Regolamento DORA

Nuovo Regolamento Europeo DORA

REGOLAMENTO (UE) 2022/2554

Il Digital Operational Resilience Act (DORA) è un regolamento dell’Unione Europea che mira a rafforzare la resilienza operativa digitale delle entità finanziarie, garantendo che possano resistere, rispondere e riprendersi efficacemente da interruzioni e minacce informatiche.

Principali settori coinvolti
Il DORA si applica a una vasta gamma di entità finanziarie, tra cui:
– Banche
– Compagnie di assicurazione
– Società di investimento
– Fornitori di servizi di pagamento
– Gestori di fondi
– Fornitori di servizi di criptovalute

Visualizza Regolamento
Obiettivi principali del Regolamento

Uniformare la gestione del rischio ICT: Stabilire un quadro comune per la gestione dei rischi legati alle tecnologie dell’informazione e della comunicazione nel settore finanziario.

Migliorare la resilienza operativa: Assicurare che le entità finanziarie possiedano capacità adeguate per affrontare e superare incidenti informatici.

Regolamentare i fornitori terzi critici: Introdurre requisiti per la gestione dei rischi derivanti da fornitori esterni di servizi ICT.

Chi coinvolge

– Banche
– Compagnie di assicurazione
– Società di investimento
– Fornitori di servizi di pagamento
– Gestori di fondi
– Fornitori di servizi di criptovalute

Saranno comunque coinvolti anche i Fornitori di Aziende ed Enti Pubblici che ricadranno nel perimetro del Regolamento.

Come ottenere la compliance

E’ necessario dotarsi di una serie di tecnologie per il monitoraggio e la gestione degli incidenti, ma anche dotarsi di un Sistema di gestione (politiche, procedure, registri, nomine, processi di controllo e monitoraggio, ecc.) e competenze sia tecniche che trasversali.

Sanzioni

il Regolamento DORA prevede sanzioni in caso di mancata conformità ai requisiti stabiliti. Le sanzioni sono state introdotte per garantire un’applicazione rigorosa e uniforme del regolamento in tutta l’Unione Europea, incoraggiando le entità finanziarie a rispettare i requisiti in modo diligente.

L’alta direzione sarà responsabile della non conformità.

Principali scadenze

1

16 gennaio 2023

Entrata in vigore del Regolamento

2

17 gennaio 2025

Applicabilità del Regolamento

Entro il 17 gennaio 2025, le entità finanziarie dell’Unione Europea (UE) e i loro fornitori critici di tecnologia dell’informazione e della comunicazione (ICT) devono essere pronti a rispettare il Digital Operational Resilience Act dell’UE (Regolamento (UE) 2022/2554 – “DORA”).

Servizi offerti ad Aziende e PA

Il nuovo Regolamento DORA rappresenta una sfida e un’opportunità per migliorare la resilienza cibernetica della tua organizzazione. I nuovi obblighi richiedono un approccio proattivo alla sicurezza.

Scopri come possiamo aiutarti a soddisfare gli adempimenti richiesti, trasformando la conformità in un vantaggio competitivo.

Formazione

Offriamo programmi di formazione specifici e certificati sia per la Gestione che per l’Implementazione dei requisiti previsti dal regolamento DORA, per sensibilizzare il personale sui rischi informatici e sui requisiti della Direttiva NIS2. Le nostre sessioni formative, disponibili in formato digitale e in presenza (videoconferenza), sono progettate per migliorare la consapevolezza e le competenze in ambito di sicurezza informatica, un aspetto fondamentale per prevenire incidenti e garantire la conformità normativa.

Possiamo erogare corsi personalizzati basati sulle reali esigenze includendo ad esempio:

– Strategie per la protezione delle infrastrutture critiche
– Simulazioni pratiche di scenari di attacco informatico
– Formazione mirata alle politiche e alle procedure dei sistemi di gestione

Corso DORA – Lead ManagerAccedi allo SHOP per acquistare i corsi in autoformazione in ambito Governance


Inoltre, eroghiamo un’ampia gamma di corsi tecnici per le figure specialistiche cyber necessarie (Analista, Incident responder, Penetration Tester, ecc.), corsi per il Management, la gestione del rischio e della privacy (GDPR), e corsi di Cybersecurity Awareness.

