Il 13 marzo 2024 sono state pubblicate le RTS (Regulatory Technical Standard) che definiscono gli strumenti, le metodologie, I processi e le policy (TMPP) per l’ICT Risk Management delle entità finanziarie secondo il regolamento 2022/2054 “DORA”.
Il Digital Operational Resilience Act (DORA) è un nuovo regolamento dell'Unione Europea (UE) che stabilisce un vero e proprio framework vincolante e completo riguardante la gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell'UE. Il Regolamento DORA entrerà in vigore a partire dal 17 gennaio 2025, dopo 2 anni di periodo di tolleranza. Si applica a tutte le istituzioni finanziarie dell'UE. Sono incluse banche, società di investimento e istituti di credito, fornitori di asset legati a criptovalute e piattaforme di crowdfunding.
Un aspetto rilevante di DORA è che estende i requisiti anche ai fornitori di servizi ICT terzi, come fornitori di cloud e data center, che dovranno conformarsi al regolamento. Inoltre, sono interessate anche le aziende che forniscono i servizi critici di terze parti come i servizi di rating creditizio e di data analytics.
Il regolamento DORA consente agli organi primari di sorveglianza di imporre sanzioni ai fornitori ICT pari all'1% del loro turnover mondiale medio giornaliero registrato nell'esercizio precedente con la possibilità di multe giornaliere per un massimo di sei mesi fino a conformità raggiunta.
Articoli chiave di DORA relativi al software
Le aree chiave riguardanti il software, che vengono affrontate sono:
- Standard di codifica sicuri, gestione delle vulnerabilità, distribuzione sicura
- Rischi associati a componenti software, dipendenze e impatti (Open Source Safety)
- I test rigorosi dei sistemi e piani di risposta agli incidenti legati al software
In particolare:
- L’Art. 16.1 Richiede che la politica di acquisizione e manutenzione del software faccia riferimento agli standard di sicurezza come delineati nel regolamento 1025/2012.
- Tra questi, lo standard che più si allinea con gli obiettivi di DORA (sicurezza, qualità e competitività), per il codice sorgente delle applicazioni software è l’ISO-5055 di Sicurezza.
- Altrettanta importanza è data al rischio di utilizzo di componenti di terze parti, per il quale sono richieste l’indentificazione delle CVE (Common Vulnerabilities and Exposures) e la redazione di uno SBOM (Software Bill of Material)
- L’Art 16.2 prevede che il processo di approvazione e la procedura di test di un sistema informativo facciano riferimento agli standard indicati.
- L’Art 16.3 Descrive come deve essere adottata una procedura per la gestione e la risoluzione delle vulnerabilità.
- L’Art 16.4 Stabilisce che la verifica non deve essere effettuata oltre la fase di integrazione (prima del passaggio in produzione).
- L’Art 16.8 Stabilisce che la procedura di verifica dovrà prevedere il test del codice sorgente sia per i codici proprietari che per quelli open source.
- L'Art. 27 specifica che tra i risultati da rendicontare ci sono strumenti, vulnerabilità, azioni e procedure che vengono messe in atto durante tutto il periodo di rendicontazione.
Come CAST Supporta la conformità a DORA
Grazie all’uso e all’integrazione nei processi aziendali dei tool di CAST, per assicurare la compliance con quanto indicato nel regolamento di DORA, è possibile quindi:
- Misurare l’indice ISO-5055 di Sicurezza:
- Scansione del Codice – identificazione delle vulnerabilità relative al KPI
- Predisporre ed applicare Piani di rimedio
- Generazione automatica della reportistica
- Effettuare l’analisi SCA (Software Composition Analysis):
- Identificazione di tutte le componenti di terze parti
- Identificazione dei rischi legati a vulnerabilità delle componenti (CVE, OSS)
- Valutazione del rischio e dell’impatto
- Reportistica automatica (SBOM)
Per garantire la compliance con DORA è importante che le verifiche siano effettuate secondo le seguenti modalità:
- Su tutto il parco software applicativo in azienda, sia sviluppato internamente che da fornitori esterni.
- Che sia analizzato il codice sorgente completo delle applicazioni (tutti i layers applicativi e tutte le componenti di terze parti utilizzate).
- Che i test siano effettuati prima del passaggio in produzione.
- Che i dati siano raccolti e riportati ai sistemi di Risk Management, sistematicamente e continuativamente nel tempo.
SHARE