Ormai non manca molto tempo all’entrata in vigore del Regolamento EU DORA, ossia Digital Operational Resilience Act: gennaio 2025.

Si tratta di apparato di norme ampio e complesso per le imprese dell’ambito genericamente finanziario funzionale a creare un terreno comune europeo su cui costruire la resilienza digitale, ossia la capacità di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo la sicurezza dei sistemi informatici e di rete utilizzati.

I temi principali del regolamento

Non sono davvero temi nuovi. Molte aziende hanno già organizzazioni adeguate e anche da tempo. Adesso però si armonizza la comune base normativa, rendendola vincolante per dotarsi di strumenti adeguati alla gestione dei rischi connessi alle ICT.

Maggiore consapevolezza sulla loro valenza strategica e sui loro possibili impatti, innalzamento degli standard di difesa e di sicurezza ICT, sono obiettivi di grande rilievo che il DORA persegue.

A gennaio tutte le imprese dovranno essere allineate a questa base comune. Nel caso, da qui ad allora dovranno attrezzarsi di conseguenza e non sarà un percorso certo facile, né per progettazione né per realizzazione.

Come sempre in questi casi, la prima cosa da fare è la gap analysis fra ciò che si ha già in casa e ciò che richiede la normativa.

I capisaldi di DORA

Anzitutto detta una sorta di disciplina generale della gestione dei rischi informatici, in base alla quale ogni azienda deve, se ancora ne fosse carente, approntare un framework finalizzato a tale scopo, fatto di processi, procedure, strumenti, sistemi, protocolli e via dicendo.

Poi, indica cosa e come fare per la gestione, la classificazione e la segnalazione degli incidenti informatici, armonizzando tra l’altro una normativa oggi complessa e frammentata, derivante da svariate fonti, poco coerente.

Quindi, DORA disciplina la gestione dei rischi informatici derivanti da terzi, ossia dai fornitori di servizi ICT a supporto delle funzioni aziendali, con un occhio di particolare riguardo a quelle cosiddette “essenziali o importanti”, che devono essere chiaramente identificate e indicate. In concreto, la gestione dei rischi connessi alle ICT deve coinvolgere i fornitori e providers esterni all’impresa. Peraltro, nel quadro di una supervisione delle Vigilanze molto attenta e coordinata.

Ancora, DORA definisce le regole per stabilire e mantenere nel tempo programmi “solidi ed esaustivi” di testing per monitorare costantemente il livello di efficacia della strategia di resilienza digitale di cui l’impresa si è dotata. Di fatto, metto alla prova con continuità nel tempo organizzazione, strumenti, metodologie, pratiche e tanto altro per accertare se e quanto davvero mi mettano al riparo dai rischi e dagli incidenti ICT e se siano necessarie misure correttive.

Il Regolamento parla poi di comunicazione e di condivisione delle informazioni, nei casi di incidenti e di minacce alla sicurezza informatica.

Occorre anche tener conto che sono in emanazione una lunga lista di ulteriori documenti tecnici (RTS Regulatory Technical Standards e altri), che forniscono moltissimi dettagli per la corretta attuazione degli adempimenti previsti dal DORA.

COME ADEGUARSI AL REGOLAMENTO?

L’azienda deve fare l’onesta valutazione di quale sia l’effettivo livello attuale di rispondenza a questi capisaldi normativi. Solo così infatti è possibile progettare e definire un piano di adeguamento che sia davvero efficace.

Ma ciò è possibile solo se al suo interno vi è reale conoscenza del DORA e consapevolezza che tutto questo framework è parte integrante del più generale sistema di gestione dei rischi (non solo ICT, dunque) e dei controlli interni e, come tale, trasversale a tutte le funzioni e componente essenziale della cultura del controllo che deve oggi caratterizzare l’impresa.

Gianni Spulcioni