Security Blog

Verso la conformità a DORA e PS21/3: una guida completa

ariana@resilientx.com

Nel panorama finanziario sempre più digitale di oggi, i rischi informatici rappresentano gravi minacce alla stabilità e alla sicurezza degli istituti finanziari. Gli attacchi informatici sofisticati e le interruzioni IT possono portare a ingenti perdite finanziarie, compromettere i dati sensibili dei clienti ed erodere la fiducia del pubblico nei sistemi finanziari.

Per far fronte a questi rischi crescenti, le autorità di regolamentazione di tutto il mondo stanno implementando rigorosi framework di cybersecurity e resilienza operativa. Nell'Unione Europea, il Digital Operational Resilience Act (DORA) mira ad armonizzare le normative sui rischi informatici in tutto il blocco. Nel Regno Unito, la Prudential Regulation Authority (PRA) ha introdotto il Prudential Standard PS21/3 (PS21/3) per rafforzare la resilienza operativa.

Sia DORA che PS21/3 richiedono agli istituti finanziari di rivedere le proprie pratiche di gestione del rischio e sfruttare la tecnologia per rilevare le minacce, resistere agli attacchi e riprendersi rapidamente dagli incidenti. Questo articolo fornisce una guida completa per conformarsi a queste normative fondamentali. Esamina i requisiti chiave, le tempistiche di implementazione, l'ambito delle organizzazioni interessate, le sfide coinvolte e in che modo gli operatori dei servizi finanziari possono adottare un approccio strategico alla conformità.

Uno sguardo approfondito a DORA e PS21/3

Qual è lo scopo di DORA e PS21/3?

DORA e PS21/3 mirano a salvaguardare la stabilità finanziaria e mantenere la fiducia nel sistema finanziario promuovendo la resilienza operativa.

DORA

Il Digital Operational Resilience Act dell'UE stabilisce standard armonizzati per la gestione dei rischi legati alle tecnologie dell'informazione e della comunicazione (ICT) in tutto il settore finanziario europeo. Richiede alle società finanziarie di valutare le proprie vulnerabilità informatiche, implementare controlli rigorosi e garantire la continuità operativa durante le interruzioni.

DORA consolida le normative informatiche precedentemente frammentate imposte dai singoli Stati membri dell'UE in un unico quadro completo. Con regole coerenti in tutto il blocco, DORA facilita le attività e la cooperazione transfrontaliere nella lotta alle minacce informatiche.

PS21/3

Il Prudential Standard 21/3 del PRA impone alle istituzioni finanziarie del Regno Unito di identificare i loro servizi aziendali più importanti, stabilire tolleranze di impatto per le interruzioni e adottare un approccio sistematico per mantenere la continuità operativa.

Le aziende devono analizzare gli scenari che potrebbero plausibilmente causare interruzioni intollerabili e fare gli investimenti necessari per operare entro le loro tolleranze di impatto. Ciò implica la mappatura delle persone, dei processi, della tecnologia, delle strutture e delle dipendenze da terze parti pertinenti.

Insieme, queste normative conferiscono ai servizi finanziari capacità di resilienza e continuità informatica vitali per la stabilità economica e la protezione dei consumatori.

Chi è soggetto a DORA e PS21/3?

Ambito di applicazione di DORA

Tutte le entità finanziarie che operano all'interno dell'UE rientrano nell'ambito di applicazione di DORA, tra cui:

  • Istituti di credito
  • Fornitori di servizi di pagamento
  • Istituti di moneta elettronica
  • Compagnie assicurative
  • Imprese di investimento
  • Infrastrutture del mercato finanziario come le CCP

Inoltre, i fornitori di servizi ICT di terze parti essenziali per il settore finanziario devono rispettare i requisiti DORA. Ciò include i servizi di cloud computing, le operazioni dei data center, i servizi di sicurezza gestiti e altre funzioni IT esternalizzate.

In particolare, entità come piattaforme di crowdfunding, istituti di credito ipotecario e istituti di credito non bancari rimangono fuori dall'ambito di applicazione di DORA.

Ambito di applicazione della PS21/3

Nel Regno Unito, la PS21/3 si applica a tutte le banche, alle società edilizie e alle società di investimento designate. Come DORA, si estende a fornitori di servizi e tecnologie di terze parti fondamentali che supportano questi istituti finanziari.

Qual è la tempistica per la conformità a DORA e PS21/3?

DORA

La Commissione europea ha originariamente proposto DORA nel settembre 2020. Dopo due anni di negoziati, è stato adottato formalmente dal Consiglio e dal Parlamento dell'UE nel novembre 2022.

Gli operatori finanziari hanno tempo fino a gennaio 2025 per conformarsi ai requisiti DORA. Le tre autorità di vigilanza europee (ESA) stanno attualmente redigendo standard tecnici di regolamentazione (RTS) e standard tecnici di implementazione (ITS) per aprire la strada all'adozione in tutto il blocco. Questi standard armonizzati dovrebbero raggiungere la loro forma definitiva nel 2024.

PS21/3

La Prudential Regulation Authority del Regno Unito ha emesso la PS21/3 il 31 marzo 2022. Ha incaricato gli istituti finanziari di raggiungere i traguardi iniziali di conformità entro il 31 marzo 2025.

A partire da marzo 2022, le aziende devono avere:

  • Ha identificato i loro importanti servizi aziendali
  • Stabilisci le tolleranze di impatto per le interruzioni del servizio
  • Mappatura e test eseguiti ai livelli di sofisticazione richiesti
  • Vulnerabilità operative rilevate
  • Avviati gli investimenti necessari per mantenere la resilienza

La piena conformità deve seguire negli anni successivi man mano che i fornitori perfezionano e convalidano i loro accordi di continuità operativa.

Quali sono i requisiti fondamentali di DORA e PS21/3?

Sebbene DORA e PS21/3 differiscano nell'ambito, i loro obiettivi generali convergono sul miglioramento della resilienza informatica. Esaminiamo gli obblighi centrali che impongono.

Requisiti chiave di DORA

DORA organizza i requisiti di gestione del rischio informatico su cinque pilastri:

1. Gestione del rischio ICT
  • Assegnare ruoli e responsabilità per la gestione del rischio ICT
  • Effettuare regolarmente valutazioni del rischio ICT
  • Implementa controlli di sicurezza come gestione degli accessi, crittografia e gestione delle patch
  • Mantenere piani d'azione e pietre miliari (POAM) per monitorare il trattamento del rischio
  • Esegui esercizi per convalidare i controlli e la preparazione
2. Segnalazione di incidenti IC
  • Stabilire procedure per rilevare, classificare e segnalare gli incidenti ICT
  • Notificare alle autorità nazionali entro i termini prescritti gli incidenti significativi
  • Conserva le prove e le cause principali a seguito di un incidente
3. Test di resilienza operativa digitale
  • Testa regolarmente i piani di risposta agli incidenti, continuità aziendale, disaster recovery e comunicazione in caso di crisi
  • Valuta lo stato della sicurezza informatica attraverso l'intelligence sulle minacce, la scansione delle vulnerabilità, i test di penetrazione e gli attacchi simulati
  • Convalida la resilienza informatica di terze parti tramite report di test e assurance
4. Disposizioni per la condivisione delle informazioni
  • Condividi le informazioni sulle minacce informatiche e gli indicatori di compromissione (IOC) con le autorità di regolamentazione e i colleghi del settore
  • Partecipa a esercizi coordinati come Waking Shark e gli esercizi Cambridge 2
  • Collabora con le autorità su minacce, vulnerabilità e incidenti emergenti
5. Gestione del rischio ICT di terze parti
  • Classifica le criticità dei servizi e dei fornitori in outsourcing
  • Condurre una due diligence informatica durante la selezione di terze parti
  • Incorpora i requisiti di sicurezza nei contratti
  • Ottieni la garanzia dei controlli di resilienza dei fornitori tramite i diritti di audit

Insieme, queste clausole rafforzano la resilienza informatica distribuendo al contempo la responsabilità tra le parti interessate dell'ecosistema finanziario.

