Rimanere aggiornati sulle più recenti richieste di conformità è importante per tutti, anche se non si è direttamente interessati da una normativa specifica: le vostra azienda potrebbe avere sedi nei paesi interessati oppure fornire beni o servizi ad aziende nei cui paesi il regolamento si applica.
Che cos’è il regolamento DORA?
DORA, acronimo di Digital Operational Resilience Act è un regolamento che si applica ai paesi membri dell’Unione Europea. È un nuovo regolamento pensato per aumentare la cybersicurezza degli istituti finanziari e dei loro partner o fornitori di terze parti. Uno dei suoi obiettivi è raggiungere un livello condiviso di resilienza operativa digitale. Il Consiglio Europeo ha adottato l’atto nel novembre 2022. Il testo è entrato in vigore a gennaio 2023 e diventerà vincolante dal gennaio 2025. Dora è applicabile a tutti gli stati membri dell’UE.
Con l’obiettivo di incrementare la resilienza di un’organizzazione contro le sempre incombenti minacce informatiche, DORA porta un contributo nell’affrontare i problemi di sicurezza informatica del sistema finanziario europeo, incluse le interruzioni d’attività.
L’ufficiale dichiarazione di intenti riporta che DORA crea una cornice di regolamenti centrata sulla resilienza operativa nell’affrontare interruzioni o minacce che sono frequenti in tutta Europa. La dichiarazione è la seguente:
“DORA stabilisce requisiti uniformi per la sicurezza della rete e dei sistemi informativi di aziende e organizzazioni che operano nel settore finanziario, di terze parti critiche che forniscono loro servizi legati alle TIC (Tecnologie dell’Informazione e della Comunicazione), così come piattaforme cloud o servizi di analisi dei dati. DORA crea un quadro normativo sulla resilienza operativa digitale in base al quale tutte le aziende devono assicurarsi di essere in grado di resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle TIC. Questi requisiti sono omogenei in tutti gli Stati membri dell’UE. L’obiettivo principale è quello di prevenire e mitigare le minacce informatiche.”
Regolamento europeo ma non solo
Anche se DORA è ufficialmente un regolamento valido per gli stati dell’Unione Europea, anche chi opera al di fuori di questo perimetro legislativo deve adeguarsi a questi requisiti. Se la vostra azienda ha uffici in Europa o se fornite servizi a una società che lavora in Europa siete compresi all’interno della normativa. Qui sotto, dall’articolo 2 del regolamento, gli enti interessati:
Società finanziarie, incluse banche, società di investimento, compagnie di assicurazioni e fornitori di cripto servizi ricadono tutti nell’ambito di DORA. Se la vostra azienda opera al di fuori dell’Unione Europea, l’articolo 2 del regolamento stabilisce che l’atto copra anche qualsiasi terza parte che fornisce IT e servizi di sicurezza alle organizzazioni finanziarie europee coinvolte nella normativa.
Qual è la differenza tra DORA e il GDPR?
Il già consolidato GDPR (General Data Protection Regulation) divenne effettivo nel 2018 ed è la normativa su privacy e sicurezza più rigorosa tra quelle vigenti. Obbliga qualsiasi organizzazione, non solo quelle finanziarie, che cerca o trattiene dati di persone nell’Unione Europea ad aderire alle sue stringenti protezioni della privacy e impone multe sostanziose a chi violi i suoi standard di privacy e sicurezza.
L’obiettivo di DORA è più sulla cybersecurity che sulla privacy dei dati e si concentra sulla sicurezza della rete e dei sistemi informativi di aziende e organizzazioni finanziarie e le loro terze parti associate, nel caso di una minaccia o di una interruzione d’attività. Non contiene regole per il settore finanziario sulla protezione dei dati personali ma aderire a DORA per sostenere la rete e il sistema informativo aiuta le istituzioni finanziarie a conformarsi anche con le richieste del GDPR.
Come il Managed File Transfer protegge i dati delle società finanziarie
GoAnywhere MFT, una soluzione per il trasferimento di file sicuro e gestito, protegge i file in transito e archiviati; protegge i dati sensibili dei clienti di qualsiasi azienda, incluse quelle bancarie e assicurative; facilita l’adesione alle normative di conformità, come il PCI DSS.
I dati dei titolari di carte o dei correntisti sono protetti da GoAnywhere grazie a controlli centralizzati, impostazioni di sicurezza e infine protocolli di trasmissione e crittografia.