Cloud security e resilienza digitale dei processi operativi sono destinate a essere molto più che strategie di protezione degli asset fondamentali su cui si innesta il business. Con l'approvazione del Regolamento Dora (Digital Operational Resilience Act), che disciplina la gestione dei rischi per tutte le organizzazioni che agiscono lungo la catena del valore del Finance, entra in gioco pure il tema della compliance normativa. A partire dal 2025, infatti, non solo i player del settore – banche, istituti di pagamento, assicuratori e intermediari – ma anche i loro fornitori sono tenuti a monitorare questi aspetti per risultare ottemperanti alla legge.
Oltre la Cloud security: gli obiettivi del Regolamento DORA
Il via libera definitivo al Regolamento DORA è arrivato il 10 novembre 2022, e le imprese dispongono di due anni di tempo per adeguarsi a un framework che si caratterizza, come accennato, per un perimetro di applicazione molto ampio.
Gli elementi che fanno capo alla Cloud security sono una componente importante del nuovo impianto di legge, ma ce ne sono molte altre: il Regolamento DORA, infatti, “mira a creare un quadro normativo sulla resilienza operativa digitale grazie a cui tutte le imprese garantiscono di poter far fronte a tutti i tipi di malfunzionamenti e minacce connessi alle tecnologie dell'informazione e della comunicazione, al fine di prevenire e mitigare le minacce informatiche”.
Il framework, in altre parole, ha l'obiettivo di integrare e armonizzare le misure di cybersicurezza tecnico-organizzative nel contesto di una serie di direttive che spingono le aziende a mitigare le minacce insite nell’innovazione tecnologica e di processo della finanza digitale, sostenendone il potenziale innovativo negli anni a venire.
Cosa si intende, però, esattamente per resilienza digitale? E in quali termini bisogna implementare la Cloud security per rispondere ai requisiti del regolamento? Sempre citando alla lettera le definizioni fornite dal legislatore europeo, parliamo delle prassi che un'entità deve adottare per “costruire, assicurare e rivedere la propria integrità e affidabilità operativa garantendo, direttamente o indirettamente, attraverso l'uso di servizi di fornitori di servizi ICT di terze parti, le capacità necessarie a certificare la sicurezza della rete e dei sistemi informativi di cui si avvale l'entità e a supportare la fornitura continua di servizi finanziari e la loro qualità durante le interruzioni”.
I soggetti chiamati in causa dal Digital Operational Resilience Act
Date queste premesse, sono circa 20 mila i soggetti potenzialmente coinvolti a livello europeo dal Regolamento DORA. Nello specifico, è l'articolo 2 del Digital Operational Resilience Act a esplicitare una per una le categorie di imprese interessate.
Sintetizzando, si possono citare, oltre alle banche, alle compagnie assicurative e agli istituti di credito tradizionali, i gestori di piattaforme di pagamento elettronico, i provider che offrono servizi di informazione sui conti, le società di investimento, i gestori di wallet di criptovalute e di portali di interscambio di monete digitali, gli attori del trading e le agenzie di rating del credito. Non bisogna, però, assolutamente dimenticare tutti gli intermediari che si posizionano a vario titolo lungo la catena del valore del Finance, e tra questi ovviamente ci sono anche i fornitori di soluzioni ICT, dai cloud provider ai system integrator.
Cosa occorre per adempiere al Regolamento DORA
È a questo punto utile ricordare che il Regolamento DORA si regge sul principio di proporzionalità: ciò implica che i soggetti coinvolti “sono tenuti ad applicare le regole introdotte tenendo conto della loro dimensione, della natura, dell'ampiezza e della complessità dei loro servizi, delle loro attività e delle operazioni e del loro profilo di rischio complessivo”.
Ciascun soggetto, per ottemperare ai requisiti del Regolamento DORA dovrà dare vita a un sistema di governance interna che attribuisca a un organo ad hoc la gestione dei rischi ICT attraverso l'implementazione di strumenti e sistemi informatici resilienti (come quelli disponibili in cloud in modalità as-a-service su strutture ridondate, per esempio). Sarà inoltre necessario introdurre misure di protezione e prevenzione al fine di individuare e segnalare in modo tempestivo le attività anomale, prevedendo anche piani di business continuity e disaster recovery coerenti con le esigenze dell'organizzazione.
Occorreranno, quindi, skill e professionalità adatte a raccogliere ed elaborare informazioni in relazione non solo alle vulnerabilità, alle minacce, agli attacchi informatici e agli incidenti interni, ma pure agli eventuali effetti che questi eventi potranno generare sulla resilienza operativa digitale dell'impresa e della sua filiera.
L'obiettivo, in ultima analisi, è quello di sfruttare i dati per esaminare gli incidenti e fare leva sull'esperienza acquisita per migliorare costantemente sia l’attuazione della strategia di resilienza, sia i futuri sviluppi IT, puntando in prospettiva a una cloud security a 360 gradi e condividendo con i partner i principali punti di attenzione emersi da ogni sessione di studio e progresso tecnologico.
A questo scopo, fondamentale sarà anche sensibilizzare e formare il personale non tecnico, definendo piani di comunicazione nei confronti dei vari stakeholder interni ed esterni, definendo infine norme tecniche e codici di condotta a misura di business.