i primi sei mesi di DORA, secondo Rubrik

James Hughes, VP Solutions Engineering and Enterprise CTO Rubrik, fa un bilancio dei primi sei mesi del regolamento DORA per gli istituti finanziari.

L’entrata in vigore del regolamento DORA ha portato con sé dibattiti, pianificazioni e costi per tutti gli operatori del settore finanziario. Già a gennaio 2025, una ricerca di Rubrik Zero Labs aveva evidenziato tensioni significative sulle imprese non limitate all’aspetto puramente economico. Oltre a un costo superiore a un milione di euro per quasi la metà (47%) delle aziende, il 79% dei dipendenti aveva segnalato un impatto sulla salute mentale, mentre il 58% dei CISO riportava un aumento dello stress.

Era chiaro fin dall’inizio che la preparazione delle aziende al regolamento DORA non sarebbe stata un’impresa banale. La normativa evidenzia cinque pilastri che riguardano l’intera attività di un’organizzazione: dalla gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza operativa digitale, il monitoraggio del rischio di terzi fino alla condivisione delle informazioni. Un impegno e una spesa notevoli per qualsiasi azienda.

Gli ultimi sei mesi hanno visto gli sforzi delle istituzioni finanziarie intensificarsi, con il passaggio dai preparativi per la normativa all’integrazione attiva dei suoi requisiti nelle loro operazioni quotidiane. Le aziende hanno posto una forte enfasi sulla solidità dei quadri di gestione del rischio ICT, con l’obiettivo di assicurarne la completezza, la documentazione accurata e il monitoraggio costante. Attività che comprendono la mappatura degli asset ICT critici, l’identificazione delle vulnerabilità e la definizione di chiare dichiarazioni di propensione al rischio.

Uno degli aspetti che hanno registrato un’evoluzione significativa è quello relativo alla segnalazione degli incidenti. Le aziende si trovano attualmente a dover soddisfare requisiti rigorosi per la classificazione, la notifica e la presentazione di rapporti dettagliati alle autorità competenti sui principali incidenti legati alle TIC entro scadenze ravvicinate. Questo obbligo ha richiesto l’affinamento dei processi interni, il miglioramento degli strumenti di monitoraggio e la creazione di canali di comunicazione chiari per garantire un flusso di informazioni tempestivo e accurato.

Una delle aree probabilmente più impegnative è stata quella dei test di resilienza operativa digitale, in particolare i Threat-Led Penetration Testing (TLPT), altamente prescrittivi. Sebbene molte aziende li avessero pianificati, il periodo post-go-live ha visto l’avvio e l’esecuzione di complesse simulazioni a imitazione degli attacchi del mondo reale che non si limitano a individuare le vulnerabilità, ma valutano la capacità dell’istituto di resistere e riprendersi da gravi interruzioni, spingendo team interni e tester di terze parti ai loro limiti.

Infine, ma non meno importante, la gestione del rischio di terzi è passata da funzione isolata ad attività centrale. DORA impone alle entità finanziarie di supervisionare l’intero ciclo di vita della loro dipendenza da fornitori critici, imponendo una due diligence meticolosa, solidi accordi contrattuali e un monitoraggio continuo della resilienza delle terze parti.

Molti istituti hanno colto l’occasione per rivalutare l’intero panorama dei fornitori, identificando le dipendenze critiche e, in alcuni casi, diversificando per mitigare il rischio di concentrazione. In generale, il focus posto dalla normativa sulle criticità delle terze parti ha portato le aziende ad affrontare con i propri fornitori temi di maggiore trasparenza e garanzia rispetto al passato.

Inoltre, l’ampiezza della normativa ha fatto sì che DORA abbia toccato quasi tutti gli aspetti delle attività degli istituti finanziari: dall’IT alla cybersecurity, dall’ufficio legale alla compliance, dal rischio alle operazioni commerciali. L’elemento umano sta avendo un impatto sull’aggiornamento e la formazione del personale, sull’espansione dei ruoli e delle responsabilità e sull’aumento del carico di lavoro.

L’importanza della prontezza in caso di attacco

Dopo aver messo in opera tutti gli accorgimenti per allineare la propria organizzazione ai requisiti imposti da DORA o da altri standard o regolamenti di cybersecurity, la domanda pratica da porsi è: “Ho raggiunto un livello di resilienza sufficiente per riprendermi da un attacco e mantenere la continuità aziendale in caso di attacco?”.

• Mettere in atto il processo aiuta, ma lo avete testato all’interno della vostra organizzazione?
• Avete pensato a ogni eventualità? O almeno avete pianificato in anticipo quelle possibili?
• Quali nuovi rischi potete identificare ora che avete valutato le lacune e rivisto il vostro ecosistema di sicurezza?
• Ormai, non si tratta più di stabilire se un attacco avrà luogo, ma quando. L’adesione alle normative supporta il vostro percorso verso la resilienza informatica, ma se mancano onestà, pratica e test continui, anche il vostro sistema di difesa fallirà.

Qual è il futuro di DORA a livello internazionale?

Un aspetto da non dimenticare è che DORA è solo una delle tante normative sulla cybersecurity entrate in vigore negli ultimi tempi. Sei mesi rappresentano un periodo ancora molto breve per poterne trarre un bilancio, pur se parziale: man mano che i quadri organizzativi maturano, le aziende continueranno a investire, migliorare e adattare il loro lavoro per mantenere ciò che è stato fatto.

Pur essendo consistenti, i costi correlati a DORA non vanno considerati come semplici oneri di conformità, bensì come investimenti strategici. I danni finanziari e di reputazione derivanti da un grave incidente informatico – che potrebbero raggiungere centinaia di milioni o addirittura miliardi di euro in uno scenario grave, senza contare le multe previste dalla normativa – superano di gran lunga l’investimento iniziale nella conformità normativa.

DORA pone una serie di principi di solida governance ICT, test rigorosi e vigile supervisione da parte di terzi, fondamentali per navigare in un panorama di minacce informatiche in continua evoluzione. Inserendo queste pratiche nel proprio DNA operativo, gli istituti finanziari potranno non solo soddisfare gli obblighi normativi, ma anche rendere più solide le proprie difese, garantendo la continuità aziendale e mantenendo la fiducia dei clienti in un’era digitale sempre più volatile.