Con la ratifica del Parlamento Europeo avvenuta lo scorso 10 novembre, il regolamento Digital Operational Resiliency Act (DORA) entra nella sua fase attuativa, lasciando ai soggetti coinvolti ventiquattro mesi per adeguarsi ai nuovi requisiti.
L’ambito di applicazione della nuova normativa è ampio, coinvolgendo sostanzialmente tutti i soggetti operanti nel settore finanziario, seppur secondo un principio di proporzionalità. Non solo dunque banche, società di investimento e assicurazioni, ma anche nuovi soggetti quali operatori attivi nel segmento dei crypto asset così come i fornitori ICT di servizi critici (e.g., Cloud service provider).
In collaborazione con AziendaBanca, IBM Consulting organizzerà a gennaio un momento di confronto con le Istituzioni Finanziarie, che si realizzerà attraverso il webinar DORA: la resilienza come leva competitiva
La Dora e il suo impatto sulle banche
DORA è riconosciuto come uno strumento essenziale per la resilienza e per la competitività delle istituzioni finanziarie, in grado di apportare effetti positivi a livello sistemico, attraverso migliori pratiche di cyber-security, risk management, una riduzione degli incident ICT e dei costi da essi derivanti e conseguentemente un innalzamento del livello di fiducia di imprese, investitori e consumatori.
Il Regolamento si basa su quattro principali componenti: governance e organizzazione interna, risk management, incident management e reporting, gestione di fornitori di servizi ICT. L’ampiezza del portato normativo rende necessario per un’Istituzione Finanziaria avviare un programma articolato e sinergico di interventi che non possono che partire dall’implementazione di una solida governance e da una profonda presa di coscienza della centralità di DORA e della responsabilità degli organi di gestione, del top management e dei diversi ruoli aziendali direttamente impattati, e.g., Chief Information Security Officer, Chief Information Officer, Chief Risk Officer, Chief Compliance Officer, Chief Operating Officer ma anche il Chief Procurement Officer.
Come affrontare questa sfida?
Il punto di partenza è assicurare “consapevolezza” da parte dell’intera organizzazione.
Consapevolezza che non è solo un problema tecnico dell’ICT: è una responsabilità della istituzione finanziaria, a partire dal top management.
In secondo luogo, consapevolezza che il rischio è una condizione ineluttabile del nostro operare: il punto di partenza nell’attuazione non può che essere la definizione dei livelli di tolleranza dei rischi ICT e l’individuazione delle “funzioni critiche e importanti” da preservare e a cui garantire Business Continuity.
Il secondo elemento è l’importanza di affrontare la nuova normativa con un effort cross funzionale e integrato. Partendo dalla valorizzazione degli investimenti in competenze organizzative e asset effettuati nel corso degli ultimi anni e lavorando dunque per differenza. Minimizzando in tal modo gli investimenti incrementali che pur saranno necessari.
Nell’ampio perimetro di interventi, sono da considerare aree quali Operations Resilience, Risk Management Framework, ICT Security Incident Management, Information Security Governance, Threat Intelligence, Business Continuity Management, Disaster Recovery, Digital Operational Resilience Testing.
Particolarmente rilevante è l’estensione del perimetro di applicazione a tutti i fornitori esterni che supportano l’ICT nelle sue Funzioni Critiche . Tale estensione porterà inevitabilmente un impatto sulle politiche di sourcing e di ICT Third Party Management rendendo DORA una priorità anche per i Chief Procurement Officer.
La terza area di novità è il requisito di continuità e regolarità sistemica richieste al sistema di monitoraggio e di reporting.
DORA impone infatti alle istituzioni finanziarie un sistema di testing degli scenari di rischio e del proprio livello di resilienza e la segnalazione dei reporting alle autorità competenti.
Il test di sicurezza e resilienza relativamente ai Sistemi e Applicazioni ICT critici e alle Cyber threats rilevanti dovranno essere previsti con cadenza annuale e generare sia una Business Impact Analysis sia un piano per indirizzare le vulnerabilità individuate.
Se dunque gli impatti sono potenzialmente pervasivi, altrettanto ampia è l’opportunità di indirizzare il rafforzamento delle pratiche attuali di resilienza verso una migliore esperienza per i Clienti. Con naturali benefici in termini di migliore soddisfazione (i.e., Net Promoter Score), maggiori volumi, ampiezza e valore delle transazioni dirottate su canali digitali ed efficienza operativa della rete distributiva.
La proposta di IBM Consulting
IBM Consulting, unica sul mercato, è in grado di fornire al mercato un’offerta di servizi di compliance alla nuova normativa realmente end-to-end.
Partendo dalla messa a disposizione di competenze specialistiche di risk & compliance attraverso Promontory (società interamente posseduta da IBM Consulting), di cybersecurity e ICT risk tramite IBM Security, sino alle competenze legate al Software Development Life-cycle rese disponibili da IBM Consulting. Senza contare alla possibilità di fare leva sugli asset tecnologici di IBM (e.g., strumenti e soluzioni avanzate di Proactive Application Monitoring).
IBM Consulting, assieme a IBM Security, si propone dunque come un partner privilegiato per le Istituzioni Finanziarie attraverso un approccio di “DORA Compliance in a Box “, fondato tra l’altro su un approccio prescrittivo e predittivo alla cyber security basato sul framework ZeroTrust in grado di garantire la copertura end to end della cyber resilience, anche mediante l’utilizzo del portafoglio di prodotti tecnologici a sua disposizione.
In collaborazione con Aziendabanca, IBM Consulting organizzerà a gennaio un momento di confronto con le Istituzioni Finanziarie, che si realizzerà attraverso il webinar DORA: la resilienza come leva competitiva
