrono piani pensionistici aziendali, ai fornitori di servizi di criptovaluta, agli intermediari assicurativi e a varie altre entità finanziarie che rientrano in questo nuovo quadro.
  2. Alle FinTech non sono concesse esenzioni solo in base alle loro dimensioni ridotte se rientrano nelle categorie specificate nel regolamento DORA. Tuttavia, le società con meno di 10 dipendenti e un fatturato annuo limitato sono soggette a requisiti meno stringenti ai sensi del regolamento.
  3. I fornitori di ICT - compresi i fornitori di servizi cloud che forniscono servizi alle imprese finanziarie - possono ora essere soggetti al quadro di vigilanza se sono classificati come "fornitori critici di ICT". I criteri per questa classificazione sono ulteriormente specificati dalle Autorità di vigilanza europee (ESA), ma si basano principalmente sul grado di criticità dei servizi forniti per il mercato finanziario, nonché sul grado di dipendenza dal fornitore di ICT o sulla facilità di sostituzione dello stesso.

Perché è importante la conformità al DORA?

  • La conformità al DORA rafforza la resilienza operativa identificando e affrontando le vulnerabilità.
  • L'osservanza del DORA salvaguarda la stabilità del sistema finanziario, prevenendo le interruzioni con potenziali implicazioni sistemiche.
  • La conformità al DORA aiuta a mitigare i rischi di cybersecurity implementando misure e protocolli solidi.
  • La conformità aumenta la fiducia dei clienti, dimostrando l'impegno a proteggere i loro dati e a garantire la continuità del servizio.
  • Le organizzazioni devono conformarsi al DORA per soddisfare gli obblighi legali e normativi ed evitare sanzioni e danni alla reputazione.
  • La conformità al DORA incoraggia l'innovazione nel settore finanziario affrontando i rischi e fornendo una base sicura per l'adozione di nuove tecnologie.
  • La compliance promuove la collaborazione e la cooperazione tra i partecipanti al mercato e le autorità di vigilanza, consentendo una risposta e una comunicazione efficace agli incidenti.
  • L'adesione al DORA aiuta le organizzazioni a stare al passo con l'evoluzione del panorama delle minacce e ad adattarsi ai rischi e alle tecnologie emergenti.
  • La conformità al DORA allinea le organizzazioni agli standard e alle aspettative internazionali, promuovendo l'armonizzazione tra le varie giurisdizioni.
  • Il raggiungimento della conformità DORA può fornire un vantaggio competitivo sul mercato, dimostrando un forte impegno per la resilienza operativa e la sicurezza informatica.

Quali sono i 10 passi per la conformità DORA?

Fase 1: comprendere l'ambito di applicazione del DORA

  • Panoramica del DORA: comprendere a fondo gli obiettivi e le disposizioni del DORA e le entità a cui si applica, come istituti di credito, istituti di pagamento, istituti di moneta elettronica, controparti centrali e fornitori di servizi di dati.
  • Mappatura dei requisiti DORA: Identificare i requisiti e gli obblighi specifici delineati dalla DORA, come i test di resilienza, la gestione del rischio ICT, la segnalazione degli incidenti, la gestione del rischio di terzi e le capacità di cybersecurity.

Fase 2: Definizione di una struttura di governance

  • Nominare un responsabile della conformità DORA: Designare una persona o un team responsabile della supervisione delle attività di conformità DORA all'interno dell'organizzazione.
  • Creare un quadro di riferimento per la conformità al DORA: Sviluppare un quadro completo che delinei le politiche, le procedure e i controlli necessari per garantire la conformità ai requisiti del DORA.

Fase 3: Valutazione dei rischi

  • Identificazione dei rischi: Eseguire una valutazione dettagliata per identificare i rischi potenziali e le vulnerabilità specifiche delle operazioni, dei processi e dei sistemi dell'organizzazione.
  • Valutazione dell'impatto e della probabilità: Valutare l'impatto potenziale e la probabilità dei rischi identificati, considerando i fattori interni ed esterni.

Fase 4: Test di resilienza

  • Progettazione di scenari di test di resilienza: Sviluppare un solido programma di test di resilienza che simuli scenari realistici, tra cui cyberattacchi, guasti ai sistemi e altri eventi di disturbo.
  • Valutare i risultati dei test: Analizzare e interpretare i risultati dei test di resilienza per identificare aree di miglioramento, vulnerabilità e lacune nella resilienza operativa.

Fase 5: Gestione del rischio ICT

  • Stabilire un quadro di gestione del rischio ICT: Sviluppare e implementare un quadro di riferimento per identificare, valutare, mitigare e monitorare i rischi legati alle TIC, compresi i rischi di cybersecurity, le vulnerabilità tecnologiche e le interruzioni operative.
  • Revisione e aggiornamenti regolari: Rivedere e aggiornare continuamente il quadro di gestione del rischio ICT per allinearlo alle minacce emergenti, alle tecnologie in evoluzione e alle best practice del settore.

Fase 6: Segnalazione e comunicazione degli incidenti

  • Stabilire procedure di segnalazione degli incidenti: Sviluppare procedure di segnalazione degli incidenti chiare e ben definite, che delineino come e quando gli incidenti significativi devono essere segnalati alle autorità di vigilanza competenti.
  • Promuovere canali di comunicazione efficaci: Stabilire canali di comunicazione efficaci all'interno dell'organizzazione per garantire una segnalazione tempestiva e accurata degli incidenti e facilitare gli sforzi di risposta coordinati.

Fase 7: Gestione del rischio di terzi

  • Conduzione della due diligence: Implementare un solido processo di due diligence per valutare le capacità di cybersecurity e resilienza operativa dei fornitori di servizi terzi prima di stipulare partnership o accordi di outsourcing.
  • Disposizioni contrattuali: Includere specifiche disposizioni contrattuali che riguardano la gestione del rischio di terzi, delineando le responsabilità, le aspettative e gli standard necessari per garantire la conformità con il DORA.

Fase 8: Capacità di sicurezza informatica

  • Implementazione di meccanismi di autenticazione forti: Implementare soluzioni di autenticazione a più fattori per migliorare la sicurezza dell'accesso ai sistemi critici e alle informazioni sensibili.
  • Crittografia e protezione dei dati: Implementare protocolli di crittografia per proteggere i dati a riposo e in transito, garantendo la riservatezza e l'integrità delle informazioni sensibili.
  • Monitoraggio proattivo e rilevamento delle minacce basato sull'intelligenza artificiale: Implementare strumenti di monitoraggio avanzati e sistemi di rilevamento delle minacce informatiche basati sull'intelligenza artificiale per rilevare e rispondere alle minacce alla sicurezza informatica in tempo reale.

Fase 9: Risposta agli incidenti e continuità operativa

  • Sviluppo di piani completi di risposta agli incidenti: Creare piani di risposta agli incidenti dettagliati e ben strutturati che definiscano ruoli, responsabilità, procedure di escalation e canali di comunicazione per una gestione efficace degli incidenti.
  • Verifica ed esercitazione dei piani di risposta agli incidenti: Testare ed esercitare regolarmente i piani di risposta agli incidenti per garantirne l'efficacia, identificare le aree da migliorare e familiarizzare il personale con i propri ruoli e responsabilità.

Fase 10: Miglioramento continuo e monitoraggio della conformità

  • Stabilire meccanismi di monitoraggio della conformità: Implementare un solido programma di monitoraggio della conformità per valutare la costante aderenza ai requisiti DORA, identificare le lacune e promuovere il miglioramento continuo.
  • Rimanere al passo con gli aggiornamenti normativi: Tenere sotto controllo gli sviluppi normativi, gli aggiornamenti e le linee guida relative al DORA per garantire una conformità costante.

La conformità al Digital Operational Resilience Act (DORA) richiede un approccio completo e proattivo alla resilienza operativa e alla cybersecurity. Implementando le best practice descritte in questa guida, le organizzazioni possono affrontare con successo le complessità del DORA, rafforzare la propria resilienza operativa e contribuire alla stabilità complessiva del sistema finanziario. Accogliete queste raccomandazioni, adattatele al vostro contesto specifico e intraprendete il viaggio verso la conformità al DORA con fiducia e resilienza.

Chi deve essere coinvolto nella realizzazione della conformità DORA?

