Il 24 giugno scorso il Parlamento Europeo ha pubblicato il testo finale del Digital Operational Resilience Act europeo. Le negoziazioni sono chiuse e il testo, al netto di ulteriori emendamenti residuali che verranno discussi durante la sessione plenaria, è ormai definitivo. Tuttavia, osservando il quadro attuale dei requisiti già decisi, ci sono importanti sfide ancora da cogliere e l’effetto rivoluzionario di DORA può essere ulteriormente amplificato dall’operato delle Autorità Europee di Vigilanza (EBA, EIOPA e ESMA) che sono ora chiamate a definire i diversi Regulatory Technical Standard (RTS) integrativi del regolamento.
Alle tre Autorità, di fatto, rimangono ampi margini di manovra che, se ben sfruttati, potrebbero consentire di indirizzare interessanti e, a nostro avviso necessarie, evoluzioni nell’ambito dell’incident reporting che, ad oggi, le entità del settore finanziario percepiscono come un’attività onerosa e di apparente poco valore. Al contrario, l’incident reporting, se strutturato all’interno di framework univoci e condivisi, può diventare un elemento di reale valore e contribuire concretamente al miglioramento delle capacità di identificazione e comprensione degli scenari di minaccia e il rafforzamento dei livelli di sicurezza a livello di settore.
L’incident reporting come elemento fondamentale della “shared situational awareness”
La costruzione della “shared situational awareness” a cui punta DORA, di fatto, passa anche per le attività di incident reporting che, già oggi, le entità del settore finanziario sono chiamate a implementare nei confronti di diverse autorità a livello nazionale e internazionale. La comprensione tattica e strategica degli incidenti occorsi, che presuppone un’analisi delle informazioni di contesto quali vulnerabilità sfruttate, attori di minaccia, Tattiche Tecniche e Procedure (TTP) e misure di prevenzione bypassate, di fatto, può consentire alle autorità destinatarie di identificare in maniera preventiva scenari di minaccia emergenti a livello sistemico, validarli tramite lo scambio informativo con l’industria e i vendors, preallertare di conseguenza le entità del settore consentendogli di adattare le difese in “near-real time” e facilitare i processi decisionali in caso di incidenti.
Allo stato attuale, tuttavia, le entità del settore finanziario si trovano a operare in un contesto completamente eterogeneo, caratterizzato da un’ampia frammentazione e numerose incongruenze in termini di requisiti. Sulla base delle disposizioni definite dalla Direttiva NIS, dal Regolamento Europeo per la Protezione dei Dati (GDPR), dalle linee guida EBA, dal Cyber Incident Reporting Framework della Banca Centrale Europea (BCE), da Target 2 e dal Regolamento Europeo per l'Identificazione Elettronica e Servizi Fiduciari per le Transazioni Elettroniche, di fatto, tali entità devono notificare gli incidenti subiti ad autorità diverse, seguendo tempistiche, template, modalità di classificazione e canali di comunicazione differenti, incontrando notevoli difficoltà dal punto di vista operativo.
Il risultato di questa situazione è che spesso, purtroppo, gli incidenti non vengono notificati e quand’anche lo siano, essi contribuiscono ben poco alla costruzione della già citata “shared situational awareness” in quanto le autorità destinatarie risultano quasi esclusivamente concentrate sull’accumulo di dati “sterili”, senza dar spazio ad approfondimenti sulle informazioni di contesto, che risultano tuttavia necessarie al fine di valorizzare i dati in conoscenza reale sulle minacce, né allo scambio reciproco o alla disseminazione delle informazioni.
Risulta chiaro che per iniziare a valorizzare in maniera concreta le attività condotte in ambito incident reporting e di conseguenza stimolare le aziende e operatori del settore finanziario a contribuirvi in maniera proattiva e sistematica, risulta necessaria un’inversione di rotta che sarebbe possibile iniziare ad intraprendere tramite la definizione dei Regulatory Technical Standard (RTS) di DORA.
Le sfide ancora in gioco con DORA
In ambito incident reporting, le disposizioni di DORA prevedono già la creazione di un nuovo quadro di classificazione, notifica e reporting degli incidenti che consentirà alle entità del settore finanziario disposte ad accogliere le sfide lanciate dal regolamento, di migliorare le proprie capacità di raccolta, analisi e disseminazione delle informazioni riguardanti minacce e incidenti cyber subiti. Tuttavia, la partita vera è ancora tutta da giocare. Il regolamento lascia infatti completa discrezionalità alle Autorità Europee di Vigilanza Europee per la definizione di:
· Regulatory Technical Standards (RTS) sulle procedure di classificazione degli incidenti (entro 12 mesi dall’entrata in vigore del regolamento);
· Regulatory Technical Standards (RTS) sul reporting degli incidenti cyber classificati come “major” alle autorità (entro 18 mesi dall’entrata in vigore del regolamento);
· Report sulla creazione di un unico EU-Hub per l’incident reporting (entro 24 mesi dall’entrata in vigore del regolamento).
Tale spazio di manovra rappresenta una importante occasione che dovrà necessariamente essere sfruttata dalle Autorità al fine di definire:
· Un framework unico a livello europeo che delinei requisiti unici per l’armonizzazione degli elementi e strumenti attuali – che vanno dalla raccolta di feed di intelligence, alla divulgazione delle vulnerabilità, alle valutazioni della criticità, agli schemi di priorità degli asset – utilizzati dalle singole entità e autorità per la gestione, la classificazione e la segnalazione degli incidenti;
· Una tassonomia condivisa e onnicomprensiva che consenta di descrivere in maniera univoca gli incidenti subiti includendo informazioni di contesto quali: tipologia e natura della minaccia, tattiche, tecniche e procedure (TTP) utilizzate dall’attaccante, vulnerabilità sfruttate, tipo di contromisure in essere che sono state bypassate per realizzare l’attacco, impatti, modalità di diffusione dell’attacco e strategie di mitigazione implementate.
Soltanto con questi strumenti sarà possibile rivoluzionare l’attuale e poco efficace modello di incident reporting, consentendo alle autorità centrali di identificare in maniera preventiva nuovi scenari e pattern di attacco e alle entità di settore di coglierne i vantaggi, rafforzando realmente il proprio livello di readiness.
Se le Autorità di vigilanza decideranno, come ci auguriamo, di cogliere questa opportunità ancora in gioco, la sfida cruciale a questo punto sarà quella di operare di concerto rispetto alle iniziative parallele portate avanti a livello europeo e, in particolare, rispetto ai requisiti di incident reporting in corso di definizione nell’ambito della Direttiva NIS 2. Il rischio che si prospetta, di fatto, è che le entità del settore finanziario si troveranno, ancora una volta, a dover operare in un contesto eterogeneo e non funzionale in cui Autorità di vigilanza e Autorità Nazionali chiederanno a tali entità di conformarsi a requisiti diversi o addirittura contrastanti.
È chiaro quindi che in termini di incident reporting la partita è ancora aperta e sarà interessante vedere se le Autorità di Vigilanza decideranno di giocarla e, soprattutto, quale strategia adotteranno.
Contenuti correlati:
