Lo scorso 11 maggio il Consiglio e il Parlamento Europeo hanno raggiunto l’accordo provvisorio sul Digital Operational Resilience Act (DORA), nuovo regolamento che definisce requisiti uniformi per la sicurezza della rete e dei sistemi informativi di aziende e organizzazioni che operano nel settore finanziario, nonché dei relativi fornitori critici di servizi ICT. Se queste entità saranno in grado di cogliere le sfide e sfruttare a pieno le opportunità offerte da questo nuovo regolamento, DORA rappresenterà senza dubbio una vera rivoluzione a livello europeo.
Il primo elemento innovativo che salta all’occhio riguarda la forma stessa della disposizione normativa. Il regolatore, in questa occasione, he deciso di privilegiare la forma del regolamento rispetto a quella normativa, rendendo così le disposizioni direttamente applicabili a livello nazionale, eliminando di fatto ogni rischio di frammentazione e disomogeneità tra i 27 Stati membri.
Guardando anche al contenuto del regolamento, si possono ravvedere ulteriori elementi di innovazione che configurano un importante cambio di paradigma in relazione al concetto di resilienza e agli attuali modelli di analisi e gestione del rischio impiegati dalle entità finanziarie.
La rivoluzione DORA
Partendo dal concetto di “digital resilience”, in un contesto in cui la digitalizzazione costituisce uno dei fattori competitivi più importanti per lo sviluppo delle aziende del settore finanziario, tanto da permearne il business in maniera trasversale, risulta chiaro che tale concetto non possa più essere correlato soltanto ai domini ICT e Cyber ma, al contrario, come questo risulti necessariamente correlato all’intero business delle aziende.
Sulla base di tale prospettiva, DORA conduce inevitabilmente verso un allargamento del perimetro dei rischi che le entità finanziarie devono identificare e gestire, andando oltre le dimensioni prettamente ICT e Cyber. Lo stesso European Systemic Risk Board, nell’ultimo report annuale rilasciato a giugno 2022, oltre ai rischi cyber, annovera fenomeni come la pandemia di Covid-19, il conflitto russo-ucraino tra quelli che hanno contribuito in misura maggiore a compromettere la stabilità delle aziende del settore finanziario nell’ultimo anno.
In linea con questa nuova e più ampia prospettiva, la direzione verso cui punta il nuovo regolamento è anche quella di spingere le entità finanziarie verso lo sviluppo dell’intelligence strategica e rendere questa capability la nuova protagonista delle attività di risk management condotte dalle entità finanziarie.
Le attuali capabilities di intelligence sviluppate dalle funzioni di sicurezza delle entità finanziarie esclusivamente focalizzate su domini prettamente CTT/Cyber non risultano più adeguate al contesto attuale. I domini di interesse considerati, di fatto, devono necessariamente essere ampliati al fine di riuscire a identificare in maniera olistica tutti i possibili scenari di minaccia che potrebbero minare la sicurezza del business. Nuova importanza, quindi, viene data a domini di intelligence quali l’intelligence geopolitica, l’intelligence economica e l’intelligence regolatoria.
Di fatto, l’obiettivo a cui DORA vuole condurre le entità del settore finanziario è il consolidamento di una reale capacità predittiva, basata su una conoscenza approfondita e olistica delle minacce e agenti o attori di minaccia, ad oggi del tutto assente sia a livello di singole entità sia a livello di settore.
In linea con tale rinnovata capacità, DORA guida inevitabilmente verso un cambio di approccio anche in termini di analisi degli scenari di minaccia e definizione, nonché verifica, delle contromisure di sicurezza.
Sulla base del contesto attuale, caratterizzato da continui e repentini mutamenti degli scenari di minaccia, il regolamento si pone in un’ottica completamente disruptive nei confronti dei classici modelli di analisi del rischio di tipo statico. Nel testo, di fatto, emerge a più riprese il concetto di dinamicità che indica in maniera chiara l’evoluzione di tali modelli verso nuovi schemi che consentano di identificare e analizzare gli scenari di minaccia in maniera continuativa. Se questa opportunità posta da DORA verrà colta con successo, le entità finanziarie potranno di fatto porre delle solide basi per riuscire a mettere in campo capacità difensive specifiche, rivedendo e rinnovando in maniera flessibile le contromisure di sicurezza adottate all’evolvere degli scenari di minaccia.
L’ottica innovativa del regolamento si intravede inoltre anche nelle nuove modalità di verifica delle contromisure di sicurezza applicate proposte: semplici analisi documentali o verifiche teoriche non bastano più. Al contrario, facendo leva sulle rinnovate capabilities di intelligence già citate, DORA propone un approccio innovativo di “effective testing” basato sulla esecuzione di threat intelligence-led testing tra cui si annoverano, ad esempio, le esercitazioni di Red Teaming il cui framework è stato già definito dalla Banca centrale europea nel 2018.
Infine teniamo a sottolineare come, grazie alle nuove disposizioni del regolamento, è evidente che anche in Europa si stanno finalmente compiendo alcuni passi verso la costruzione della cosiddetta situational awareness, che già caratterizza il Security Legislation Amendment (Critical Infrastructure Protection) Act 2022 australiano, e che concorre alla realizzazione di modelli di difesa adattivi, che si evolvono sulla base del mutamento delle minacce in maniera costante e continuativa. In questa direzione si colloca la nuova sensibilità mostrata dal regolamento alla dimensione sistemica: nulla di nuovo per il settore finanziario europeo, già sottoposto agli stress test realizzati dall’Autorità Bancaria Europea (EBA) a livello sistemico, ma fattore di estrema novità per l’ambito security. Il regolamento, di fatto, sollecita l’importanza dello scambio informativo tra entità finanziarie e con autorità pubbliche, e investe le stesse Autorità di Vigilanza Europee (AVE) a “istituire meccanismi che consentano la condivisione di pratiche efficaci al fine di identificare i rischi e le vulnerabilità” a livello di sistema.
La maturità del settore a fronte della rivoluzione DORA
Arrivati a questo punto dell’analisi, sorge spontaneo domandarsi se, ad oggi, le entità del settore finanziario si possano considerare pronte a cogliere tutte le opportunità di miglioramento e le sfide poste da DORA che potrebbero condurre a un vero cambio di paradigma.
Sulla base della conoscenza del settore e in linea con il panorama di normative esistente a livello nazionale europeo, possiamo affermare che ad oggi sono sicuramente maggiori le lacune da colmare rispetto ai punti di vantaggio già incassati dalle entità del settore rispetto ai requisiti innovativi di DORA. Situazione che porta a concludere che non si è di fatto ancora pronti al recepimento degli elementi innovativi descritti.
Allo stato attuale, di fatto, manca una tassonomia aggiornata e condivisa rispetto al nuovo concetto di resilienza e al rinnovato perimetro dei rischi che sottendono il regolamento DORA, mancano capabilities di intelligence strategica strutturate e mature che si pongano alla base dell’identificazione e analisi degli scenari di rischio, oltre che delle attività di test dei controlli, così come mancano framework di riferimento in cui inquadrare i requisiti del nuovo modello di gestione del rischio promosso dal regolamento.
Se le istituzioni finanziarie vorranno davvero cavalcare l’onda del rinnovamento, il vuoto esistente in termini di prerequisiti necessari al recepimento del regolamento andrà necessariamente colmato nei mesi a venire. Tuttavia, l’attuale situazione di “ritardo” è da considerarsi comunque del tutto fisiologica data la complessità e il carattere fortemente innovativo dell’approccio promosso da DORA. D'altronde, sappiamo bene quanto ogni rivoluzione richieda il suo tempo.
Related Contents: