Dalla ISO 27001 alla compliance DORA: conformità e sicurezza in pochi passaggi

4 months ago 140

Articolo a cura di Matteo Sironi, DPO Edenred Italia, esperto normativa digitale e cyber e Fabio Guasconi, socio fondatore Blackswan, Presidente CT 510 UNI/UNINFO.

Introduzione al Regolamento DORA

Il Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario (“DORA”) rappresenta un cambiamento fondamentale nella gestione della sicurezza digitale per il settore finanziario dell’Unione Europea. Approvato nel dicembre 2022, DORA mira a rafforzare la resilienza operativa delle entità finanziarie, assicurando che siano preparate ad affrontare e mitigare i rischi legati alle tecnologie dell’informazione e della comunicazione (TIC). Entrerà in vigore il 17 gennaio 2025, dando alle organizzazioni un periodo di transizione per adeguarsi ai nuovi requisiti e si applica a 21 tipologie di entità, tra le quali, enti creditizi, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi per le cripto-attività, depositari centrali di titoli, gestori di fondi di investimento alternativi, società di gestione, imprese di assicurazione e di riassicurazione, intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio, enti pensionistici aziendali o professionali, fornitori di servizi di crowdfunding, fornitori terzi di servizi TIC.

Come indicato dal Comitato europeo per il rischio sistemico, l’elevato livello di interconnessione tra entità finanziarie, mercati finanziari e infrastrutture del mercato finanziario nonché l’interdipendenza dei sistemi TIC, potrebbe costituire una vulnerabilità sistemica poiché incidenti informatici localizzati potrebbero diffondersi da una qualunque delle circa 22.000 entità finanziarie dell’Unione.

La crisi finanziaria del 2008 ha avviato una serie di riforme con lo scopo di aumentare la resilienza finanziaria per salvaguardare la competitività e la stabilità dell’Unione in prospettiva economica, prudenziale e di condotta sul mercato, ma ponendo scarsa attenzione alla sicurezza e alla resilienza digitale.

DORA nasce quindi dall’esigenza di proteggere il settore finanziario dagli effetti sistemici che gli incidenti informatici possono avere sulla stabilità finanziaria, sulla fiducia del mercato e sulla protezione dei dati.

Obiettivi principali del Regolamento DORA

DORA si propone di creare un quadro normativo armonizzato, che comprenda:

  1. Gestione del rischio TIC: le entità devono sviluppare e mantenere un robusto framework di gestione del rischio TIC che includa l’identificazione, la valutazione e la mitigazione dei rischi associati alle tecnologie digitali utilizzate nelle loro operazioni.
  2. Governance e organizzazione: è essenziale che le entità finanziarie istituiscano strutture di governance adeguate per supervisionare e gestire i rischi TIC, definendo ruoli e responsabilità chiari all’interno dell’organizzazione.
  3. Incident reporting: le entità devono implementare procedure per la rilevazione, la gestione e la segnalazione degli incidenti TIC per garantire una risposta tempestiva ed efficace agli incidenti, minimizzando l’impatto sulle operazioni aziendali e sui clienti.
  4. Continuità operativa: devono essere sviluppati e testati piani di continuità operativa che assicurino la resilienza delle operazioni in caso di incidenti; questo include scenari di test specifici, come il deterioramento della qualità del servizio e l’insolvenza dei fornitori TIC.
  5. Gestione dei fornitori di terze parti: Le entità devono gestire i rischi associati ai fornitori di servizi TIC di terze parti, assicurando che questi ultimi rispettino gli stessi standard di sicurezza e resilienza attraverso rigidi e documentati processi di selezione, gestione e la risoluzione dei contratti con i fornitori.

Impatto del DORA sul settore finanziario

DORA richiede alle entità finanziarie di adottare un approccio proattivo alla gestione dei rischi TIC: le organizzazioni devono non solo essere in grado di prevenire e rispondere agli incidenti, ma anche dimostrare la loro capacità di recupero e continuità operativa. Questo comporta l’adozione di tecnologie avanzate di monitoraggio e rilevazione, la formazione continua del personale e la revisione periodica delle politiche e procedure di sicurezza.

Viene inoltre promossa una maggiore collaborazione e condivisione delle informazioni tra le entità finanziarie e le autorità di vigilanza al fine di identificare tempestivamente le minacce emergenti e sviluppare strategie efficaci per contrastarle.

