Forrester logo

|

The Forrester Wave™: Supplier Value Management Platforms, Q3 2024     Scarica il report

Ivalua
Ivalua - Banner

Introduzione al regolamento Digital Operational Resilience Act (DORA)

By  Arnaud Malardé

  |  

  |  

In un’epoca in cui le minacce informatiche e le interruzioni operative sono sempre più frequenti, l’Unione Europea ha compiuto un passo significativo per salvaguardare il proprio settore finanziario con l’introduzione di DORA.

Il Digital Operational Resilience Act (DORA) è un regolamento progettato per migliorare la sicurezza informatica e la resilienza operativa delle istituzioni finanziarie e dei fornitori di servizi ICT nell’UE, come banche, compagnie assicurative e imprese di investimento. Il regolamento si applicherà a più di 22 enti finanziari e fornitori di servizi ICT che operano nell’UE

Anche se può sembrare che sia rivolto ai reparti IT, DORA coinvolge in modo significativo l'ufficio acquisti e finance. L'IT si occupa dell'architettura e delle operazioni tecnologiche, ma il mantenimento di rapporti conformi con le terze parti spetta ai responsabili di procurement e finance.

In questo articolo esploreremo DORA, i suoi obiettivi, i componenti principali e la tempistica di implementazione. Parleremo anche di come i professionisti degli acquisti e finance possono prepararsi alle normative DORA e di come Ivalua supporta la conformità.

Che cos’è DORA?

Il Digital Operational Resilience Act (DORA) è una normativa di riferimento introdotta dall’Unione Europea per migliorare la resilienza digitale operativa e informatica del settore finanziario. Entrata ufficialmente in vigore il 16 gennaio 2023, DORA sarà applicabile a partire dal 17 gennaio 2025. 

Questo regolamento mira a stabilire un quadro armonizzato e completo che rafforzi la capacità delle istituzioni finanziarie di resistere e rispondere ai rischi e alle interruzioni digitali. In questo modo, DORA mira a garantire la stabilità e la sicurezza del settore finanziario dell'UE di fronte alle crescenti minacce digitali.

DORA rafforza il ruolo delle Autorità di Vigilanza Europee (ESA), tra cui l’Autorità Bancaria Europea (EBA), l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA) e l’Autorità Europea degli Strumenti Finanziari e dei Mercati (ESMA), che ne supervisionano l’attuazione e l’applicazione per proteggere il settore finanziario dalle minacce digitali. 

Il suo ampio campo di applicazione copre tutti gli istituti di servizi finanziari (ISF) dell'UE, tra cui banche, assicurazioni, fondi pensione, borse e fornitori di sistemi ICT. La normativa è stata sviluppata attraverso un approfondito processo legislativo che prevede la consultazione delle parti interessate, per garantire che sia completa e adattabile all'evoluzione del panorama digitale.

Obiettivi principali di DORA

Il Digital Operational Resilience Act (DORA) stabilisce i requisiti chiave per le istituzioni finanziarie al fine di garantire la sicurezza e la stabilità delle loro operazioni digitali. Di seguito sono riportate le principali aree di intervento della normativa DORA:

  • Rafforzare la sicurezza informatica: DORA impone agli istituti finanziari di implementare misure di sicurezza informatica rigorose per proteggere dalle minacce informatiche e garantire l’integrità dei loro sistemi digitali.
  • Promuovere la resilienza operativa: Il regolamento sottolinea l’importanza della resilienza operativa, richiedendo agli istituti di sviluppare e mantenere solidi quadri di riferimento per rispondere alle interruzioni digitali.
  • Migliorare la gestione del rischio: DORA stabilisce standard elevati per la gestione del rischio, garantendo che gli istituti finanziari dispongano di strategie complete per identificare, valutare e mitigare i rischi digitali.
  • Facilitare la vigilanza e il coordinamento: Il regolamento rafforza i poteri di vigilanza delle autorità competenti, consentendo loro di monitorare e far rispettare i requisiti della normativa. Promuove inoltre il coordinamento e la condivisione delle informazioni tra le autorità per affrontare i rischi transfrontalieri e garantire un’attuazione coerente in tutta l’UE.

Quali sono i cinque componenti principali di DORA?

Il Digital Operations Resilience Act comprende cinque componenti chiave che collettivamente rafforzano la resilienza operativa digitale e informatica dei sistemi finanziari nei mercati europei:

  1. Strategia di gestione dei rischi ICT: DORA richiede alle istituzioni finanziarie di sviluppare strategie per identificare, valutare e mitigare i rischi legati alle ICT. Ciò include valutazioni periodiche del rischio, implementazione di controlli di sicurezza e definizione di protocolli di risposta alle minacce per mantenere l’integrità, la disponibilità e la riservatezza dei sistemi informativi.
  2. Segnalazione di incidenti legati all’ICT: DORA impone la tempestiva segnalazione di incidenti informatici significativi alle autorità competenti per facilitare una risposta coordinata alle minacce. Ciò aiuta a mitigare i potenziali impatti e a migliorare gli sforzi complessivi di sicurezza informatica in tutto il settore identificando tendenze e modelli negli attacchi informatici.
  3. Test di resilienza operativa digitale: gli istituti finanziari devono condurre regolarmente test di resilienza, compresi test basati su scenari e di penetrazione, per valutare l’efficacia dei loro sistemi ICT. Questi test identificano le vulnerabilità e garantiscono la preparazione contro le minacce informatiche del mondo reale.
  4. Gestione dei rischi ICT di terze parti: DORA enfatizza la gestione dei rischi associati ai fornitori di servizi ICT di terze parti. Le istituzioni devono condurre un’accurata due diligence e un monitoraggio continuo per garantire la conformità di terze parti agli standard di sicurezza informatica, mitigando i rischi derivanti dalle partnership esterne.
  5. Accordi di condivisione delle informazioni con i colleghi dei servizi finanziari: DORA incoraggia gli istituti finanziari a condividere approfondimenti, informazioni sulle minacce e migliori pratiche con i colleghi. Questa collaborazione migliora la resilienza collettiva della sicurezza informatica, consentendo alle istituzioni di stare al passo con le minacce emergenti e di rispondere efficacemente agli incidenti informatici.

Cronologia DORA: fasi chiave e implementazione

DORA è caratterizzato da diverse fasi chiave, ciascuna delle quali contribuisce allo sviluppo e all’attuazione di un quadro DORA completo volto a migliorare la resilienza digitale del settore finanziario dell’UE:

Concettualizzazione e stesura iniziale (2019-2020)

Il viaggio di DORA è iniziato con il riconoscimento delle crescenti minacce digitali al settore finanziario. L'UE mirava a un approccio armonizzato alla resilienza digitale, che ha portato alla stesura iniziale di DORA, stabilendo principi fondamentali per proteggere le istituzioni finanziarie dai rischi legati alle TIC.

Fase di consultazione (2020-2021) 

Durante questa fase, un ampio coinvolgimento delle parti interessate ha perfezionato le normative proposte. Istituzioni finanziarie, esperti del settore e organismi di regolamentazione hanno fornito approfondimenti e feedback, garantendo che DORA affronti sfide ed esigenze pratiche e aprendo la strada a un quadro efficace.

Station 1 (Batch 1) – Proposta formale e adozione iniziale (gennaio 2021 – gennaio 2022)

Nel gennaio 2021 la Commissione Europea ha proposto formalmente DORA. La proposta è stata esaminata e discussa dal Parlamento europeo e dal Consiglio, portando alla sua adozione entro l'inizio del 2022, che ha posto le basi per l'attuazione.

Station 2 (Batch 2)– Preparazione e implementazione iniziale (gennaio 2022 – gennaio 2023)

Le istituzioni finanziarie e gli organismi di regolamentazione si sono preparati per l'implementazione di DORA, concentrandosi sulla comprensione dei requisiti e sull'avvio dei necessari cambiamenti organizzativi. La formazione, le valutazioni e le strategie di conformità sono state attività chiave, supportate da orientamenti normativi.

Implementazione finale (gennaio 2023 – gennaio 2025)

DORA è entrato ufficialmente in vigore il 16 gennaio 2023. Nel corso dei due anni successivi, gli istituti finanziari dovranno allineare i propri processi, sistemi e controlli ai requisiti di DORA, prevedendo test rigorosi, segnalazione di incidenti di sicurezza informatica, gestione dei rischi di terze parti e meccanismi di condivisione delle informazioni.

Conformità DORA (da gennaio 2025 in poi)

Dal 17 gennaio 2025 la conformità DORA sarà obbligatoria. Le istituzioni finanziarie di tutta l'UE devono integrare i requisiti di DORA nelle loro operazioni, con le autorità europee di vigilanza (ESA) che ne garantiscono l'adesione e il mantenimento di elevati livelli di resilienza digitale. Con l'evolversi delle minacce digitali, DORA subirà ulteriori perfezionamenti. Le istituzioni finanziarie devono mantenere un atteggiamento proattivo, aggiornando le strategie di resilienza e le misure di conformità.

Come i professionisti del procurement e della finanza dovrebbero prepararsi al regolamento DORA

DORA introduce cambiamenti significativi nelle attività di procurement all’interno delle istituzioni finanziarie sottolineando l’importanza della resilienza digitale e della sicurezza informatica.

In questo video, Thomas Meyer di KPMG discute gli obiettivi, la portata e l’approccio delle normative DORA:

Guarda i punti salienti di questo webinar per saperne di più, grazie agli esperti Arnaud Malardé e Simone Smits di Ivalua, i quali condividono preziose strategie e una guida passo dopo passo per consentire ai professionisti del procurement di adattarsi al panorama normativo in evoluzione.

Guarda il webinar completo: Come il procurement e i dipartimenti finance dovrebbero prepararsi alla regolamentazione DORA.

Quali processi di acquisto le aziende dovrebbero verificare per essere conformi con DORA?

La normativa DORA influisce su diverse fasi dei processi di procurement, dal Source-to-Pay (S2P) al Procure-to-Pay (P2P), alla gestione complessiva delle modifiche e alla governance dei processi.

Innanzitutto, le aziende devono aggiornare le proprie politiche di approvvigionamento per riflettere i requisiti di DORA stabilendo linee guida chiare per incorporare considerazioni sulla sicurezza informatica e sulla resilienza digitale nelle attività di procurement.

Strategia di sourcing e rischio di concentrazione

Lo sviluppo di una solida strategia di sourcing e la gestione del rischio di concentrazione sono vitali per la conformità DORA. Sono necessari processi di due diligence rafforzati per valutare tutti i rischi relativi ai fornitori, in particolare il rischio di concentrazione.

Le organizzazioni devono condurre valutazioni approfondite del rischio e garantire che i fornitori dispongano di solide misure di sicurezza IT e resilienza. Una strategia di sourcing ben definita garantisce un'attenta selezione dei fornitori che soddisfano rigorosi standard di sicurezza informatica attraverso un'accurata due diligence.

Inoltre, la gestione del rischio di concentrazione implica la diversificazione della base dei fornitori per evitare un'eccessiva dipendenza da pochi fornitori. Distribuendo il rischio tra più fornitori, le organizzazioni possono garantire la fornitura continua di servizi, nonostante le interruzioni della supply chain.

Gestione del ciclo di vita del contratto

La gestione del ciclo di vita del contratto (CLM) è fondamentale per la conformità DORA, incorporando rigorosi standard di sicurezza informatica e resilienza durante tutto il processo contrattuale. I contratti con i fornitori devono includere clausole che affrontino la conformità con DORA per garantire che i fornitori siano contrattualmente obbligati ad aderire a specifici standard e protocolli di sicurezza informatica e resilienza digitale.

Incorporando clausole specifiche della normativa DORA nella creazione e negoziazione del contratto, le istituzioni finanziarie garantiscono che i fornitori soddisfino elevati standard di sicurezza. Un CLM efficace gestisce le relazioni con i fornitori concentrandosi su una solida sicurezza informatica, in linea con l'obiettivo di DORA di migliorare la resilienza operativa digitale nel settore finanziario.

Gestione dei fornitori

La gestione dei fornitori prevede l’implementazione di un’accurata due diligence, valutazioni periodiche del rischio, monitoraggio continuo e controlli delle performance e degli istituti finanziari per garantire che i fornitori rispettino i requisiti di DORA.

Le organizzazioni devono incorporare criteri di sicurezza informatica e resilienza digitale nel processo di selezione dei fornitori, valutando i potenziali fornitori in base alla loro capacità di soddisfare i requisiti di resilienza digitale di DORA. La comunicazione trasparente e gli obblighi contrattuali chiari rafforzano ulteriormente la conformità.

Procure-to-Pay

Il processo P2P prevede i passaggi dall'acquisto di beni e servizi all'effettuazione dei pagamenti. DORA ha un impatto sul processo P2P richiedendo controlli e meccanismi di monitoraggio più forti:

  1. Ordini di acquisto e approvazioni: gli istituti finanziari devono implementare flussi di lavoro sicuri e conformi per la generazione e l’approvazione degli ordini di acquisto per garantire che tutti gli acquisti siano controllati per i rischi di sicurezza informatica.
  2. Elaborazione delle fatture: l’elaborazione delle fatture deve essere effettuata in modo sicuro, con sistemi in atto per rilevare e prevenire attività fraudolente. Le organizzazioni devono verificare l’autenticità delle fatture e la loro conformità agli standard DORA.
  3. Sicurezza dei pagamenti: i processi di pagamento devono essere rafforzati con misure di sicurezza avanzate utilizzando gateway di pagamento sicuri e tecnologie di crittografia.

