Kyndryl Point of View

DORA e NIS2: è il momento di ripensare la Governance

La prossima entrata in vigore dei regolamenti DORA e NIS 2, promossi dall’Unione Europea in ambito cybersecurity, porta con sé una nuova necessità: adeguare approccio, metodologie, governance e valutazione dei rischi. Per le imprese del mondo finance e più in generale per le “imprese rilevanti” una sfida per non farsi cogliere impreparate. Se ne è parlato in un workshop promosso da Kyndryl

Aggiornato il 23 Ott 2023

Cybersecurity nelle banche: non basta prevedere il rischio, bisogna essere efficaci nella risposta

“Oltre la sicurezza, la sfida è organizzativa. Dora e NIS2 aprono la strada a un nuovo concetto di Governance”: è questo il titolo di un workshop organizzato nei giorni scorsi da Kyndryl con l’obiettivo di comprendere come imprese dei settori bancario, assicurativo, manifatturiero, società di servizi e amministrazioni si stiano preparando in vista della prossima entrata in vigore di due importanti quadri normativi europei in materia di sicurezza e governance: il Regolamento DORA e la Direttiva NIS2. Una vera e propria sfida che non può essere affrontata semplicemente ottemperando a quanto previsto dai diversi RTS (regulatory technical standards) inclusi in ciascun regolamento, ma che richiede un importante ripensamento organizzativo e di Governance all’interno di ciascuna realtà.

Gabriele Faggioli: lavorare su economie di scala e approcci comuni

In apertura dell’incontro, Gabriele Faggioli, CEO Digital360 e P4I e Presidente del Clusit​, ha proposto una riflessione sullo scenario nel quale i due regolamenti vanno a inserirsi.
Uno scenario non certo semplice, sia per il quadro geopolitico internazionale che ha visto nel tempo crescere il numero degli attacchi cyber così come il loro livello di gravità, sia per la specifica situazione italiana. È vero, riconosce Faggioli, che alcuni settori, in particolare quelli bancari, finanziari e assicurativi, rispondono meglio all’aumento delle minacce, in ragione di una più puntuale ottemperanza a quanto previsto da normative rigorose in materia di sicurezza e protezione di dati e asse, tuttavia sono ancora molti i settori che non sembrano percepire la necessità di investire adeguatamente in questo ambito.

La situazione nel nostro Paese è particolarmente critica, con un investimento in sicurezza informatica che rappresenta solo lo 0,1% del PIL, molto inferiore rispetto alla media. E nonostante la maggiore consapevolezza delle grandi imprese sulla necessità di investire in sicurezza, l’approccio attuale non sembra adeguato a invertire la tendenza. L’approccio normativo attuale, ha spiegato Faggioli, si basa sull’idea che ogni azienda debba organizzarsi per difendersi autonomamente: è un modello non sostenibile, soprattutto in un Paese come l’Italia, basato su piccole e medie imprese con risorse limitate. Serve o servirebbe un cambio di prospettiva.

La normativa, è il suggerimento del Presidente del Clusit, dovrebbe incentivare un modello basato sull’economia di scala, con difese comuni piuttosto che individuali. Analogamente, sarebbe il momento di pensare a una lista di prodotti e soluzioni approvati o qualificati – con una sorta di validazione di tutte le componenti di sicurezza – che valga per tutte le imprese che li adotteranno, senza obbligare la singola azienda a sottoporre a un processo di autorizzazione prodotti o soluzioni giù autorizzati per altre realtà. Nonostante, dunque, un certo pessimismo, per Gabriele Faggioli resta positivo il fatto che in alcuni settori, in particolare i mondi bancari e assicurativi, stia emergendo un interesse piuttosto marcato proprio sui temi delle economie di scala per un approccio comune alla sicurezza.