Requisiti chiave di PS21/3

Gli elementi fondamentali dello standard PS21/3 del PRA includono:

  • Mappatura: Documenta le persone, i processi, la tecnologia, le strutture e le risorse che supportano la fornitura di importanti servizi aziendali.
  • Tolleranze all'impatto: Definisci le interruzioni massime accettabili per importanti servizi aziendali.
  • Test degli scenari: Valuta se l'organizzazione può rimanere entro le tolleranze di impatto in scenari gravi ma plausibili.
  • Investimento: Effettua gli investimenti necessari per operare in modo coerente entro le tolleranze di impatto.
  • Identificazione delle vulnerabilità: Individua le vulnerabilità nella resilienza operativa e apporta miglioramenti tempestivi.
  • Strategia di comunicazione: Crea un piano per comunicare con le parti interessate esterne pertinenti durante un'interruzione.
  • Terze parti: Comprendi e monitora le dipendenze di terze parti; assicurati che la loro resilienza soddisfi gli standard interni.
Scadenze di implementazione
  • Marzo 2022: Identifica importanti servizi aziendali e imposta le tolleranze di impatto. Inizia la mappatura e il test.
  • Marzo 2025: mappatura completa. Esegui test approfonditi e investi necessari per rispettare le tolleranze di impatto.
  • Dal 2025 in poi: iterare sulle disposizioni per convalidare e migliorare la resilienza.

Questo approccio graduale offre alle aziende il tempo di incorporare i fondamenti della continuità operativa prima di dimostrare funzionalità più avanzate.

Le sfide della conformità

Sebbene normative come DORA e PS21/3 mirino a rafforzare i servizi finanziari contro le interruzioni, presentano sfide di implementazione significative.

Adattarsi al panorama delle minacce in evoluzione

I rischi informatici si evolvono a una velocità vertiginosa. Gli istituti finanziari devono monitorare continuamente il panorama delle minacce, adeguare di conseguenza i controlli e i livelli di preparazione. Le tecniche di attacco emergenti come le campagne di phishing basate sull'intelligenza artificiale, le compromissioni della catena di fornitura, il malware distruttivo Wiper e il ransomware con furto di dati richiedono strategie di mitigazione sempre avanzate.

Superare i criminali informatici sofisticati e dotati di risorse adeguate richiede ingenti investimenti in personale, strumenti e processi di sicurezza. Ciò rende la conformità dispendiosa in termini di risorse.

Costruire una governance solida

La resilienza operativa richiede una supervisione e un coordinamento completi. Le aziende devono implementare quadri di governance formali con una leadership esecutiva e ruoli e responsabilità chiaramente definiti.

Gli organi direttivi come i comitati direttivi per la sicurezza e i comitati di supervisione della resilienza dovrebbero riunirsi regolarmente per valutare i rischi informatici, guidare gli investimenti, monitorare la preparazione e rispondere direttamente agli incidenti.

La nomina dei Chief Information Security Officer e dei Responsabili della Resilienza Operativa aggiunge competenze in materia di sicurezza informatica alle discussioni orientative.

Tuttavia, lo sviluppo di questo tessuto di governance richiede tempo e pianificazione considerevoli.

Comprensione delle superfici di attacco complesse

Le istituzioni finanziarie odierne creano servizi attraverso ecosistemi IT complessi e interconnessi. I sistemi bancari principali interagiscono con le applicazioni rivolte ai clienti, le piattaforme di analisi, l'infrastruttura cloud e le reti di terze parti.

Le aziende faticano a mappare questa vasta superficie di attacco e identificare asset critici, dipendenze e vulnerabilità. Ottenere una visibilità completa è essenziale per gestire i rischi, ma rappresenta una sfida enorme.

Retrofit dell'infrastruttura esistente

Le principali istituzioni finanziarie si affidano ampiamente a sistemi IT obsoleti e obsoleti che precedono le moderne best practice di sicurezza. I mainframe, il software ERP, i database e i dispositivi di rete accumulano un enorme debito tecnico nel corso di anni di aggiornamenti incrementali.

La ristrutturazione di questa infrastruttura per soddisfare rigorosi standard di resilienza rappresenta un'impresa pluriennale da miliardi di dollari. Le aziende devono identificare e correggere strategicamente le vulnerabilità critiche eliminando gradualmente i sistemi antiquati.

Coordinamento della supervisione da parte di terzi

Gli ecosistemi dei servizi finanziari dipendono fortemente da fornitori di tecnologia, fornitori di servizi e partner di terze parti. Gli operatori cloud, i data center e gli sviluppatori di applicazioni costituiscono una rete interconnessa di fornitori.

La comprensione e la gestione dei rischi su questa superficie di attacco di terze parti richiede un coordinamento e una valutazione intensivi. Le aziende faticano a ottenere una visibilità olistica e ad imporre standard di sicurezza uniformi in tutto il panorama dei partner.

Quattro passaggi per essere pronti alla conformità

Sebbene significativo in termini di dimensioni, il percorso verso DORA, PS21/3 e normative simili può essere affrontato attraverso un approccio strategico:

1. Stabilire solide fondamenta

Inizia instillando le funzionalità fondamentali di sicurezza informatica, gestione del rischio e resilienza:

  • Valutazioni del rischio: Conduci valutazioni ricorrenti del rischio di asset, sistemi e processi critici. Mantieni aggiornati gli inventari di hardware e software.
  • Igiene di sicurezza: Applica l'autenticazione avanzata, i controlli degli accessi, la crittografia, la gestione delle vulnerabilità e la consapevolezza della sicurezza informatica in tutta l'organizzazione.
  • Gestione del rischio di terze parti: Classifica le terze parti in base alla criticità. Esegui una due diligence basata sul rischio durante l'onboarding. Incorpora i requisiti di sicurezza nei contratti e monitora la conformità.
  • Pianificazione della risposta agli incidenti: Istituire solidi processi di risposta agli incidenti aderenti a standard come il NIST 800-61 Rev. 2. Convalida regolarmente tramite esercizi.
  • Pianificazione della continuità operativa: Identifica le funzioni aziendali critiche, gli obiettivi in termini di tempo di ripristino e le strategie di continuità come ridondanza, backup/ripristino e siti alternativi. Piani di test annuali.

Queste funzionalità fondamentali forniscono la base necessaria per la conformità normativa.

2. Aumenta la visibilità delle risorse critiche

Sfrutta gli strumenti di gestione delle risorse e di mappatura dei servizi IT per identificare i sistemi che supportano servizi vitali. Questa visibilità consente un rafforzamento mirato delle risorse critiche.

3. Esegui test basati su scenari

Analizza e testa scenari che potrebbero realisticamente causare interruzioni significative, come ad esempio:

  • Attacchi ransomware che crittografano i dati critici
  • Attacchi DDoS che travolgono le applicazioni rivolte al pubblico
  • Interruzioni dei servizi cloud che disabilitano le piattaforme SaaS essenziali
  • Compromessi della catena di fornitura che penetrano terze parti affidabili
  • Minacce interne e furto di credenziali
  • Pericoli fisici come incendi, inondazioni o interruzioni elettriche

I test convalidano i controlli e scoprono singoli punti di errore precedentemente sconosciuti.

