Che cos'è la legge sulla resilienza operativa digitale?
La legge sulla resilienza operativa digitale armonizza le norme relative alla resilienza operativa per il settore finanziario applicandole a 20 diversi tipi di entità finanziarie e fornitori di servizi di ICT di terze parti, coprendo circa 22.000 organizzazioni in tutta l'Unione Europea.
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie, come banche, compagnie assicurative e società di investimento, per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici. Il nuovo regolamento richiede alle entità finanziarie e ai loro fornitori di ICT critici di implementare misure contrattuali, organizzative e tecniche per migliorare il livello di resilienza operativa digitale del settore.
La legge DORA è entrata in vigore il 16 gennaio 2023 e si applicherà a tutti i 27 Stati membri dell'UE a partire dal 17 gennaio 2025.
Regolamento | Attivo ora
La legge DORA è strutturata su cinque pilastri chiave, ognuno dei quali è stato progettato per affrontare aspetti distinti della resilienza operativa digitale dei servizi finanziari.
- Gestione e governance del rischio ICT: la legge DORA attribuisce ai membri del management e del consiglio di amministrazione la responsabilità di definire, implementare e mantenere un quadro di gestione del rischio di ICT per garantire efficacemente una maggiore resilienza operativa digitale. La legge DORA richiede che le entità finanziarie dispongano di un quadro di governance e controllo interno che garantisca una gestione efficace e prudente del rischio di ICT.
- Segnalazione degli incidenti: le organizzazioni di servizi finanziari devono istituire sistemi per monitorare, gestire, registrare, classificare e segnalare gli incidenti legati all'ICT per valutare gli attacchi, attenuare l'impatto sui clienti e sulle operazioni e fare rapporto alle autorità.
- Test di resilienza operativa digitale: le entità finanziarie devono implementare ed eseguire annualmente un programma completo di test di resilienza operativa digitale. La legge DORA indica inoltre che le entità finanziarie devono garantire il coinvolgimento di fornitori terzi di ICT nei loro test di resilienza operativa digitale, se applicabile.
- Rischio di ICT di terzi: uno dei punti chiave della legge DORA è il rischio di ICT di terzi e il suo ruolo nella mitigazione del rischio. Le istituzioni finanziarie si affidano in larga misura a fornitori esterni di ICT che possono trovarsi al di fuori dell'UE, come ad esempio diversi fornitori di cloud. Di conseguenza, le entità finanziarie devono includere il rischio di ICT di terzi come componente integrante del loro quadro di gestione del rischio di ICT.
- Condivisione delle informazioni: la legge DORA incoraggia inoltre la condivisione volontaria di informazioni e intelligence sulle minacce informatiche per migliorare la resilienza operativa digitale del settore.
La legge DORA si applica a un'ampia gamma di fornitori di servizi finanziari, tra cui banche, istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento e fornitori di servizi di cripto-asset. È importante notare che la legge DORA definisce i servizi di ICT critici forniti alle istituzioni finanziarie. Se un'azienda fornisce servizi di ICT critici per un istituto finanziario, sarà soggetta a una supervisione regolamentare diretta nell'ambito del quadro DORA. Ciò include, ad esempio, le piattaforme cloud e i servizi di analisi dei dati, anche se hanno sede al di fuori dell'UE.
DORA è un regolamento dell'UE, il che significa che è legge nell'UE a partire dal 17 gennaio 2025. A differenza di una direttiva europea, DORA non deve essere tradotta nella legislazione nazionale di ciascuno Stato membro dell'UE. La mancata osservanza della legge DORA comporta sanzioni severe:
- Le entità finanziarie che violano la legge DORA possono incorrere in multe fino al due per cento del loro fatturato annuo totale mondiale o, nel caso di una persona fisica, in una multa massima di 1.000.000 di euro. L'importo della multa dipenderà dalla gravità della violazione e dalla collaborazione dell'entità finanziaria con le autorità.
- I fornitori terzi di servizi di ICT designati come "critici" dalle autorità di vigilanza europee possono incorrere in multe fino a 5.000.000 di euro o, nel caso di un individuo, in una multa massima di 500.000 euro per la mancata conformità alla legge DORA. Le ESA avranno l'autorità di imporre queste multe.
White paper
Legge sulla resilienza operativa digitale (DORA)
Esplora le soluzioni per la conformità alla legge DORA nel settore finanziario, che coprono la gestione del rischio delle tecnologie dell'informazione e della comunicazione (ICT), la segnalazione degli incidenti e altro ancora.
Come Thales contribuisce alla conformità alla legge DORA
Le soluzioni Thales possono contribuire alla conformità di istituzioni finanziarie e fornitori di ICT di terze parti alla legge DORA, semplificando la conformità e automatizzando la sicurezza, riducendo il carico di lavoro dei team che si occupano di sicurezza e conformità. Aiutiamo a soddisfare i requisiti essenziali di gestione del rischio di sicurezza informatica ai sensi degli articoli 8, 9, 10, 11, 19 e 28 del regolamento, che riguardano la gestione e la governance del rischio di ICT, la segnalazione degli incidenti e la gestione del rischio di ICT di terze parti.
Forniamo soluzioni di sicurezza informatica complete in tre aree chiave: sicurezza delle applicazioni, sicurezza dei dati e gestione delle identità e degli accessi.
Soluzioni di conformità NIS2
Sicurezza delle applicazioni
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro attacchi Distributed Denial of Service (DDoS) e BOT dannosi, sicurezza per API, una rete di distribuzione dei contenuti (CDN) sicura e l'autoprotezione dell'applicazione durante l'esecuzione (RASP).
Data Security
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni di Thales identificano, valutano e stabiliscono le priorità dei potenziali rischi per una loro valutazione accurata, oltre a individuare comportamenti anomali e monitorare le attività per verificarne la conformità. In tal modo, le organizzazioni possono stabilire dove concentrare principalmente i propri sforzi.
Gestione delle identità e degli accessi
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al contesto con criteri di accesso granulari e autenticazione a più fattori che aiutano a garantire che l'utente giusto possa accedere alla risorsa giusta, al momento giusto.
White paper
Garantire la resilienza operativa digitale con la protezione dei dati on-demand di Thales
Una guida completa per sfruttare la gestione delle chiavi, la crittografia e gli HSM per la conformità alla legge DORA con la protezione dei dati on-demand (DPOD).
Affrontare i principali requisiti della legge DORA
Come Thales contribuisce:
- Scopre e classifica i potenziali rischi per tutte le API pubbliche, private e shadow.
- Identifica i dati sensibili strutturati e non strutturati a rischio, on-premise e sul cloud.
- Identifica lo stato attuale della conformità, documentando le lacune e fornendo un percorso verso la piena conformità.
Come Thales contribuisce:
- Codifica i dati inattivi on-premise, sui cloud e negli ambienti big data o container.
- Pseudonimizza le informazioni sensibili nei database.
- Protegge i dati in movimento con crittografia high-speed.
- Ti fa ottenere la visibilità completa delle attività sui dati sensibili, monitora gli utenti che ne hanno accesso, esegue audit su ciò che fanno e documenta.
Come Thales contribuisce:
- Rileva e previene le minacce informatiche con il firewall per applicazioni web, garantendo operazioni senza interruzioni di continuità e la totale tranquillità.
- Protegge le risorse di rete critiche dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
- Monitora l'attività dei dati strutturati e non strutturati nei sistemi cloud e on-premise.
Come Thales contribuisce:
- Limita l'accesso degli utenti interni ed esterni ai sistemi e ai dati in base ai ruoli e al contesto tramite le politiche.
- Applica misure di sicurezza contestuali basate sul punteggio di rischio.
- Sfrutta le smart card per implementare l'accesso fisico alle strutture sensibili.
Soluzioni:
Gestione delle identità e degli accessi
Gestione dell'accesso del personale
Sicurezza dei dati
Come Thales contribuisce:
- Abilita l'autenticazione a più fattori (MFA) con la più ampia gamma di metodi e fattori di forma hardware e software.
- Crea e distribuisce criteri di autenticazione adattivi basati sulla sensibilità dei dati / dell'applicazione.
Soluzioni:
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Protegge le chiavi crittografiche in un ambiente FIPS 140-2 di livello 3.
- Semplifica la gestione delle chiavi in ambienti cloud e on-premise.
Come Thales contribuisce:
- Riconcilia automaticamente le modifiche alla produzione.
- Valuta la vulnerabilità e mitiga il rischio.
- Rileva le modifiche agli schemi del livello dati.
- Processo di approvazione delle modifiche a livello di produzione.
Come Thales contribuisce:
- Rileva e previene le minacce informatiche con il firewall per applicazioni web, garantendo operazioni senza interruzioni di continuità e la totale tranquillità.
- Protegge le prestazioni e l'integrità della rete ICT dagli attacchi DDoS e dai Bad Bot, continuando a consentire il traffico legittimo.
Soluzioni:
Sicurezza delle applicazioni
Come Thales contribuisce:
- Monitora l'attività dei dati strutturati e non strutturati nei sistemi cloud e on-premise.
- Produce audit trail e report di tutti gli eventi di accesso a tutti i sistemi, trasmette i registri ai sistemi SIEM esterni.
Soluzioni:
Sicurezza dei dati
Monitoraggio dell'attività dei dati
Gestione delle identità e degli accessi
Come Thales contribuisce:
- Mitiga gli attacchi DDoS in soli tre secondi.
- Implementa misure preventive per prevedere ed evitare situazioni di crisi.
Come Thales contribuisce:
- I documenti conservati per un anno sono immediatamente accessibili per ricerche e indagini dettagliate. I dati di audit vengono archiviati automaticamente, ma rimangono accessibili in pochi secondi per le domande e le segnalazioni.
Come Thales contribuisce:
- Riduce i rischi di terze parti mantenendo il controllo on-premise sulle chiavi di crittografia che proteggono i dati ospitati sul cloud.
- Assicura la completa separazione dei ruoli tra gli amministratori del provider cloud e l'organizzazione, limitando l'accesso ai dati sensibili.
- Monitora e segnala anomalie per rilevare e impedire che attività indesiderate interrompano le attività della catena di fornitura.
- Abilita la gestione delle relazioni con fornitori, partner o qualsiasi utente terzo, con una chiara delega dei diritti di accesso.
- Riduce al minimo i privilegi utilizzando un'autorizzazione dettagliata basata sulle relazioni.
Soluzioni:
Sicurezza dei dati
Gestione delle chiavi sul cloud
Monitoraggio dell'attività dei dati
Gestione dei diritti degli utenti
Gestione delle identità e degli accessi
Controllo dell'accesso di terze parti
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.