Il punto di vista di Cyber Academy
DORA (Regolamento (UE) 2022/2554) è il regolamento dell'UE che impone un quadro unificato di resilienza operativa digitale alle entità finanziarie e ai loro fornitori terzi di servizi ICT critici. Applicabile dal 17 gennaio 2025. Cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, test di resilienza compresi i test di penetrazione guidati dalla minaccia, rischio ICT di terze parti, condivisione delle informazioni. Lex specialis rispetto a NIS 2 sui temi ICT.
TL;DR
- 1Si applica a circa 20 categorie di entità finanziarie più i fornitori terzi di servizi ICT designati come critici, dal 17 gennaio 2025.
- 2Cinque pilastri. Il registro dei terzi (Pilastro 4) e i test di resilienza (Pilastro 3, compreso il TLPT per le entità significative) sono i più operativi e i più sottoposti ad audit.
- 3Per le entità significative, test di penetrazione guidati dalla minaccia ogni tre anni, supervisionati dall'autorità nazionale nell'ambito di TIBER-EU.
- 4I fornitori terzi di servizi ICT critici sono supervisionati direttamente dalle Autorità europee di vigilanza (ESA). Il loro rischio di concentrazione ora conta a livello UE.
- 5Da abbinare a ISO 22301 per il BCMS, ISO 27001 per la gestione del rischio ICT, e a Lead Operational Resilience Manager per il livello rivolto al regolatore.
La maggior parte delle entità finanziarie non ha iniziato DORA da zero. Avevano un ISMS, un piano di continuità operativa, una politica di esternalizzazione e un inventario dei terzi che era per lo più costituito da contratti di approvvigionamento. DORA non butta via tutto questo. Lo riformula, alza l'asticella su due pilastri in particolare, e sposta la conversazione da "hai un controllo" a "puoi dimostrare che il tuo servizio continua a funzionare quando un fornitore ICT viene meno". Questa pagina parla proprio di quel divario: come i cinque pilastri si concretizzano nelle operazioni, cosa apre per primo un supervisore, e dove i team perdono tempo.
I cinque pilastri, e chi viene sottoposto ad audit su ciascuno
Il regolamento si basa su cinque pilastri. Nella pratica non hanno tutti lo stesso peso. Il Pilastro 1 è fondamentale ma familiare a chiunque gestisca un ISMS. I Pilastri 3 e 4 sono quelli su cui si concentra l'attenzione della vigilanza, perché producono prove difficili da falsificare e facili da verificare. La tabella seguente è la versione che usiamo per informare un consiglio di amministrazione: cosa richiede ciascun pilastro, e chi all'interno dell'entità risulta più esposto quando il regolatore chiede le prove.
| Pilastro | Cosa richiede | Più sottoposta ad audit |
|---|---|---|
| 1. Gestione del rischio ICT | Un quadro di governance documentato: mappatura degli asset e delle dipendenze, identificazione del rischio, controlli di protezione e rilevamento, risposta e ripristino, con titolarità del consiglio di amministrazione e una funzione responsabile designata. | CISO / RSSI e l'organo di gestione, che deve dimostrare una supervisione attiva, non una delega. |
| 2. Gestione e segnalazione degli incidenti ICT | Classificare gli incidenti connessi all'ICT secondo criteri armonizzati, quindi segnalare gli incidenti gravi all'autorità competente secondo le scadenze iniziale / intermedia / finale. | Risposta agli incidenti e SOC, oltre a chi è responsabile delle notifiche regolamentari. |
| 3. Test di resilienza operativa digitale | Un programma di test basato sul rischio; per le entità significative, test di penetrazione guidati dalla minaccia (TLPT) su sistemi di produzione live almeno ogni tre anni. | Security testing, red team, e i responsabili aziendali dei sistemi inclusi nell'ambito. |
| 4. Rischio ICT di terze parti | Un registro di tutti gli accordi con terzi ICT, clausole contrattuali su audit, uscita e subappalto, e analisi del rischio di concentrazione. | Approvvigionamento, gestione dei fornitori e ufficio legale, che devono produrre il registro e i contratti su richiesta. |
| 5. Condivisione delle informazioni | Accordi volontari per lo scambio di cyber threat intelligence tra entità finanziarie. | Threat intelligence; il pilastro più leggero e raramente di per sé una non conformità. |
Cosa fare per primo
L'errore è iniziare dall'aggiornamento delle policy, perché è il lavoro più comodo. Inizia invece dai due artefatti che un supervisore può richiedere per iscritto e che richiedono più tempo per essere costruiti correttamente: il registro dei terzi ICT e la mappatura delle funzioni critiche o importanti rispetto agli asset e ai fornitori ICT che le sostengono. Tutto il resto dipende da quella mappatura. Non puoi definire l'ambito dei test di resilienza, non puoi classificare la gravità degli incidenti, e non puoi ragionare sul rischio di concentrazione finché non sai quali funzioni sono critiche e da cosa dipendono.