4. Aggiorna strategicamente le capacità di resilienza

Dati i budget e le risorse limitati, le aziende dovrebbero innanzitutto identificare e mitigare strategicamente le vulnerabilità più gravi. Le principali aree di investimento includono:

Risposta agli incidenti

  • Rilevamento e risposta avanzati degli endpoint
  • Firewall di nuova generazione e prevenzione delle intrusioni
  • Automazione e orchestrazione della sicurezza
  • Ricerca delle minacce e test di penetrazione
  • Raccolta e analisi delle informazioni sulle minacce informatiche

Continuità aziendale

  • Architettura ad alta disponibilità
  • Infrastruttura ridondante e backup regolare dei dati
  • Siti di lavoro alternativi e funzionalità di telelavoro
  • Comunicazione in caso di crisi e gestione degli stakeholder

Rafforzamento dell'infrastruttura

  • Gestione del ciclo di vita degli asset per eliminare gradualmente i sistemi non supportati
  • Segmentazione della rete per isolare le risorse sensibili
  • Meccanismi di crittografia per dati inattivi e in transito
  • Rigorose procedure di gestione delle patch

Una tabella di marcia strategica rafforzerà la conformità nel tempo, massimizzando al contempo la riduzione del rischio.

Guardando al futuro con DORA e PS21/3

I rischi informatici non faranno che intensificarsi man mano che i sistemi finanziari diventeranno più complessi e interconnessi. DORA e PS21/3 rappresentano gli sforzi fondamentali delle autorità di regolamentazione dell'UE e del Regno Unito per controllare queste minacce.

Imponendo ai servizi finanziari di implementare una solida governance, capacità di risposta e resilienza dell'infrastruttura, queste normative mirano a salvaguardare la stabilità finanziaria per il futuro digitale.

Il percorso verso la conformità sarà arduo e comporterà ingenti investimenti tecnologici. Tuttavia, la ricompensa saranno le istituzioni finanziarie con la resilienza informatica necessaria per resistere alle crisi, conquistare la fiducia dei clienti e alimentare l'economia globale.

Conclusione

DORA e PS21/3 segnano una nuova era nella regolamentazione dei servizi finanziari consolidando la resilienza operativa olistica. Con la crescita esponenziale dei rischi informatici, questi framework forniscono una guida prescrittiva ma adattabile agli istituti finanziari sul rafforzamento delle difese.

Il percorso verso la conformità sarà caratterizzato da sfide significative come minacce in continua evoluzione, complessità di governance, ampie superfici di attacco, vincoli tecnologici preesistenti e coordinamento con terze parti. Tuttavia, una tabella di marcia strategica può superare questi ostacoli nel tempo, poiché le funzionalità fondamentali forniscono un trampolino di lancio per una maggiore maturità informatica.

In definitiva, la realizzazione delle visioni di DORA e PS21/3 richiederà un'ampia collaborazione tra le autorità di regolamentazione e l'industria. Man mano che gli standard e le metodologie di test matureranno, i servizi finanziari diventeranno sempre più abili nel mantenere la continuità anche in caso di interruzioni estreme. Questa resilienza informatica promette di salvaguardare il sistema finanziario man mano che la tecnologia si insinua sempre più nell'economia globale.

Related Blog Posts
Security Blog
Importanza della gestione della superficie di attacco nella sicurezza informatica
Gli attacchi informatici sono aumentati del 15%, dando origine a una stima...
Security Blog
DORA: la tua guida essenziale al nuovo regolamento sulla sicurezza informatica dell'UE
Secondo un recente rapporto McAfee, la criminalità informatica costa...
Security Blog
Sfide e soluzioni comuni per la gestione del rischio di terze parti
Un sondaggio di Gartner rivela che il 45% delle aziende ha...
Security Blog
Proteggere i fornitori di servizi: una guida alla gestione del rischio
Quasi il 60% delle aziende ha subito una violazione dei dati causata...
Related Blog Posts
No items found.