Gestione e reporting dei rischi e dei problemi

La gestione e il reporting di rischi e problemi aiutano gli istituti finanziari a identificare, valutare e affrontare in modo proattivo vulnerabilità e incidenti. Una gestione dettagliata dei problemi aiuta i team a disertare e risolvere rapidamente gli incidenti per ridurre al minimo le interruzioni, mentre procedure di reporting complete garantiscono trasparenza e responsabilità e aiutano a tenere informate le autorità di regolamentazione e le parti interessate.

Registro delle informazioni

Un registro delle informazioni è una registrazione dettagliata di tutti i dati, le risorse, i sistemi, i processi e le attività critici all'interno dell'infrastruttura IT di un'organizzazione. Comprende inventari hardware e software, flussi di dati, configurazioni di rete, politiche di sicurezza, rapporti sugli incidenti e stati di conformità.

Il mantenimento di un registro aggiornato garantisce che gli istituti finanziari abbiano una visione olistica del loro ambiente digitale, essenziale per una gestione efficace e la conformità normativa.

In che modo Ivalua supporta la conformità DORA

Sebbene Ivalua non sia supervisionata direttamente dalle ESA, ci impegniamo ad aiutare i clienti a soddisfare i loro requisiti normativi. La piattaforma di Ivalua offre funzionalità chiave per supportare la conformità DORA, fungendo da archivio digitale essenziale per gli istituti finanziari soggetti a DORA.

Questo repository è molto più di un semplice database di contratti; è definito negli standard tecnici di regolamentazione (RTS) di DORA come una raccolta di 14 database interconnessi collegati da cinque identificatori distinti, per garantire una comunicazione continua tra loro.

Inoltre, la piattaforma consente il monitoraggio della supply chain dei servizi con visibilità sui subappaltatori di livello N, garantendo il rispetto dei requisiti di trasparenza e supervisione della catena di fornitura. Questo approccio globale supporta una solida conformità e migliora la resilienza operativa.

Mentre molti fornitori S2P faticano ad estendere il proprio modello dati nella misura richiesta, Ivalua supporta tutti i punti dati nuovi e specifici. Gestire requisiti complessi con più tabelle dati e identificatori è particolarmente impegnativo con un'architettura multi-tenant.

Per essere conformi al regolamento DORA, i clienti necessitano come minimo di diversi moduli chiave:

  • Modulo Supplier Relationship and Performance Management (SRPM):essenziale per la due diligence dei fornitori, la gestione delle informazioni sui fornitori, la gestione di un centro rischi, il monitoraggio delle prestazioni dei fornitori e la gestione del monitoraggio dei problemi e dei piani di miglioramento.
  • Modulo sourcing: per gestire i rischi prima di stipulare nuovi accordi.
  • Modulo Contract Lifecycle Management (CLM): fornisce modelli di contratto in cui è possibile incorporare tutte le clausole specifiche di DORA, ovvero quelle relative alla cooperazione con le autorità competenti, all’integrità e all’accessibilità dei dati, alle strategie di uscita e alle disposizioni sulla migrazione.


Guarda una demo della piattaforma Source-to-Pay di Ivalua che soddisfa tutti i requisiti di DORA.

Conclusione

Raggiungere la conformità DORA è vitale per le istituzioni finanziarie per garantire una solida resilienza operativa digitale e tutelarsi dalle crescenti minacce informatiche. Iniziare il percorso di conformità il prima possibile è fondamentale, poiché le complessità di DORA richiedono una preparazione approfondita e l'integrazione di soluzioni complete.

Ivalua è progettato per soddisfare la conformità DORA, fornendo un modo semplice ed efficiente per gestire i requisiti normativi necessari.

Ottieni consigli pratici su come orientarti nella conformità DORA. Leggi il report: “Navigare tra i requisiti DORA: Una guida per i professionisti degli acquisti e finance.

Arnaud Malardé

Senior Product Marketing Manager

Arnaud Malardé, Senior Product Marketing Manager, è entrato in Ivalua con oltre 10anni di esperienza in diverse posizioni negli acquisti. Esperto del settore e di procurement, Arnaud ha lavorato al fianco di prestigiose organizzazioni internazionali di servizi finanziari, vendita al dettaglio, IT e media. Product thought leader, blogger e panel di numerosi webinar, Arnaud offre una visione preziosa e innovativa delle soluzioni avanzate di approvvigionamento digitale. Ha conseguito un Master in Finanza presso la ESCP Europe, una delle migliori scuole di business francesi, e un Master Europeo in Management presso la City University di Londra.

Pronto a sfruttare al meglio le tue possibilità?

Parliamo