Una sequenza praticabile per i primi 90 giorni:
- Definisci le tue funzioni critiche o importanti. Questa è una decisione di business, non di sicurezza. Determina l'ambito di quasi ogni altro obbligo.
- Mappa ogni funzione critica rispetto ai servizi ICT, interni ed esternalizzati, da cui dipende. Questo è il tuo grafo delle dipendenze.
- Costruisci il registro dei terzi a partire da quel grafo, non dal foglio di calcolo dell'approvvigionamento. Il registro deve descrivere gli accordi che sostengono le funzioni, compresi i subappaltatori nella catena.
- Colma le lacune contrattuali richieste da DORA (diritti di audit, strategie di uscita, trasparenza del subappalto, cooperazione in caso di incidenti) prima di tutto sugli accordi che sostengono le funzioni critiche.
- Solo allora formalizza il quadro di gestione del rischio ICT e il programma di test, perché entrambi ora hanno un ambito definito su cui lavorare.
Il registro dei terzi ICT (Pilastro 4) nella pratica
Il registro non è un elenco di fornitori. È un insieme strutturato di registri delle informazioni che l'entità mantiene e che le autorità competenti raccolgono, secondo un modello definito, per osservare la concentrazione ICT nell'intero settore finanziario. Questo cambia il modo in cui lo costruisci. Un campo "abbastanza buono" per uso interno diventa un problema di qualità dei dati quando viene aggregato a livello nazionale e UE. Tre cose causano la maggior parte dei problemi.
Primo, l'unità è l'accordo contrattuale, non il fornitore. Un singolo fornitore può stare dietro a più accordi, e un singolo accordo può sostenere più funzioni. Stai descrivendo un grafo molti-a-molti, e appiattirlo in una riga per fornitore non sopravviverà alla revisione.
Secondo, devi seguire la catena. Il registro deve catturare i subappaltatori che di fatto sostengono una funzione critica o importante, il che significa che la tua visibilità sul fornitore deve spingersi oltre la tua controparte diretta. Se il tuo contratto non ti dà il diritto di sapere chi è la quarta parte, quella è una lacuna contrattuale da colmare, non un campo da lasciare in bianco.
Terzo, il flag di criticità della funzione su ciascun accordo è il campo da cui dipende tutto il resto. Contrassegna troppe cose come critiche e affoghi i tuoi stessi test e la tua remediation contrattuale; contrassegnane troppo poche e sottostimi il rischio di concentrazione e inganni il supervisore. Fai bene la valutazione della criticità una volta sola, a livello di funzione, e lascia che si propaghi.
