Conformità a DORA: Garantire la Sicurezza e la Resilienza Software

set 20, 2024 | Software Intelligence in Action Conformità a DORA: Garantire la Sicurezza e la Resilienza Software

Il 13 marzo 2024 sono state pubblicate le RTS (Regulatory Technical Standard) che definiscono gli strumenti, le metodologie, I processi e le policy (TMPP) per l’ICT Risk Management delle entità finanziarie secondo il regolamento 2022/2054 “DORA”.

Il Digital Operational Resilience Act (DORA) è un nuovo regolamento dell'Unione Europea (UE) che stabilisce un vero e proprio framework vincolante e completo riguardante la gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell'UE. Il Regolamento DORA entrerà in vigore a partire dal 17 gennaio 2025, dopo 2 anni di periodo di tolleranza. Si applica a tutte le istituzioni finanziarie dell'UE. Sono incluse banche, società di investimento e istituti di credito, fornitori di asset legati a criptovalute e piattaforme di crowdfunding.

Un aspetto rilevante di DORA è che estende i requisiti anche ai fornitori di servizi ICT terzi, come fornitori di cloud e data center, che dovranno conformarsi al regolamento. Inoltre, sono interessate anche le aziende che forniscono i servizi critici di terze parti come i servizi di rating creditizio e di data analytics.

Il regolamento DORA consente agli organi primari di sorveglianza di imporre sanzioni ai fornitori ICT pari all'1% del loro turnover mondiale medio giornaliero registrato nell'esercizio precedente con la possibilità di multe giornaliere per un massimo di sei mesi fino a conformità raggiunta.

Articoli chiave di DORA relativi al software

Le aree chiave riguardanti il ​​software, che vengono affrontate sono:

  • Standard di codifica sicuri, gestione delle vulnerabilità, distribuzione sicura
  • Rischi associati a componenti software, dipendenze e impatti (Open Source Safety)
  • I test rigorosi dei sistemi e piani di risposta agli incidenti legati al software

In particolare:

  • L’Art. 16.1 Richiede che la politica di acquisizione e manutenzione del software faccia riferimento agli standard di sicurezza come delineati nel regolamento 1025/2012.
    • Tra questi, lo standard che più si allinea con gli obiettivi di DORA (sicurezza, qualità e competitività), per il codice sorgente delle applicazioni software è l’ISO-5055 di Sicurezza.
    • Altrettanta importanza è data al rischio di utilizzo di componenti di terze parti, per il quale sono richieste l’indentificazione delle CVE (Common Vulnerabilities and Exposures) e la redazione di uno SBOM (Software Bill of Material)
  • L’Art 16.2 prevede che il processo di approvazione e la procedura di test di un sistema informativo facciano riferimento agli standard indicati.
  • L’Art 16.3 Descrive come deve essere adottata una procedura per la gestione e la risoluzione delle vulnerabilità.
  • L’Art 16.4 Stabilisce che la verifica non deve essere effettuata oltre la fase di integrazione (prima del passaggio in produzione).
  • L’Art 16.8 Stabilisce che la procedura di verifica dovrà prevedere il test del codice sorgente sia per i codici proprietari che per quelli open source.
  • L'Art. 27 specifica che tra i risultati da rendicontare ci sono strumenti, vulnerabilità, azioni e procedure che vengono messe in atto durante tutto il periodo di rendicontazione.

 

Come CAST Supporta la conformità a DORA

Grazie all’uso e all’integrazione nei processi aziendali dei tool di CAST, per assicurare la compliance con quanto indicato nel regolamento di DORA, è possibile quindi:

  • Misurare l’indice ISO-5055 di Sicurezza:
    • Scansione del Codice – identificazione delle vulnerabilità relative al KPI
    • Predisporre ed applicare Piani di rimedio
    • Generazione automatica della reportistica

ISO_5055_CWE-1

  • Effettuare l’analisi SCA (Software Composition Analysis):
    • Identificazione di tutte le componenti di terze parti
    • Identificazione dei rischi legati a vulnerabilità delle componenti (CVE, OSS)
    • Valutazione del rischio e dell’impatto
    • Reportistica automatica (SBOM)

CAST_Highlight_SCA

Per garantire la compliance con DORA è importante che le verifiche siano effettuate secondo le seguenti modalità:

  • Su tutto il parco software applicativo in azienda, sia sviluppato internamente che da fornitori esterni.
  • Che sia analizzato il codice sorgente completo delle applicazioni (tutti i layers applicativi e tutte le componenti di terze parti utilizzate).
  • Che i test siano effettuati prima del passaggio in produzione.
  • Che i dati siano raccolti e riportati ai sistemi di Risk Management, sistematicamente e continuativamente nel tempo.

 
Alessandro Lenzo

Scritto da: Alessandro Lenzo