Con l’entrata in vigore del Regolamento UE 2022/2554, noto come Digital Operational Resilience Act (DORA), il settore finanziario europeo si trova di fronte a una sfida imponente.
Non basta più limitarsi a proteggere le proprie infrastrutture interne: per garantire sicurezza e continuità, è indispensabile costruire una catena di resilienza che coinvolga anche tutti i fornitori e i partner ICT.
Nel mondo di oggi, dove banche, assicurazioni, gestori di fondi e fornitori di servizi digitali sono sempre più interconnessi, la vera tenuta operativa non dipende solo dalle nostre difese, ma anche dalla solidità di ogni collegamento esterno.
Indice degli argomenti
Il ruolo centrale del Third-Party Management in DORA
Le aziende finanziarie mediamente lavorano con oltre 200 fornitori ICT, tra cloud provider, vendor di software, data center e società di cyber security. Basta un solo anello debole, un attacco, un’interruzione di servizio, per far partire un effetto domino che blocca processi essenziali e mette a rischio dati importanti.
DORA riconosce chiaramente questa vulnerabilità sistemica e dedica un’importante parte della normativa (gli articoli 28-30) proprio al monitoraggio e alla gestione della supply chain ICT.
Non si tratta più solo di firmare contratti, ma di costruire vere e proprie alleanze basate sulla resilienza operativa condivisa.
La due diligence non è più una formalità
Verificare che un fornitore abbia la certificazione ISO 27001 o SOC 2 non basta più. DORA richiede un impegno molto più approfondito e continuo:
- Prima di tutto, una valutazione accurata del profilo di rischio del fornitore, considerando anche il settore in cui opera. Non è la stessa cosa dipendere da un cloud provider di nicchia o da un hyperscaler mondiale.
- Devono essere eseguite e programmate simulazioni di scenario per capire cosa accadrebbe in caso di blackout o compromissione.
- Il monitoraggio deve essere attivo, con dashboard condivise che mostrino metriche chiave come il tempo medio di ripristino (MTTR), la frequenza di patching e le vulnerabilità aperte.
- Sistemi avanzati come SIEM e SOAR devono essere integrati per raccogliere alert e monitorare in tempo reale la sicurezza.
- Infine, non mancano audit, sia in presenza sia virtuali, almeno una volta l’anno, e report trimestrali da mettere a confronto con gli SLA contrattuali.
Con questa due diligence dinamica, ogni cambiamento nella sicurezza del fornitore, per esempio una nuova architettura cloud, viene subito letta e gestita senza sorprese.
Contratti chiari per una resilienza reale
I contratti conformi a DORA non si limitano a descrivere i servizi forniti, ma fissano parametri rigorosi:
- RTO (Recovery Time Objective) e RPO (Recovery Point Objective) devono essere definiti e allineati all’analisi di impatto sul business (BIA) dell’entità finanziaria. Sebbene DORA non imponga valori numerici fissi, le best practice di settore suggeriscono, per i sistemi critici, obiettivi stringenti.
- MTTR (Mean Time To Repair) deve specificare entro quanto tempo il fornitore assicura il ripristino delle funzionalità.
- Devono essere garantiti diritti di audit e ispezione, con accesso a report, configurazioni e log di sicurezza.
- Infine, i contratti possono prevedere penali o incentivi basati sul rispetto di questi parametri, fissando così un modello “premio-penalità” che stimola l’impegno reale.
Così, il fornitore diventa un partner responsabile, non solo un esecutore.
Essere pronti all’imprevisto con i piani di exit management
La resilienza vera non esiste se non c’è un piano B. DORA chiede di:
- Definire scenari chiari per la dismissione di un servizio o la sostituzione del fornitore.
- Identificare alternative tecnicamente adeguate.
- Mappare dati e sistemi da migrare in caso di interruzione prolungata.
- E soprattutto, effettuare test di failover almeno una volta l’anno, per passare concretamente a un’infrastruttura secondaria, misurando performance e tempi di ripristino.
- Valutare e aggiornare le procedure dopo ogni esercitazione.
In questo modo, la necessità di cambiare fornitore diventa un procedimento gestito con calma e precisione, non un’emergenza da affrontare in fretta e senza preparazione.
KPI condivisi: la misura dell’efficienza
Per monitorare e migliorare costantemente la resilienza, DORA invita a definire indicatori di performance condivisi:
- Tempi medi per patchare vulnerabilità critiche.
- Percentuali di incidenti risolti nei tempi stabiliti.
- Disponibilità e uptime mensile dei servizi.
- Tasso di successo dei drill di failover.
Questi dati, raccolti in report trimestrali, sono analizzati dal Comitato di Resilienza ICT insieme ai fornitori, creando un ciclo virtuoso di controllo e miglioramento.
Guardando oltre i fornitori: un approccio a 360 gradi
DORA ricorda però che la resilienza non si costruisce solo guardando fuori. Serve una governance interna solida, con un Comitato ICT dedicato, processi continui di risk assessment e gestione del rischio con il modello PDCA (Plan-Do-Check-Act), e piani aggiornati di business continuity e disaster recovery. Un adempimento chiave è inoltre la tenuta di un Registro delle Informazioni su tutti i contratti ICT, da fornire alle autorità su richiesta.
Ma senza un’attenzione altrettanto forte verso i fornitori, tutto questo rischia di essere vano. L’approccio vincente è quindi olistico e integrato, intrecciando:
- processi e controlli interni;
- tecnologie di sicurezza avanzate come firewall, segmentazione di rete e crittografia;
- una cultura aziendale orientata alla formazione costante e all’informazione sulle minacce;
- relazioni di fiducia e allineamento con fornitori ICT che condividano gli stessi standard di resilienza.
Più di un obbligo: un vantaggio competitivo
Investire in un sistema strutturato di gestione dei fornitori ICT secondo DORA non è solo per evitare sanzioni. È:
- Un modo per proteggere la reputazione, dimostrando rigore e trasparenza.
- Un’occasione per aumentare l’efficienza operativa con processi chiari e metriche condivise.
- Spesso un prerequisito richiesto dai partner internazionali per collaborare.
- Uno strumento per rafforzare la fiducia di clienti e investitori, che oggi più che mai vedono nella sicurezza digitale un segno di affidabilità.
Il termine del 17 gennaio 2025 per l’adeguamento a DORA ha segnato l’inizio di una nuova era per la resilienza operativa.
Oggi non si tratta più di prepararsi, ma di operare in piena conformità. Le organizzazioni che hanno messo il Third-Party Management al centro della loro strategia non solo hanno risposto a un obbligo normativo, ma hanno costruito un vantaggio competitivo duraturo, rendendo il proprio business più robusto, agile e pronto per le sfide digitali del futuro.
