L'entrata in vigore del Digital Operational Resilience Act ("Regolamento DORA") a Gennaio del 2025 e della Direttiva (UE) 2022/2555 ("Direttiva NIS2") prevista per Ottobre 2024, rappresenta un passo importante verso la creazione di un quadro normativo europeo armonizzato per affrontare le sfide legate alla cybersecurity nel settore finanziario e non solo.
Vediamo i punti più significativi e qual è l’approccio di S2E a supporto delle aziende che devono soddisfare i requisiti di sicurezza delle due normative.
DORA: resilienza operativa nel settore finanziario in ambito UE.
DORA richiede alle entità finanziarie di garantire adeguati meccanismi di salvaguardia in caso di attacchi informatici e di rafforzare i requisiti per la prevenzione dei rischi ICT nei settori finanziario e assicurativo, comprese le terze parti critiche che forniscono servizi ICT.
Il regolamento sottolinea la necessità di assicurare una resilienza operativa digitale per far fronte alle minacce di cibersicurezza lungo tutto il ciclo di vita delle attività aziendali.
La normativa DORA poggia su 5 “pilastri” chiave:
- Definire il quadro di gestione del rischio ICT
- Gestione e segnalazione degli incidenti e degli attacchi
- Garantire resilienza operativa
- Gestire il rischio delle terze parti coinvolte nella gestione del rischio
- Gestione della conformità e monitoraggio/reporting
Direttiva NIS2: Norme di sicurezza informatica in Europa
La direttiva NIS2 mira a garantire un livello cybersecurity accettabile e diffuso tra le organizzazioni definite essenziali ed importanti, rafforzando la cooperazione e lo scambio di informazioni.
Il suo campo di applicazione è quindi più ampio rispetto a DORA e comprende una vasta gamma di industrie, non solo le imprese che operano in settori "ad alta criticità", come l'energia, i trasporti, la finanza, la sanità, ma anche quelle di altri comparti critici come i fornitori di servizi digitali, i servizi postali, la gestione dei rifiuti e altri servizi essenziali.
La direttiva introduce misure cruciali per la gestione dei rischi legati alla cybersecurity e obblighi di segnalazione di incidenti significativi.
Sono inoltre previste ammende e sanzioni in caso di mancata conformità alla NIS2 così come al regolamento DORA: i soggetti essenziali potrebbero incorrere in sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo, se superiore. I soggetti importanti possono incorrere in sanzioni amministrative fino a 7 milioni di euro o all'1,4% del fatturato mondiale annuo totale, se superiore. E’ inoltre prevista la responsabilità dei dirigenti che potranno essere ritenuti responsabili per la mancata adozione di misure di gestione del rischio di cibersicurezza. Tali misure saranno previste dalla legislazione nazionale.
In termini di governance e responsabilità l’art. 20 in particolare chiarisce il quadro di intervento:
- Gli Stati membri provvedono affinché gli organi di gestione dei soggetti essenziali e importanti approvino le misure di gestione dei rischi di cibersicurezza adottate da tali soggetti per conformarsi all'articolo 21, sovraintendano alla sua attuazione e possano essere ritenuti responsabili di violazione da parte dei soggetti di tale articolo. (...)
- Gli Stati membri provvedono affinché i membri dell'organo di gestione dei soggetti essenziali e importanti siano tenuti a seguire una formazione e incoraggiano i soggetti essenziali e importanti a offrire periodicamente una formazione analoga ai loro dipendenti. (...)
S2E: quale approccio?
Per una gestione unitaria ed efficace di questo complesso quadro, S2E suggerisce una strategia di intervento progettuale articolata in quattro fasi chiave:
- Definizione del perimetro, che può essere rappresentato dall'intera organizzazione oppure, in caso di realtà complesse o di semplice esigenza di knowledge transfer, da un sottoinsieme di attività operative o di servizi erogati verso la clientela. Durante questa fase avviene la condivisione della documentazione disponibile, integrata da interviste allo scopo di delineare con precisione la relazione tra gli asset, gli stakeholder, i processi cybersecurity, la catena di fornitura ed i contratti attivi.
- La fase successiva, gap analysis, prevede un approfondimento analitico rispetto ai vincoli normativi rilevanti delle normative applicabili a seconda del mercato di riferimento; il risultato sarà rappresentato dalla valutazione del livello di adeguatezza dei controlli di sicurezza e dalla loro maturità di applicazione. Nel dettaglio si provvede innanzitutto alla mappatura degli articoli normativi pertinenti rispetto ai framework internazionali di riferimento in materia di sicurezza delle informazioni (ISO/IEC27001 ed altri), si raccolgono le informazioni dal cliente, si valutano il livello di adeguatezza e le evidenze relative all'applicazione dei controlli di sicurezza in modo da raggiungere la necessaria consapevolezza ed essere quindi in grado di dimostrare il rispetto dei requisiti normativi; per essere più efficaci e ridurre i tempi di eventuali azioni di rimedio è previsto un follow up verso il cliente anticipato rispetto ad eventuali non conformità rilevate mentre in caso di verifica positiva l’analisi si conclude con la conferma della compliance alla normativa in esame.
- Nel caso in cui venga rilevata l’inadeguatezza delle misure di sicurezza rispetto ai principi ed alle indicazioni fornite dalle normative viene suggerito un piano di miglioramento strutturato tenendo conto del percorso che dovrà essere seguito per colmare le lacune rilevate, delle priorità e delle risorse del cliente, sia in termini economici che di personale da allocare nell'attività. Una volta condivise le scelte con il cliente viene definito il piano di dettaglio definitivo che conterrà tutte le attribuzioni di responsabilità, le tempistiche attese per il completamento delle attività e le modalità per verificare la loro attuazione.
- Le informazioni raccolte nelle fasi precedenti vengono poi organizzate in un report finale, indirizzato sia al Gruppo di Lavoro costituito per il progetto, ma anche al management aziendale. Tale report contiene una sezione di sintesi, il management summary destinata ad essere presentata in occasione del workshop di condivisione dei risultati con le persone chiave dell’organizzazione.
Tutti i progetti di gap analysis rispetto alle normative europee di cibersicurezza emergenti sono svolti da S2E attraverso una business line dedicata composta da un team di esperti autorevoli sui temi di strategia, governance e compliance cybersecurity, con la possibilità di coinvolgere alla bisogna altre unità organizzative aziendali dotate di competenze spiccatamente tecnologiche. La business line CSA&C - CyberSecurity Advisory & Compliance di S2E si pone come partner del cliente ed è in grado di tracciare il percorso, condurre i progetti e garantire supporto multidisciplinare nelle fasi di analisi, di esecuzione piano di rimedio, di formazione ed eventuale affiancamento dei clienti per diffondere la cultura della sicurezza nei confronti dei partner di business.