Obblighi e adempimenti

Entrando nel dettaglio degli obblighi stabiliti da DORA, si evidenziano:

1. Gestione del rischio ICT

Le entità devono implementare un robusto framework di gestione del rischio TIC, che includa:

  • Valutazione dei rischi: identificazione, analisi e valutazione dei rischi associati alle tecnologie dell’informazione e della comunicazione.
  • Mitigazione dei rischi: implementazione di misure preventive e correttive per mitigare i rischi identificati.
  • Monitoraggio continuo: sorveglianza costante delle infrastrutture tecnologiche per individuare tempestivamente eventuali anomalie o minacce.

2. Politiche di sicurezza

Le entità finanziarie devono stabilire e mantenere politiche di sicurezza dettagliate, che coprano:

  • Gestione degli asset TIC: inventario e classificazione degli asset TIC, con particolare attenzione alla protezione delle risorse critiche.
  • Crittografia e gestione delle chiavi: uso di tecniche crittografiche per proteggere i dati sensibili e gestione sicura delle chiavi crittografiche.
  • Sicurezza delle operazioni: procedure operative per garantire la sicurezza e la disponibilità dei sistemi TIC, inclusa la gestione delle capacità e delle prestazioni.

3. Incident reporting

Le entità devono adottare procedure per la rilevazione, gestione e segnalazione degli incidenti, assicurando una risposta tempestiva ed efficace attraverso:

  • Rilevazione degli incidenti: implementazione di meccanismi per la rilevazione tempestiva delle attività anomale che potrebbero evolvere in incidenti.
  • Gestione degli incidenti: processi ben definiti per la gestione degli incidenti, inclusa la conservazione delle prove e la revisione delle politiche.
  • Segnalazione degli incidenti: obbligo di segnalare gli incidenti maggiori alle autorità competenti e, se necessario, ai clienti.

4. Continuità operativa

Le entità devono sviluppare piani di continuità operativa che includano:

  • Piani di risposta e recupero: misure per garantire la continuità delle operazioni in caso di incidenti TIC, includendo scenari come il deterioramento della qualità del servizio e l’insolvenza dei fornitori.
  • Testing dei piani: esecuzione di test periodici per verificare l’efficacia dei piani di continuità operativa.

5. Gestione dei fornitori di terze parti

Le entità devono gestire i rischi associati ai fornitori di servizi TIC di terze parti attraverso:

  • Valutazione dei fornitori: selezione dei fornitori basata su rigorosi criteri di sicurezza.
  • Contratti dettagliati: inclusione di clausole specifiche nei contratti per garantire che i fornitori rispettino gli standard di sicurezza e resilienza.
  • Piani di uscita: preparazione di piani per la terminazione dei contratti con i fornitori, assicurando la continuità delle operazioni.

Introduzione agli ISMSs

I Sistemi di Gestione per la Sicurezza delle Informazioni (ISMSs) sono fondamentali per proteggere le informazioni sensibili e garantire la continuità operativa delle organizzazioni. Un ISMS è un insieme di politiche, procedure, linee guida e risorse destinate a gestire la sicurezza delle informazioni in un’organizzazione. La norma internazionale ISO/IEC 27001:2022 fornisce un framework strutturato per implementare un ISMS efficace e adattabile a vari contesti.

Implementare un ISMS secondo ISO/IEC 27001:2022 aiuta le organizzazioni a identificare e gestire i rischi legati alla sicurezza delle informazioni con un approccio sistematico e proattivo, attraverso l’adozione di misure preventive e correttive, la definizione di ruoli e responsabilità chiari e la creazione di piani di risposta agli incidenti.

Il valore di un ISMS risiede nella sua capacità di creare una cultura della sicurezza all’interno dell’organizzazione, migliorando la consapevolezza e la responsabilità del personale, evidenziando conformità ai requisiti normativi, riducendo i rischi di violazioni dei dati e rafforzando, quindi, la fiducia degli stakeholder.

Un ISMS ben implementato non solo migliora la resilienza contro gli attacchi informatici, ma ottimizza anche l’efficienza operativa e riduce i costi legati alla gestione della sicurezza.

Le sinergie tra la norma ISO/IEC 27001:2022 e il Regolamento DORA

Come indicato, la norma ISO/IEC 27001:2022 offre un framework consolidato per implementare un Sistema di Gestione per la Sicurezza delle Informazioni efficace, con numerosi vantaggi. Tra questi, per i soggetti inclusi nell’ambito di applicazione DORA (art. 2 Reg. (UE) 2022/2554), il principale è di fatto una estesa conformità ai requisiti del DORA, grazie alla sua struttura già predisposta per coprire molte delle aree chiave richieste da tale Regolamento.

Di seguito, un quadro sinottico che illustra i requisiti DORA equivalenti ai controlli indicati nella ISO/IEC 27001:2022.

Politiche e procedure

  1. Gestione degli asset ICT
    • ICT Asset Management Policy and Procedure: inclusa nell’ISO/IEC 27001:2022 (A.5.9)
  2. Crittografia e gestione delle chiavi
    • Encryption and Cryptographic Controls: inclusa nell’ISO/IEC 27001:2022 (A.8.24)
    • Cryptographic Key Management: Inclusa nell’ISO/IEC 27001:2022 (A.8.24)
  3. Sicurezza delle operazioni ICT
    • Policies and Procedures for ICT Operations: inclusa nell’ISO/IEC 27001:2022 (A.5.37)
    • Capacity and Performance Management: inclusa nell’ISO/IEC 27001:2022 (A.8.6)
    • Vulnerability and Patch Management: inclusa nell’ISO/IEC 27001:2022 (A.8.8)
    • Data and System Security: inclusa nell’ISO/IEC 27001:2022 (A.8.31)
    • Logging: inclusa nell’ISO/IEC 27001:2022 (A.8.15)
  4. Sicurezza della rete
    • Network Security Management: inclusa nell’ISO/IEC 27001:2022 (A.8.20, A.8.21)
    • Securing Information in Transit: inclusa nell’ISO/IEC 27001:2022 (A.5.14)
  5. Gestione dei progetti ICT e delle modifiche
    • ICT Project Management: inclusa nell’ISO/IEC 27001:2022 (A.5.8)
    • ICT Systems Acquisition, Development, and Maintenance: inclusa nell’ISO/IEC 27001:2022 (A.8.25)
    • ICT Change Management: inclusa nell’ISO/IEC 27001:2022 (A.8.32)
  6. Sicurezza fisica e ambientale
    • Physical and Environmental Security: inclusa nell’ISO/IEC 27001:2022 (A.7.1, A.7.2, A.7.8, A.7.11)

In aggiunta a quanto indicato, il regolamento DORA incarica le AEV (ossia le Autorità Europee di Vigilanza costituite, insieme, da Autorità Bancaria Europea – ABE, Autorità Europea delle Assicurazioni e delle pensioni aziendali e professionali – EIOPA, Autorità Europea degli Strumenti Finanziari e dei Mercati – ESMA) di elaborare progetti di norme tecniche di regolamentazione («RTS») volti a «armonizzare ulteriormente gli strumenti di gestione dei rischi relativi alle TIC,  metodi, processi e politiche”,

A inizio 2024, le AEV hanno quindi pubblicato la bozza di documento “Regulatory Technical Standards to further harmonise ICT risk management tools, methods, processes and policies as mandated under Articles 15 and 16(3) of Regulation (EU) 2022/2554” nel quale vengono indicate le politiche e procedure previste dal Titolo II del DORA.

Nello specifico, vengono indicate in totale 20 politiche e procedure: in 8 aree sono richieste solo le politiche, in 3 aree sono richiesti elementi specifici per le politiche ed elementi specifici per le procedure, in 5 aree sono richiesti elementi specifici per le procedure e infine in 4 aree sono richieste politiche e procedure, senza specificare quali elementi debbano essere inseriti nelle politiche e quali procedure.

 Di seguito una categorizzazione dettagliata:

  • Solo Politiche:
    • ICT Asset Management: ISO/IEC 27001:2022 (A.5.9)
    • Encryption & Cryptographic Controls: ISO/IEC 27001:2022 (A.8.24)
    • ICT Project Management: ISO/IEC 27001:2022 (A.5.8)
    • Acquisition, Development, and Maintenance of ICT Systems: ISO/IEC 27001:2022 (A.8.25)
    • Physical and Environmental Security: ISO/IEC 27001:2022 (A.7.1, A.7.2, A.7.8, A.7.11)
    • Human Resources: ISO/IEC 27001:2022 (A.6.1, A.6.2)
    • Identity Management: ISO/IEC 27001:2022 (A.5.16)
    • Access Control: ISO/IEC 27001:2022 (A.5.15)
    • ICT-related Incident Management: ISO/IEC 27001:2022 (A.5.24, A.5.25, A.5.26, A.5.27)
    • ICT Business Continuity: ISO/IEC 27001:2022 (A.5.29, A.5.30)
  • Solo Procedure:
    • ICT Asset Management: ISO/IEC 27001:2022 (A.5.9)
    • Capacity and Performance Management: ISO/IEC 27001:2022 (A.8.6)
    • Vulnerability and Patch Management: ISO/IEC 27001:2022 (A.8.8)
    • Data and System Security: ISO/IEC 27001:2022 (A.8.31)
    • Logging: ISO/IEC 27001:2022 (A.8.15)
    • Acquisition, Development, and Maintenance of ICT Systems: ISO/IEC 27001:2022 (A.8.25)
    • ICT Change Management: ISO/IEC 27001:2022 (A.8.32)
    • Identity Management: ISO/IEC 27001:2022 (A.5.16)
  • Politiche e Procedure:
    • ICT Risk Management: ISO/IEC 27001:2022 (6.1.2, 6.1.3)
    • ICT Operations: ISO/IEC 27001:2022 (A.5.37)
    • Network Security Management: ISO/IEC 27001:2022 (A.8.20, A.8.21)
    • Security Information in Transit: ISO/IEC 27001:2022 (A.5.14)