Test di penetrazione guidati dalla minaccia (Pilastro 3): com'è davvero la sala
Il TLPT è il pilastro che sorprende, perché non assomiglia a un test di penetrazione di routine. È guidato dall'intelligence, eseguito su sistemi di produzione live, circoscritto alle funzioni critiche o importanti, e condotto secondo la metodologia TIBER-EU con il coinvolgimento dell'autorità nazionale. Le entità significative lo eseguono con un ciclo di almeno tre anni. È più vicino a un'esercitazione di red team supervisionata che a una scansione delle vulnerabilità, e il deliverable che conta non è l'elenco delle non conformità; è la prova che il rilevamento e la risposta hanno funzionato, oppure il resoconto onesto del perché non hanno funzionato.
Tre realtà che i team sottovalutano:
- L'ambito è determinato dalle funzioni critiche, non da ciò che è comodo testare. Se una funzione si estende a un fornitore esternalizzato, quel fornitore potrebbe dover rientrare nell'ambito, il che significa che la cooperazione del fornitore deve essere garantita contrattualmente in anticipo.
- Il blue team in genere non viene informato. Il valore sta nel testare il rilevamento e la risposta reali, quindi un TLPT di cui i difensori erano stati avvisati ha perso gran parte del suo senso. Questo ha conseguenze organizzative che si pianificano, non si scoprono a metà esercitazione.
- I tester e i fornitori di threat intelligence devono soddisfare requisiti di competenza e indipendenza, e l'autorità esamina il processo. Non puoi semplicemente rietichettare il pentest annuale dell'anno scorso come TLPT.
Se la tua entità è al di sotto della soglia di significatività, non esegui il TLPT, ma devi comunque un programma di test basato sul rischio: valutazioni delle vulnerabilità, test basati su scenari, e test di resilienza del percorso di ripristino. Il corso Lead Operational Resilience Manager è costruito proprio attorno a questo livello di test ed evidenze rivolto al regolatore, e il corso DORA Lead Manager copre come l'intero programma è governato dall'inizio alla fine.
DORA come lex specialis rispetto a NIS 2 per le banche
Le banche, e la maggior parte delle altre entità finanziarie, rientrano nell'ambito sia di NIS 2 sia di DORA. I due si sovrappongono fortemente su rischio ICT, segnalazione degli incidenti e sicurezza della catena di fornitura, il che solleva l'ovvio timore di fare tutto due volte. DORA risolve la questione: sulle materie ICT che disciplina, DORA è lex specialis. La regola specifica prevale su quella generale. Laddove DORA fissa l'obbligo di gestione del rischio ICT e di segnalazione degli incidenti, un'entità finanziaria segue DORA, e le autorità competenti non dovrebbero applicare in aggiunta l'equivalente requisito NIS 2 per lo stesso tema ICT.
Cosa questo non significa: non disattiva del tutto NIS 2 per un'entità finanziaria, e non cambia chi è la tua autorità competente per le materie non ICT. La decisione pratica per una banca è mappare ogni obbligo allo strumento che lo disciplina: resilienza operativa ICT, segnalazione degli incidenti e rischio ICT di terze parti rientrano in DORA; tutto ciò che è al di fuori di DORA è ambito che valuti separatamente. Documenta quella mappatura. È la risposta alla domanda "stai contando due volte o sotto-contando" che esaminatori e auditor pongono entrambi.
Errori comuni e dove costruire la competenza
Gli insuccessi ricorrenti non sono esotici. Il registro è costruito per fornitore invece che per accordo e si rompe nel momento in cui il subappalto conta. La criticità delle funzioni critiche è valutata dall'IT invece che dal business, quindi l'ambito di tutto ciò che ne discende è sbagliato. Le soglie di classificazione degli incidenti sono scritte ma mai testate rispetto a un incidente reale, quindi il primo evento grave diventa la prima prova generale della tempistica di segnalazione. E la continuità operativa è trattata come un progetto ISO 22301 separato anziché come il muscolo di ripristino che i test DORA dovrebbero esercitare.
Quest'ultimo punto conta: DORA non sostituisce un sistema di gestione della continuità operativa, ne presuppone uno. Gli obiettivi di ripristino e il percorso di ripristino testato che un BCMS ti offre sono ciò che i test di resilienza convalidano. Costruisci il BCMS correttamente con il corso ISO 22301 Lead Implementer, e diventa il substrato su cui poggiano gli obblighi di resilienza operativa anziché un raccoglitore parallelo che nessuno apre.
Se parti dal regolamento stesso, il corso DORA Foundation offre a tutto il team una lettura condivisa e accurata dei cinque pilastri e dell'ambito prima che chiunque tocchi il registro o il programma di test. Da lì, il corso DORA Lead Manager è il livello di attuazione e governance per le persone che saranno titolari del quadro, e il corso Lead Operational Resilience Manager è per la funzione che deve presentarsi davanti al supervisore e dimostrare che la resilienza è reale, non documentata.
Frequently asked questions
01Chi rientra nell'ambito di applicazione di DORA?
Circa 20 categorie di entità finanziarie: enti creditizi, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, controparti centrali, sedi di negoziazione, depositari centrali di titoli, imprese di assicurazione e di riassicurazione, intermediari, prestatori di servizi per le cripto-attività, prestatori di servizi di informazione sui conti, gestori di fondi di investimento alternativi, società di gestione, prestatori di servizi di comunicazione dati, agenzie di rating del credito, amministratori di indici di riferimento critici, fornitori di servizi di crowdfunding, repertori di dati sulle cartolarizzazioni.
Più un regime separato per i fornitori terzi di servizi ICT critici (CTPP) designati dalle ESA sulla base di una valutazione della criticità. I CTPP sono soggetti alla vigilanza diretta di un Joint Oversight Forum guidato da un'ESA.
02Cos'è il TLPT e chi ne ha bisogno?
Il Threat-Led Penetration Testing è un'esercitazione di red team supervisionata dal regolatore, richiesta per le entità finanziarie significative ai sensi di DORA. Costruito sul quadro TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Almeno ogni tre anni.
Il TLPT è guidato dall'intelligence (profilo di minaccia fornito da un team di intelligence separato), prende di mira funzioni critiche o importanti dell'entità ed è supervisionato dall'autorità nazionale. Dura mesi, è costoso ed è il test più rigoroso che un CISO finanziario dovrà affrontare.
03Come interagisce DORA con NIS 2 per le banche?
DORA è lex specialis sui temi ICT. Laddove DORA si applica, prevale su NIS 2 per le disposizioni relative all'ICT. Per i temi NIS 2 non ICT (sicurezza fisica, alcuni aspetti di governance, ambito della formazione), NIS 2 continua ad applicarsi in parallelo.
In pratica, una banca che rientra nell'ambito di entrambi attua pienamente DORA per il rischio ICT, la segnalazione degli incidenti, i test di resilienza e il rischio ICT di terze parti, mentre legge NIS 2 per il restante quadro di base della governance della cybersicurezza.
04Cosa va nel registro dei terzi ICT?
L'articolo 28 più gli RTS dell'EBA sul subappalto e sul registro delle informazioni specificano i campi. Ogni accordo contrattuale con un fornitore di servizi ICT è registrato con: natura dei servizi, criticità, catena di subappalto visibile all'entità, ubicazione dei servizi, ubicazione dei dati, SLA prestazionali, strategia di uscita, assetti di governance.
Il registro è il documento che l'autorità di vigilanza chiede per primo. La maggior parte delle entità finanziarie sottovaluta l'onere di manutenzione; un registro non aggiornato è trattato come una non conformità.
05Qual è il rapporto tra DORA e ISO 22301?
DORA non impone la certificazione ISO 22301, ma gli obblighi di BCM e disaster recovery del regolamento (articoli 11-12) si mappano quasi uno a uno su un BCMS conforme a ISO 22301. La maggior parte delle entità che già gestiscono un BCMS 22301 vi innesta il livello di test e segnalazione specifico di DORA senza ricostruire le fondamenta.



