Con l’aumento degli attacchi informatici alla supply chain a livello globale, l’Unione Europea (Ue) sta adottando misure per gestire i rischi attraverso nuove normative. Tra queste, il Digital Operational Resilience Act (Dora) emerge come una delle più significative. Il Dora è progettato per rafforzare la sicurezza informatica dei mercati finanziari, ma la sua applicazione si estende anche ai fornitori di servizi terzi, ponendo gli operatori di telecomunicazioni (telco) al centro dell’attenzione.
Secondo Analysys Mason, il ruolo cruciale delle telco nel trasferimento dati attraverso reti pubbliche e data center le rende essenziali per la stabilità e la continuità dei servizi finanziari. Gli operatori di telecomunicazioni, con i loro asset eterogenei e ampiamente distribuiti, rappresentano un’ampia superficie di attacco informatico, aumentando la necessità di una gestione dei rischi robusta e continua.
In crescita i cyberattacchi alla supply chain
L’ultimo rapporto annuale dell’Ue sul panorama delle minacce alla sicurezza informatica evidenzia una crescita significativa degli attacchi informatici alla supply chain, passati da meno dell’1% delle intrusioni nel 2020 al 17% nel 2021. Questa tendenza ha spinto l’Ue a sviluppare una strategia coordinata per la sicurezza informatica, culminata nell’introduzione del Dora.
Il Dora mira a rendere gli spazi informatici dell’Ue più resilienti agli attacchi informatici, migliorare la capacità di risposta agli incidenti di sicurezza e promuovere la condivisione di informazioni tra gli Stati membri dell’Ue e gli alleati globali. Per il settore finanziario, Dora impone la gestione dei rischi di terze parti, richiedendo alle istituzioni finanziarie di intraprendere una due diligence precontrattuale, audit di conformità e monitoraggio continuo dei rischi dei fornitori di servizi Ict. Questa normativa obbliga anche le istituzioni finanziarie a mantenere un registro dei loro fornitori di servizi Ict contrattuali, incluse informazioni sulla criticità dei servizi.
Il ruolo centrale delle telco
Le telco, in quanto fornitori di servizi Ict essenziali, devono diventare partner attivi negli sforzi dei clienti finanziari per conformarsi a Dora. Questo richiede un esame approfondito delle loro operazioni per garantire la piena e certificabile conformità ai requisiti della normativa. Le telco devono implementare nuovi sistemi di segnalazione degli incidenti, piani di continuità aziendale e monitoraggio delle prestazioni. L’ampia varietà di servizi offerti dalle telco, come il trasferimento dati attraverso reti pubbliche e data center, crea un’ampia superficie di attacco informatico. La stabilità e la continuità dei servizi finanziari dipendono in modo critico da questi servizi, rendendo le telco una componente essenziale per la sicurezza informatica complessiva del settore finanziario.
Le mosse per conformarsi al Dora
Analysys Mason ha identificato una serie di attività specifiche che saranno essenziali affinché le telco possano raggiungere la conformità con Dora. Innanzitutto, molti contratti di servizi Ict esistenti dovranno essere rivisti e i nuovi contratti necessiteranno di un’accurata verifica precontrattuale. Inoltre, sia gli istituti finanziari che i fornitori terzi di Ict essenziali richiederanno un sistema di gestione del rischio Ict (Rms) efficace, che includa un registro per tracciare e identificare i rischi e metodi efficienti, scalabili e sostenibili per la raccolta dati. Infine, i sistemi di monitoraggio continuo e di segnalazione degli incidenti saranno essenziali per garantire la conformità con Dora.