Da quanto precede, è chiaro che l’implementazione di un ISMS secondo la norma ISO/IEC 27001:2022 offre numerosi vantaggi alle entità finanziarie che devono conformarsi al DORA. Tuttavia, l’implementazione di un ISMS ai sensi della normativa ISO/IEC non soddisfa tutti i requisiti DORA.

Politiche e procedure escluse dall’ISO/IEC 27001:2022

1. Rilevazione delle attività anomale (Anomalous Activities Detection)

Il DORA richiede meccanismi specifici per la rilevazione tempestiva delle attività anomale che potrebbero evolvere in incidenti ICT. Questo include l’implementazione di strumenti e tecnologie per monitorare e rilevare comportamenti sospetti che potrebbero indicare una minaccia imminente. Sebbene l’ISO/IEC 27001:2022 preveda la gestione degli incidenti, non entra nei dettagli specifici sui meccanismi di rilevazione delle attività anomale.

2. Test di continuità operativa ICT (ICT Business Continuity Testing)

Il DORA dettaglia scenari di test specifici che le entità devono includere nei loro piani di continuità operativa. Questi scenari includono, ad esempio, il deterioramento della qualità del servizio ICT, l’insolvenza dei fornitori ICT e altre situazioni che potrebbero compromettere la continuità operativa. L’ISO/IEC 27001:2022 include la continuità operativa in ambito ICT e il ripristino dei servizi, ma potrebbe non coprire tutti i test specifici richiesti dal DORA.

3. Politiche per i fornitori di servizi ICT di terze parti (Policies for ICT Services Provided by Third-Party Suppliers)

Il DORA richiede una gestione dettagliata del ciclo di vita dei contratti con i fornitori di servizi ICT di terze parti, che includa piani di uscita e strategie di terminazione. Le entità devono assicurarsi che i fornitori rispettino gli stessi standard di sicurezza e resilienza. Sebbene l’ISO/IEC 27001:2022 copra la gestione dei fornitori (A.5.19-A.5.23), non include tutti i dettagli richiesti dal DORA riguardo alla gestione completa del ciclo di vita dei contratti con i fornitori.

Conclusioni

Il Regolamento DORA rappresenta un significativo passo avanti nella protezione della resilienza operativa digitale delle entità finanziarie dell’Unione Europea. L’introduzione di questo regolamento richiede un impegno considerevole per garantire la conformità ai nuovi requisiti, ma offre anche un’opportunità unica per rafforzare la sicurezza e la stabilità delle operazioni finanziarie.

L’ISO/IEC 27001:2022 fornisce una base solida per la gestione della sicurezza delle informazioni, e molte delle sue politiche e procedure si allineano strettamente con i requisiti del DORA. Implementare un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) conforme all’ISO/IEC 27001 non solo facilita il percorso verso la conformità al DORA, ma migliora anche l’efficienza operativa e la fiducia degli stakeholder.

Tuttavia, alcune specificità del DORA, come la rilevazione delle attività anomale, i test di continuità operativa ICT e la gestione dettagliata dei fornitori di servizi ICT di terze parti, richiedono ulteriori misure. Le entità finanziarie devono integrare le loro politiche e procedure esistenti con queste specificità per assicurare una conformità completa.

In definitiva, la combinazione di un robusto ISMS basato sulla ISO/IEC 27001:2022 e l’adozione delle misure aggiuntive richieste dal DORA permetterà alle entità finanziarie di affrontare le sfide della sicurezza digitale con maggiore fiducia e resilienza. Questo non solo proteggerà meglio le operazioni e i dati dei clienti, ma contribuirà anche a una maggiore stabilità e fiducia nel sistema finanziario europeo nel suo complesso.

Read Entire Article