Il nuovo regolamento europeo sulla resilienza digitale (DORA)

Il Digital Operational Resilience Act (DORA), la cui adozione da parte delle Istituzioni Europee è ormai alle porte, rappresenterà una vera e propria rivoluzione in ambito cyber security per l’UE. Il primo elemento innovativo che salta all’occhio riguarda la forma stessa della disposizione normativa. Il regolatore, in questa occasione, he deciso di privilegiare la forma del regolamento, rendendo così i nuovi requisiti definiti per la sicurezza della rete e sistemi informativi degli enti finanziari e relativi fornitori ICT, direttamente applicabili a livello nazionale, eliminando i rischi di frammentazione e disomogeneità tra i 27 Stati Membri. Guardando anche al contenuto del regolamento, ci sono ulteriori elementi di innovazione che configurano un importante cambio di paradigma in relazione al concetto di resilienza e agli attuali modelli di analisi e gestione del rischio impiegati dalle entità finanziarie.

La rivoluzione DORA

In linea con l’attuale contesto, in cui la digitalizzazione costituisce fattore fondante per lo sviluppo del business delle entità del settore finanziario, DORA conduce verso un allargamento del perimetro dei rischi che tali entità devono identificare e gestire, andando oltre le dimensioni prettamente ICT e Cyber. In linea con questa prospettiva, la direzione verso cui punta DORA è di spingere le entità finanziarie verso lo sviluppo dell’intelligence strategica e rendere questa capability la nuova protagonista delle attività di risk management.

Le attuali capabilities di intelligence sviluppate dalle funzioni di sicurezza delle entità finanziarie esclusivamente focalizzate su domini prettamente CTT / Cyber non risultano più adeguate al contesto attuale. Nuova importanza, quindi, viene data a domini di intelligence quali l’intelligence geopolitica, l’intelligence economica e l’intelligence regolatoria per condurre l’entità del settore verso il consolidamento di una reale capacità predittiva, basata su una conoscenza approfondita e olistica delle minacce e agenti o attori di minaccia, ad oggi del tutto assente.

Sulla base del contesto attuale, caratterizzato da continui e repentini mutamenti degli scenari di minaccia, il regolamento, inoltre, si pone in un’ottica completamente disruptive nei confronti dei classici modelli di analisi del rischio di tipo statico, spingendo verso l’adozione di modelli dinamici

che consentano di identificare e analizzare gli scenari di minaccia in maniera continuativa. Se questa opportunità posta da DORA verrà colta con successo, le entità finanziarie potranno di fatto porre delle solide basi per riuscire a mettere in campo capacità difensive specifiche, rivenendo e rinnovando in maniera flessibile le contromisure di sicurezza adottate all’evolvere degli scenari di minaccia.

L’ottica innovativa del regolamento si intravede inoltre nelle nuove modalità di verifica delle contromisure di sicurezza applicate proposte: semplici analisi documentali o verifiche teoriche non bastano più. Al contrario, facendo leva sulle rinnovate capabilities di intelligence già citate, DORA propone un approccio innovativo di “effective testing” basato sulla esecuzione di threat intelligence-led testing tra cui, ad esempio, le esercitazioni di Red Teaming il cui framework è stato definito dalla Banca Centrale Europea nel 2018.

Infine, dobbiamo sottolineare come grazie alle nuove disposizioni del regolamento, è evidente che anche in Europa si stanno finalmente compiendo alcuni passi verso la costruzione della cosiddetta situational awareness, che già caratterizza il Security Legislation Amendment (Critical Infrastructure Protection) Act 2022 australiano, e che concorre alla realizzazione di modelli di difesa adattivi, che si evolvono sulla base del mutamento delle minacce in maniera costante e continuativa. In questa direzione si colloca la nuova sensibilità mostrata dal regolamento alla dimensione sistemica: nulla di nuovo per il settore finanziario europeo, già sottoposto agli stress test realizzati dall’Autorità Bancaria Europea (EBA) a livello sistemico, ma fattore di estrema novità per l’ambito security. Il regolamento, di fatto, sollecita l’importanza dello scambio informativo tra entità finanziarie e con autorità pubbliche, e investe le stesse Autorità di Vigilanza Europee (AVE) a “istituire meccanismi che consentano la condivisione di pratiche efficaci al fine di identificare i rischi e le vulnerabilità” a livello di sistema.

La maturità del settore a fronte della rivoluzione DORA

Arrivati a questo punto dell’analisi, sorge spontaneo domandarsi se, ad oggi, le entità del settore finanziario si possano considerare pronte a cogliere tutte le opportunità di miglioramento e le sfide poste da DORA. Sulla base della conoscenza del settore e in linea con il panorama di normative esistente a livello nazionale europeo, possiamo affermare che ad oggi sono sicuramente maggiori le lacune da colmare rispetto ai punti di vantaggio già incassati dalle entità del settore. Situazione che ci porta a concludere che non si è di fatto ancora pronti al recepimento degli elementi innovativi descritti.

Allo stato attuale, manca una tassonomia aggiornata e condivisa rispetto al nuovo concetto di resilienza e al rinnovato perimetro dei rischi che sottendono il regolamento DORA, mancano capabilities di intelligence strategica strutturate e mature che si pongano alla base dell’identificazione e analisi degli scenari di rischio, oltre che delle attività di test dei controlli, così come mancano framework di riferimento in cui inquadrare i requisiti del nuovo modello di gestione del rischio promosso dal regolamento.

Se le istituzioni finanziarie vorranno davvero cavalcare l’onda del rinnovo, il vuoto esistente in termini di prerequisiti necessari al recepimento del regolamento andrà necessariamente colmato nei mesi a venire. Tuttavia, l’attuale situazione di “ritardo” è da considerarsi comunque del tutto fisiologica data la complessità e il carattere fortemente innovativo dell’approccio promosso da DORA. D'altronde, sappiamo bene quanto ogni rivoluzione richieda il suo tempo.