Scopri tutte le soluzioni Aruba utili per la conformità al Regolamento DORA

Dal 17 gennaio 2025 nuovi requisiti per rafforzare la resilienza digitale e la gestione dei rischi delle entità finanziarie in tutta l'Unione Europea

Contattaci

Il framework DORA per la gestione del rischio ICT nell'ambito finanziario

Il DORA (Regolamento UE 2022/2554) è il quadro normativo europeo che stabilisce un framework per la gestione del rischio dei servizi ICT del settore finanziario, allo scopo di rafforzare la loro "resilienza operativa digitale". Con tale concetto, si intende l'affidabilità dei servizi IT e la capacità di garantire la continuità delle operazioni digitali anche in occasione di incidenti e perturbazioni.

Il framework DORA è infatti nato con la finalità di preparare gli operatori ed i mercati finanziari a resistere ai rischi generati dalla crescente dipendenza dalle tecnologie digitali, definendo gli standard tecnici di riferimento che dovranno essere implementati a decorrere dal 17 gennaio 2025.

Il regolamento DORA è indirizzato a tutti gli operatori del mercato finanziario, sia tradizionali (banche, istituti di pagamento, fondi di investimento, intermediari finanziari...) che non tradizionali (agenzie di rating, piattaforme di crowdfounding...).

Entità finanziarie soggette al regolamento DORA (art. 2)

  • Enti creditizi
  • Istituti di pagamento
  • Prestatori di servizi di informazione sui conti
  • Istituti di moneta elettronica
  • Imprese di investimento
  • Fornitori di servizi per le cripto-attività
  • Autorizzati ed emittenti di token collegati
  • Depositari centrali di titoli
  • Controparti centrali
  • Sedi di negoziazione
  • Repertori di dati sulle negoziazioni
  • Gestori di fondi di investimento alternativi
  • Società di gestione
  • Fornitori di servizi di comunicazione dati
  • Imprese di assicurazione e di riassicurazione
  • Intermediari assicurativi e riassicurativi
  • Enti pensionistici
  • Agenzie di rating del credito
  • Amministratori di indici di riferimento critici
  • Fornitori di servizi di crowdfunding
  • Repertori di dati sulle cartolarizzazioni

I principali requisiti di DORA per garantire adeguati livelli di sicurezza

Il regolamento DORA richiede alle entità finanziarie di assicurare una gestione efficace e prudente di tutti i rischi informatici con l’obiettivo di minimizzarne gli impatti.

Ciò è possibile con la definizione di un quadro di gestione del rischio informatico che soddisfi determinati requisiti tecnici finalizzati a garantire un adeguato livello di sicurezza.

Gestione del rischio informatico

L'approccio alla gestione del rischio informatico dovrà essere strutturato in fasi specifiche: Identificazione, Protezione e Prevenzione, Individuazione, Risposta e Ripristino, Apprendimento ed Evoluzione, Comunicazione. Nel concreto, le entità finanziarie devono mappare le funzioni di business supportate dai servizi ICT e identificare quelle critiche, valutare le minacce, implementare politiche di sicurezza, monitorare attività anomale e garantire la continuità operativa con un approccio dinamico e in costante miglioramento.

Gestione del rischio

Segnalazione e notifica di incidenti e minacce

Alle entità finanziarie è richiesto di monitorare costantemente i servizi e valutare gli eventi anomali e le minacce informatiche, notificando alle autorità competenti gli incidenti rilevanti e le minacce significative. I criteri considerati includono il numero e l'importanza dei clienti coinvolti, le transazioni interessate, l'effetto sulla reputazione, la criticità dei servizi, la durata e l'entità geografica degli incidenti, oltre agli impatti economici diretti e indiretti.

Segnalazione e notifica

Test di resilienza operativa digitale

Il Regolamento DORA impone alle entità finanziarie di definire ed eseguire annualmente un programma di test di resilienza operativa digitale per valutare la preparazione a gestire incidenti, perturbazioni e attacchi esterni sui sistemi ICT. Per i servizi ICT critici, è inoltre richiesta l’esecuzione di test di penetrazione basati sulle minacce (TLPT), che sono test avanzati che imitano le tattiche degli attaccanti reali e sono mirati ad identificare falle di sicurezza e migliorare la capacità di risposta.

Test di resilienza

Gestione del Rischio delle Terze Parti

DORA attribuisce un ruolo fondamentale ai fornitori di servizi ICT, la cui affidabilità non può essere sottovalutata se si vuole garantire l’obiettivo della resilienza operativa digitale: non solo l’intero settore finanziario è diventato in larga misura digitale, ma la digitalizzazione ha anche reso più marcate le interconnessioni e le dipendenze all’interno del settore e nei confronti di fornitori terzi di infrastrutture e servizi. Alle entità finanziarie è richiesto di identificare i fornitori che rivestono un ruolo chiave per i loro servizi di business, valutandoli ed assicurandosi che siano in grado di garantire gli standard di sicurezza richiesti.

Gestione del Rischio

Il supporto di Aruba nel percorso di conformità al regolamento DORA

In qualità di principale provider italiano nello sviluppo di servizi e soluzioni IT per privati, professionisti, imprese e Pubblica Amministrazione in ambito cloud, hosting, data center e trust services, Aruba è in grado di supportare il cliente in tutti gli adempimenti necessari per la conformità al Regolamento DORA.

icona

Infrastruttura data center proprietaria

L'esperienza pluriennale di Aruba nella progettazione e costruzione di Data Center ha permesso di realizzare un network europeo di eccellenza con infrastrutture di proprietà conformi alla normativa Rating 4 ANSI/TIA. Grazie a questo asset strategico, Aruba offre una gamma completa di servizi e piattaforme tecnologiche basata sulle best practice a livello di sicurezza, con copertura assicurativa per i rischi residui.

icona

Certificazioni di sicurezza e Certification Authority accreditate

I servizi Aruba sono soggetti a frequenti audit interni e verifiche di terze parti per garantire la conformità a standard di sicurezza quali ISO 27001, ISO 27017, ISO 27018, ISO 27035, ISO 22301, ISO 9001 e CSA STAR Level 2. L’esperienza nell’offerta di servizi fiduciari, grazie alle nostre Certification Authority, Aruba PEC e Actalis garantisce le qualificazioni necessarie per per operare nei vari ambiti nel settore IT e fornire servizi certificati riconosciuti a livello europeo.

icona

Risk Management, monitoraggio e controlli interni

Aruba considera l'informazione un patrimonio fondamentale e ha implementato un modello di analisi dei rischi ICT finalizzato a tutelarla. Il monitoraggio costante di tecnologie e minacce emergenti e la collaborazione con enti di ricerca per integrare soluzioni innovative permette ad Aruba di contribuire attivamente al settore della sicurezza informatica attraverso associazioni e regolamentazioni.

I servizi di sicurezza Aruba utili per la conformità a DORA

Grazie alla professionalità di un team di esperti di alto livello nella gestione delle soluzioni di sicurezza e alle Certification Authority Actalis e Aruba PEC, offriamo soluzioni che rafforzano l'infrastruttura ICT delle Entità Finanziarie, proteggendo le transazioni digitali e assicurando la resilienza e la continuità operativa in linea con i requisiti di DORA.

Managed Services

  • Managed Aruba MDR - Soluzione per contrastare minacce informatiche alle risorse dei clienti, permettendo di delegare l'implementazione di un antivirus senza costi.

    Maggiori dettagli

  • Aruba Vulnerability assessment e Penetration testing - Fornisce identificazione vulnerabilità e simulazione intrusioni, riducendo la superficie di attacco e garantendo la conformità dei sistemi.

    Maggiori dettagli

  • Aruba Managed Web Application Protection - Servizi di sicurezza web personalizzabili senza dover acquisire strumenti specifici e competenze, riducendo costi e semplificando l'utilizzo efficace.

  • Business Continuity as a service - Soluzioni di Business Continuity as a Service con RPO zero e RTO quasi zero, gestite in campus tecnologici per ambienti mission critical.

    Maggiori dettagli

  • Disaster Recovery as a Service - Servizio che consente la creazione di repliche tra siti remoti per adottare processi solidi e documentati per la riattivazione dei sistemi.

    Maggiori dettagli

Trust Services

  • Certificati SSL - Garantiscono una connessione sicura e crittografata tra server e client, proteggendo i dati in transito da intercettazioni o manomissioni.

    Maggiori dettagli

  • Certificati Code Signing - Consentono di firmare digitalmente software, script e applicazioni per garantire che il codice non sia stato alterato o compromesso dopo la sua creazione.

    Maggiori dettagli

  • Certificati S/MIME - Proteggono le comunicazioni email tramite crittografia e firma digitale, garantendo la riservatezza, l'integrità e l'autenticità dei messaggi.

    Maggiori dettagli

  • QWAC - Conformi a PSD2, consentono di ottenere elevati livelli in termini di affidabilità e identificazione, garantendo l'inalterabilità dei dati durante la loro trasmissione.

    Maggiori dettagli

Per informazioni esaustive sulla gamma completa prodotti e servizi di sicurezza offerti, si rimanda alla compilazione del form di contatto.

Entra in contatto con noi e richiedi maggiori informazioni su DORA e sulle soluzioni Aruba

Contattaci
Servizio clienti attivo 24/7