La realizzazione della conformità al DORA richiede uno sforzo di collaborazione che coinvolge diversi stakeholder all'interno dell'organizzazione. I seguenti soggetti o team chiave dovrebbero essere coinvolti nel processo:

  1. Alta dirigenza: Gli alti dirigenti, tra cui il CEO, il CFO e il CIO, devono fornire leadership e sostegno alle iniziative di conformità al DORA. Essi svolgono un ruolo cruciale nel definire il tono ai vertici e nell'allocare le risorse necessarie.
  2. Funzionario/team per la conformità DORA: Designare un responsabile o un team dedicato alla conformità DORA, responsabile della supervisione e del coordinamento delle attività di conformità. Questi devono avere una conoscenza approfondita delle disposizioni e dei requisiti del DORA.
  3. Dipartimento legale e di conformità: Il reparto legale e di conformità svolge un ruolo fondamentale nell'interpretazione e nella comprensione degli obblighi legali della DORA. Garantisce che le politiche, le procedure e le pratiche dell'organizzazione siano in linea con i requisiti legislativi.
  4. Team di gestione del rischio: Il team di gestione del rischio è responsabile dell'esecuzione di valutazioni del rischio, dell'identificazione di potenziali vulnerabilità e dell'implementazione di misure di riduzione del rischio. Dovrebbe collaborare strettamente con il team di conformità per affrontare i rischi specifici del DORA.
  5. Team IT e Cybersecurity: I team IT e di cybersecurity sono fondamentali per implementare le misure tecnologiche necessarie a soddisfare i requisiti DORA. Svolgono un ruolo cruciale nell'implementazione delle capacità di cybersecurity, nei test di resilienza e nei piani di risposta agli incidenti.
  6. Operazioni e unità aziendali: I team operativi e le unità aziendali hanno un ruolo importante nell'implementazione delle misure di conformità DORA nelle rispettive aree. Dovrebbero collaborare con i team di compliance, risk management e IT per garantire l'allineamento e l'implementazione dei requisiti DORA.
  7. Audit interno: Il team di audit interno fornisce una garanzia indipendente valutando l'efficacia degli sforzi di conformità al DORA dell'organizzazione. Conduce audit e valutazioni per garantire la costante aderenza alle disposizioni del DORA.
  8. Fornitori di servizi terzi: Se l'organizzazione si affida a fornitori di servizi terzi, questi devono essere coinvolti nel garantire la conformità al DORA. Ciò include la valutazione delle loro capacità di cybersecurity e di resilienza operativa e la garanzia di conformità attraverso le disposizioni contrattuali.
  9. Team di comunicazione e formazione: Una comunicazione e una formazione efficaci sono fondamentali per garantire la comprensione e la conformità al DORA da parte di tutta l'organizzazione. I team di comunicazione e formazione devono sviluppare e fornire programmi educativi per aumentare la consapevolezza e fornire indicazioni sui requisiti del DORA.
  10. Consulenti esterni e advisor: Le organizzazioni possono rivolgersi a consulenti esterni o a consulenti legali specializzati nella conformità al DORA. Questi possono fornire indicazioni, assistere nella valutazione dei rischi e aiutare a orientarsi nel complesso panorama del DORA.

Coinvolgendo questi attori chiave e promuovendo la collaborazione tra loro, le organizzazioni possono garantire efficacemente la conformità al DORA, assicurando un approccio olistico e completo alla resilienza operativa e alla cybersecurity.

In che modo Vectra AI consente la conformità DORA?

Vectra AI offre soluzioni avanzate di rilevamento e risposta alle minacce in perfetto allineamento con i requisiti del Digital Operational Resilience Act. Scopriamo come Vectra AI può aiutare le organizzazioni a raggiungere la conformità alla DORA:

  1. Rilevamento e risposta alle minacce in tempo reale
    La piattaforma di VectraVectra AI sfrutta l'analisi comportamentale guidata dall'intelligenza artificiale basata sulle tecniche MITRE Att&ck e sui modelli di apprendimento automatico per rilevare e analizzare in tempo reale le minacce a livello di rete, SaaS, identità, Cloud AWS , Cloud Microsoft 365 e Cloud ibrido. Monitorando continuamente il traffico di rete e i comportamenti, Vectra AI è in grado di identificare le potenziali minacce prima che si aggravino, consentendo risposte rapide per mitigare i rischi in modo tempestivo.
  2. Miglioramento della risposta agli incidenti
    In caso di incidente informatico, la piattaforma di Vectra AI fornisce ai team di risposta agli incidenti preziose intuizioni e informazioni attuabili basate su MITRE D3FEND. Ciò consente alle organizzazioni di adottare misure decisive per contenere, indagare e porre rimedio alle minacce, soddisfacendo efficacemente i requisiti di segnalazione degli incidenti previsti dalla DORA.
  3. Gestione proattiva del rischio
    Le funzionalità di caccia proattiva alle minacce di VectraVectra AI consentono alle organizzazioni di anticipare i rischi potenziali. Individuando le minacce e le vulnerabilità nascoste, gli istituti finanziari possono adottare misure proattive per rafforzare la loro posizione di sicurezza e conformarsi alle disposizioni di gestione del rischio della DORA. Visitate la pagina della soluzione KPMG & Vectra.
  4. Reporting automatizzato di conformità
    La conformità al DORA richiede un reporting completo sugli incidenti di sicurezza e sulle pratiche di gestione del rischio. Vectra AI semplifica questo processo automatizzando i rapporti di conformità, facendo risparmiare tempo e fatica agli istituti finanziari che devono rispettare gli obblighi normativi.

Analizziamo come Vectra AI può aiutare le organizzazioni a raggiungere la conformità a capitoli e articoli specifici del DORA:

Articolo Requisito DORA Risposta di Vectra
Capitolo II, articolo 5 Quadro di gestione del rischio ICT Vectra AI offre funzionalità integrate di threat hunting avanzato per la gestione proattiva delle minacce e dei rischi, allineandosi ai requisiti di gestione del rischio ICT.
Capitolo II, articolo 7 Identificazione - Classificazione degli asset "crown-jewel" per una maggiore visibilità.
- Prioritarizzazione automatica dei potenziali incidenti che interessano gli asset critici.
- Maggiore visibilità di asset, servizi e interazioni on-premise, cloud e ibridi.
Capitolo II, articolo 9 Rilevamento Vectra AI utilizza capacità avanzate di rilevamento delle minacce in tutti i suoi prodotti, tra cui metodologie all'avanguardia per rilevare i segnali di attacco basate sulle tecniche MITRE ATT&CK , modelli AI, modelli basati sulle firme e visualizzazione e reportistica complete.
Capitolo II, articolo 10 Risposta e recupero Fornisce analisi comportamentali e capacità di rilevamento basate sulle tecniche MITRE ATT&CK per il rilevamento in tempo reale di anomalie in reti, SaaS, identità e cloud. Include la prioritizzazione degli incidenti e le procedure di risposta consigliate.
Capitolo II, articolo 12 Imparare ed evolvere Integrazione e rappresentazione continue di procedure di attacco basate sulla catena di uccisioni informatiche e sul framework MITRE ATT&CK per l'apprendimento continuo e le revisioni successive all'azione (AAR).
Capitolo II, articolo 13 Comunicazione Reporting MITRE ATT&CK per la comunicazione standardizzata di eventi, rilevamenti e incidenti con le parti interessate, comprese le autorità e i CSIRT nazionali o regionali.
Capitolo III, articolo 15 Processo di gestione degli incidenti legati alle TIC Classificazione automatica delle minacce e prioritizzazione guidata dall'intelligenza artificiale per la gestione integrata degli incidenti tramite soluzioni SOAR o ITSM.
Capitolo III, articolo 16 Classificazione degli incidenti legati alle TIC Implementa un sistema di classificazione a 4 stadi (Basso, Medio, Alto, Critico) con una priorità basata sul punteggio per semplificare l'elaborazione degli incidenti.
Capitolo III, articolo 17 Segnalazione di gravi incidenti legati alle TIC Fornisce funzionalità di reporting integrate che includono la documentazione delle tecniche MITRE ATT&CK , lo stadio della catena di uccisioni informatiche e le procedure MITRE D3FEND applicate.
Capitolo III, articolo 18 Armonizzazione dei contenuti e dei modelli di reportistica Fornisce modelli di reporting standardizzati e contenuti di reporting on-demand per il reporting integrato tra diversi strumenti e sistemi.

Fiducia da parte di esperti e aziende di tutto il mondo

DOMANDE FREQUENTI