Regolamento DORA

(Digital Operational Resilience Act)

Benvenuto su dora-info.it. Qui trovi tutti i recitals e gli articoli del Digital Operational Resilience Act ordinati e orientati ad una consultazione facilitata. Per ogni articolo della Normativa DORA abbiamo provveduto a fornire l’originale del Regolamento Europeo e una interpretazione dell’articolo sintetizzata per la consultazione veloce. Non è nostra intenzione sostituirci al legislatore o fornire interpretazioni fuorvianti. Raccomandiamo di verificare il testo originale del Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011

DORA mira a standardizzare i protocolli di sicurezza digitale nelle organizzazioni finanziarie. Stabilisce un insieme completo di requisiti che coprono:

  1. Gestione dei rischi TIC e cyber. Adottare un framework di governance e controllo ICT, compreso un framework di gestione del rischio IT da documentare e rivedere almeno annualmente, stabilendo anche il livello di tolleranza al rischio ICT, in conformità con la propensione al rischio dell’entità finanziaria.
  2. Gestione degli incidenti TIC e cyber. Razionalizzare la segnalazione degli incidenti ICT attraverso la registrazione e la classificazione degli incidenti ICT e la segnalazione degli incidenti più gravi alle autorità competenti, utilizzando modelli e procedure comuni.
  3. Test di resilienza operativa digitale. Esecuzione di test di resilienza operativa digitale di base almeno ogni anno per tutte le entità finanziarie e di preventivi test di penetrazione basati sulle minacce almeno ogni 3 anni per le entità finanziarie significative.
  4. Gestione dei rischi TIC delle terze parti. Monitorare gli accordi contrattuali con le terze parti in tutte le fasi e consentire alle Autorità di vigilanza europee (ESA) la supervisione dei fornitori terzi di servizi ICT ritenuti critici.
  5. Condivisione delle informazioni. Partecipazione volontaria allo scambio reciproco di informazioni e dati sulle minacce informatiche tra le entità finanziarie e con i fornitori terzi di servizi ICT critici, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme per la cyber-sicurezza e strumenti di configurazione.