Offerta formativa Cyber SecurityOfferta formativa corsi GovernanceCorso Cybersecurity AwarenessRichiedi informazioni

Audit e Gap Analysis

Servizi di consulenza utili per verificare il livello di compliance dell’Organizzazione rispetto a quanto previsto dal Regolamento DORA ed eventualmente la distanza da colmare.

Il nostro team di esperti offre un servizio di consulenza mirata per supportare le aziende e le organizzazioni nel percorso verso la conformità al Regolamento DORA. Partendo da un’analisi dettagliata della situazione attuale, definiamo una strategia su misura che garantisca l’adeguamento ai requisiti normativi, riducendo al minimo l’impatto operativo. I nostri consulenti vi guideranno passo dopo passo, dalla valutazione dei rischi alla definizione delle politiche di sicurezza informatica.

– Analisi del gap di conformità
– Definizione di roadmap personalizzate
– Supporto continuo per aggiornamenti normativi futuri
– Analisi delle reti e dei sistemi
– Identificazione delle minacce critiche
– Piano di mitigazione dei rischi personalizzato

Domande frequenti – FAQ

Domanda: La mia Azienda non dovrebbe rientrare direttamente nel perimetro del regolamento DORA, ci sono comunque degli adempimenti?
Risposta: Nel dubbio è necessario svolgere un Assessment iniziale, per verificare con consapevolezza il rientro o meno all’interno del perimetro del Regolamento. E’ comunque da considerare che i Fornitori di Aziende ed Enti Pubblici che rientrano nel perimetro, dovranno comunque adottare misure e controlli specifici per garantire la sicurezza.

Domanda:
La mia Azienda è già certificata ISO 27001, è quindi compliance con il Regolamento DORA?

Risposta: Non necessariamente, occorre verificare l’ambito di applicazione e i controlli posti in essere.

Domanda: Quanto tempo e quale budget sono necessari per rispettare gli adempimenti?
Risposta: Non è possibile stimare tempi e budget in assenza di un Audit dettagliato con indicazioni del gap da colmare. Le tempistiche non vanno sottovalutate: anche se inizialmente l’obbligo riguarda assessment e comunicazioni, l’implementazione di quanto necessario sia dal punto di vista tecnologico che gestionale richiede molto tempo, considerando anche le normali gestioni aziendali per l’assegnazione dei budget.

Domanda: Gli adempimenti si rispettano acquistando soluzioni tecnologiche quali Firewall, Antivirus, ecc.?
Risposta: Le soluzioni tecnologiche sono fondamentali, ma senza un sistema di gestione che implementi i processi e li verifichi, senza procedure operative e nomine, senza registrazioni dell’operato e senza formazione sia tecnica che gestionale non è possibile ottenere un pieno rispetto degli adempimenti.

Domanda: Quale starndard o norma può essere utilizzata a riferimento per il sistema di gestione? E’ necessario essere certificati?
Risposta: Il Regolamento DORA richiede l’implementazione di controlli, e quindi di sistemi di gestione, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000. Altri standard di riferimento possono essere il NIST Cybersecurity Framework e il Framework Nazionale per la Cyber Security e la Data Protection. Non vi è l’obbligo di certificazione.

Servizi Audit & Gap Analysis

Servizi erogati in collaborazione con Cybersec4

Richiedi informazioni

Implementazione sistemi di gestione

Un sistema di gestione per la sicurezza delle informazioni (ISMS) conforme agli standard internazionali, come la ISO/IEC 27001, è essenziale per rispettare i requisiti del Regolamento DORA e proteggere le informazioni critiche. Offriamo un servizio completo di implementazione, che include la definizione delle politiche, la gestione dei rischi e l’integrazione con i processi aziendali esistenti.

Caratteristiche principali:
– Definizione di un framework di gestione personalizzato (ISO 27001 e ISO 22301, Framework Nazionale per la Cybersecurity e la Data Protection, NIST Cybersecurity Framework, GDPR)
– Identificazione e gestione dei rischi informatici
– Formazione e sensibilizzazione del personale
– Supporto per la certificazione ISO/IEC 27001

Vantaggi:
– Conformità semplificata al Regolamento DORA
– Migliore protezione dei dati sensibili
– Aumento della fiducia di clienti e partner

Il servizio viene erogato in collaborazione con Cybersec4, da personale altamente qualificato, certificato Lead Auditor ISO 27001 e ISO 22301.

Richiedi informazioni

Gestione e supporto Cyber security

Servizio di supporto e affiancamento, o completamente demandato, di CISO o Cybersecurity Manager.

Esperti CISO altamente qualificati, alleati strategici nella formulazione e attuazione di politiche di sicurezza robuste.

Un approccio alla gestione della sicurezza informatica basato su strategie avanzate per proteggere reti, i dati e risorse. Si offrono soluzioni su misura per adattarsi al meglio alle specifiche esigenze. Questo servizio permette di demandare interamente o parzialmente la gestione della Governance di Cybersecurity.

La conformità normativa non è un obiettivo che si raggiunge una sola volta, ma un processo continuo. 

– Aggiornamenti regolari sulla normativa
– Assistenza immediata in caso di incidenti

Analisi e Gestione del Rischio Cyber
Valutazione approfondita dei rischi associati alle infrastrutture IT e OT, con l’obiettivo di identificare, analizzare e mitigare le potenziali minacce informatiche. Questo servizio aiuta le organizzazioni a comprendere il proprio profilo di rischio e a implementare controlli adeguati per ridurlo.

Sviluppo di Politiche di Sicurezza Informatica
Supporto nella creazione e implementazione di politiche e procedure personalizzate per l’analisi e la gestione dei rischi, garantendo che le misure di sicurezza siano allineate con gli standard internazionali e le best practice del settore.

Sicurezza della Catena di Fornitura
Valutazione e monitoraggio dei fornitori e dei partner per garantire che rispettino gli standard di sicurezza richiesti, prevenendo potenziali vulnerabilità derivanti dalla supply chain.

Servizi di Gestione delle Crisi e Continuità Operativa
Supporto nella definizione e implementazione di piani di gestione delle crisi e di continuità operativa, assicurando che l’organizzazione sia preparata a rispondere efficacemente a incidenti di sicurezza e a mantenere le operazioni critiche durante le emergenze.

Servizi di Cyber Hygiene e Formazione
Programmi di formazione e sensibilizzazione per il personale, focalizzati sulle pratiche di igiene informatica di base, al fine di prevenire comportamenti rischiosi e promuovere una cultura aziendale orientata alla sicurezza.


Il servizio viene erogato in collaborazione con Cybersec4, da personale altamente qualificato.

Servizio CISO-as-a-service

Richiedi informazioni

Progettazione ed implementazione soluzioni Cybersecurity e IT

Con il supporto tecnologico di Cybersec4, partner delle migliori aziende di cybersecurity, è possibile progettare l’implementazione di soluzioni tecnologiche avanzate che rispondano ai requisiti del Regolamento DORA. Dalla protezione delle reti all’implementazione di sistemi di monitoraggio, offriamo strumenti all’avanguardia per difendere le vostre infrastrutture critiche.

– Sistemi di rilevamento e risposta agli incidenti (SIEM/EDR)
– Piattaforme di gestione degli accessi e delle identità
– Backup sicuri e sistemi di disaster recovery
– Implementazione di misure tecnologiche hardware e software. Firewall/IPS, AV, DLP, ecc.
– Progettazione ed ottimizzazione reti informatiche.

Richiedi informazioni

SOC – Security Operation Center

– Accompagnamento all’implementazione di SOC (Security Operation Center).
– Gestione SOC esterna in outsourcing completo o ibrido, per la rilevazione, l’analisi e la mitigazione di minacce informatiche.
– Helpdesk IT e Cyber in Outsourcing o Body rental.

Il Security Operation Center (SOC) offre una sorveglianza continua della vostra infrastruttura IT, garantendo una risposta rapida ed efficace a ogni minaccia. Il SOC è gestito da un team di esperti in cybersecurity che possono monitorare i sistemi 24/7, utilizzando tecnologie avanzate per rilevare, analizzare e mitigare eventuali attacchi.

– Monitoraggio continuo e rilevamento delle minacce
– Gestione e risposta agli incidenti
– Analisi forense post-incidente
– Reportistica dettagliata per la conformità normativa

Benefici:
– Riduzione dei tempi di risposta agli incidenti
– Miglioramento della resilienza aziendale
– Sicurezza proattiva e adattiva

Il servizio viene erogato in collaborazione con Cybersec4, da personale altamente qualificato.

Richiedi informazioni

Analisi di Vulnerabilità

Lanalisi delle vulnerabilità è un passaggio cruciale per identificare e correggere le debolezze nei sistemi IT prima che possano essere sfruttate. Utilizziamo strumenti di scanning avanzati e un approccio metodico per valutare l’intera infrastruttura tecnologica, fornendo una mappa dettagliata delle vulnerabilità e delle priorità di intervento.

Processo dell’analisi:
– Scansione automatizzata dei sistemi e delle reti
– Identificazione delle vulnerabilità critiche
– Valutazione del livello di rischio associato
– Raccomandazioni per la mitigazione

Risultati:
– Prevenzione di potenziali attacchi informatici
– Riduzione del rischio operativo
– Maggiore consapevolezza della postura di sicurezza

Richiedi informazioni

Penetration testing

Test di penetrazione su applicazioni web, reti e dispositivi. Verifica codice sorgente.

Il penetration testing valuta la resistenza dei sistemi IT contro le minacce esterne e interne. Il nostro team di ethical hacker certificati esegue test approfonditi per identificare e sfruttare eventuali punti deboli, fornendo un report dettagliato con le misure correttive necessarie.

– Identificazione delle lacune di sicurezza più critiche
– Rafforzamento della protezione dei sistemi IT
– Valutazione pratica delle misure di sicurezza implementate

Output del servizio:
– Report tecnico dettagliato
– Raccomandazioni prioritarie per il miglioramento

Richiedi informazioni

Partnership

Contattaci

Per conoscere i dettagli, considerate le molteplici opzioni, e per le iscrizioni, contattaci all’email info@ictlearningsolutions.it o utilizza il form in basso.

Rispondiamo sempre a tutte le richieste di informazioni e per questo ti preghiamo di controllare la posta indesiderata/spam in quanto la risposta potrebbe essere erroneamente scartata dal server mail.

    Compila il seguente form e clicca su 'invia'. Ci impegniamo ad utilizzare i dati con il massimo rispetto delle normative vigenti, verrai contattato solamente al fine di rappresentare con completezza l'offerta o il servizio richiesto. Non utilizziamo alcuna tecnica di marketing "Aggressivo".

    Ho letto l'Informativa sulla privacy e acconsento al trattamento dei miei dati personali da parte del Titolare del trattamento e del Responsabile del trattamento, al fine di usufruire del servizio contattaci. Sono consapevole e sono stato informato del fatto di potere revocare il consenso in qualunque momento inviando una richiesta via email all'indirizzo specificato nell'informativa sulla Privacy.

    Altri servizi

    Formazione

    Visualizza la nostra offerta formativa.

    VISUALIZZA

    Sviluppo

    Sviluppo Applicativi ed APP, Siti WEB e Portali per aziende e Pubblica Amministrazione. Piattaforme client-server e stand-alone.

    VISUALIZZA