Certificazione
ll DORA introduce una serie di regole e requisiti che le istituzioni finanziarie e i loro fornitori di servizi IT dovranno rispettare per proteggere i loro sistemi informatici da attacchi cibernetici e garantire la continuità operativa. Rappresenta un passo avanti significativo verso una maggiore sicurezza cibernetica nel settore finanziario europeo.
Cos'è il DORA?
ll DORA mira a mitigare i rischi derivanti dalla trasformazione digitale del settore bancario e finanziario e a promuovere la resilienza informatica nell’ecosistema dei servizi finanziari, aiutando le banche e i sistemi finanziari a prevenire, rispondere e riprendersi da problemi di cybersicurezza. Per ottenere questi risultati, il DORA stabilisce requisiti uniformi relativamente alla sicurezza di reti e sistemi informativi a supporto dei processi aziendali delle entità finanziarie. Tra i requisiti, figurano la gestione dei rischi nel settore ICT, la segnalazione dei principali incidenti correlati all’ICT, l’esecuzione di test sulla resilienza operativa digitale, la condivisione delle informazioni e le misure e i requisiti correlati all’utilizzo di servizi di terze parti del settore ICT.
Il DORA è una misura legislativa che si applica alle organizzazioni finanziarie che operano nell’UE nelle 21 categorie che rientrano nell’ambito. Tra le organizzazioni che operano nei settori finanziari interessati dal DORA, figurano:
- Istituti di credito
- Istituti di pagamento
- Istituti di moneta elettronica
- Società di gestione degli investimenti
- Provider di servizi di criptovalute
- Fondi di investimento alternativi
- Responsabili assicurativi aziendali
- Provider di servizi di terze parti ICT
Certificazione
Cos'è la GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento dell’Unione Europea che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. Il GDPR ha influenzato significativamente altre normative sulla privacy dei dati in tutto il mondo e richiede la conformità di qualsiasi organizzazione che acceda ai dati personali delle persone nell’UE.
Il regolamento sposta il fulcro della normativa dalla tutela dell’interessato alla responsabilità del titolare e dei responsabili del trattamento (responsabilizzazione, anche se la traduzione italiana non rende l’idea perchè accountability vuol dire “dover rendere conto del proprio operato”), che si deve concretizzare nell’adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento. Non è più accettabile un approccio formalistico, del tipo ho il consenso e tratto il dato, visto che il consenso al massimo è una delle basi che legittimano il trattamento, ma rimane sempre la responsabilità del titolare di tutelare l’interessato e l’intera società dai rischi impliciti nel trattamento di dati personali. In particolare si evidenzia la necessità di attuare misure di tutela e garanzia dei dati trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di decidere in autonomia le modalità e i limiti del trattamento dei dati in base ai principi generali specifici indicati nel Regolamento. Ovviamente il titolare è vincolato a principi specifici fissati dal Regolamento, in particolare i principi di privacy by design e by default.
Con il GDPR:
- Si introduce il concetto di responsabilizzazione o accountability del titolare;
- Si introducono importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
- Si introducono concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
- Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
- Si introduce la previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
- Si introducono regole più chiare su informativa e consenso;
- Viene ampliata la categoria dei diritti che spettano all’interessato;
- Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
La GPDR ha come obiettivo principale garantire la protezione dei dati personali degli individui, rafforzando i diritti degli interessati e imponendo obblighi più stringenti a chi tratta dati personali. In altre parole, il GDPR serve a tutelare la privacy delle persone e a garantire un uso trasparente e sicuro dei loro dati.
Il nostro approccio
DORA
Dopo le Direttive Seveso e dalla Direttiva UE 2016/1148 (NIS), la platea delle aziende che devono rispondere a norme europee in materia di Cyber Security e Business Continuity viene ampliata sino alle medie imprese dal nuovo Regolamento UE 2022/2554 (DORA) e dalla nuova Direttiva UE 2022/2555 (NIS2).
GERICO supporta nel percorso di individuazione e formalizzazione dei processi inerenti:
- Gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC) e dei rischi informatici derivanti da terzi;
- Segnalazione degli incidenti;
- Esecuzione test di resilienza operativa digitale;
- Condivisione dei dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche;
- Definizione e monitoraggio delle misure relative alla solida gestione dei rischi informatici derivanti da terzi;
- Definizione e valutazione degli obblighi relativi agli accordi contrattuali stipulati tra fornitori terzi di servizi TIC ed entità finanziarie e di sorveglianza per i fornitori terzi critici di servizi TIC.