Maria Cristina Daga: serve una nuova consapevolezza sui rischi e un nuovo ingaggio delle figure di business

Tocca invece a Maria Cristina Daga, Partner di P4I – Partners4Innovation, portare il focus sui due regolamenti oggetto dell’analisi: DORA (Digital Operational Resilience Act) e NIS2 (Network and Information Security Directive 2). Daga sottolinea come sia cambiato nel tempo l’approccio dell’Unione Europea alla cybersecurity, il cui perimetro oggi viene esteso all’ecosistema globale dell’impresa, coinvolgendo in termini di responsabilità anche e soprattutto le figure di business e i CEO. In questa evoluzione dell’approccio, le aziende devono capire le proprie priorità, per proteggere al meglio gli asset più importanti, strategici e critici e adottando una strategia di difesa con azioni precise: pianificazione, monitoraggio, risposta rapida agli attacchi. Il tutto condividendo le informazioni di intelligence anche attraverso partnership pubblico/private e la partecipazione a tavoli di lavoro di settore.

In questo contesto e in sintesi estrema, il regolamento DORA, indirizzato specificamente al mondo finanziario e alle sue terze parti, si concentra sulla gestione del rischio informatico. Questo regolamento introduce l’obbligo di definire un quadro sulla resilienza operativa digitale per garantire che le imprese finanziarie rispondano e si riprendano da tutti i tipi di disservizi ICT e Cyber in modo tempestivo e appropriato. Richiede di fatto una valutazione dei rischi ICT verificando i livelli di tolleranza al rischio attraverso programmi di test di resilienza digitale e regola gli impatti della governance di un modello di gestione delle esternalizzazioni. Questo significa che le aziende devono valutare e monitorare continuamente i loro sistemi informatici per identificare eventuali rischi o vulnerabilità.

A sua volta, la direttiva NIS2 riguarda in senso più generale la sicurezza delle reti e delle informazioni. Questa direttiva stabilisce misure per garantire un alto livello comune di sicurezza delle reti e dei sistemi di informazione in tutta l’Unione europea. Uno dei punti salienti legati all’adeguamento alle nuove normative riguarda la gestione del rischio derivante da terze parti: le aziende devono rivedere i propri modelli di gestione delle esternalizzazioni, con un cambio organizzativo significativo.

Parimenti, tutt’altro che irrilevante è la richiesta di introdurre una funzione di controllo dei rischi informatici all’interno delle aziende. Questa funzione deve essere separata dalle funzioni operative e richiede un monitoraggio sia del rischio informatico sia degli accordi di esternalizzazione e dunque potrebbe rappresentare una sfida in termini di costi e competenze.
Di fatto, queste normative portano a un nuovo livello la responsabilizzazione degli organi di vertice delle aziende, ai quali si chiede una nuova consapevolezza rispetto ai rischi.

Federico Botti: una nuova offerta di servizi e soluzioni che mappano DORA

A sua volta, Federico Botti, Vice President Security and Resiliency Practice di Kyndryl, evidenzia come l’azienda, nei due anni di attività dopo la separazione da IBM, ha effettuato importanti investimenti proprio negli ambiti della sicurezza informatica e resilienza, combinandoli con le sue storiche competenze sul fronte del disaster recovery. Tutto questo nella piena consapevolezza di quanto sia importante e necessario oggi adeguarsi alle mutevoli condizioni di rischio e alle normative in continua evoluzione.

Ed è proprio in risposta alla crescita dei rischi e alla complessità del contesto normativo, spiega Botti, che Kyndryl ha sviluppato un portafoglio completo di servizi e soluzioni che rispondono puntualmente ai nuovi bisogni: Security Assurance Services, Zero Trust Services, SOC Response Services, Incident Recovery Services. Ma c’è di più. Kyndryl ha effettuato una mappatura dei requisiti chiave del DORA (Digital Operational Resilience Act), sviluppando un’offerta di servizi che li mappino con precisione e supportando tutte quelle realtà che si sentono poco preparate a fronteggiare i rischi.

Il confronto: la gestione delle terze parti fa paura

Durante il workshop, i partecipanti si sono confrontati proprio sulle evidenze messe in luce da Gabriele Faggioli, Maria Cristina Daga e Federico Botti. Per quanto riguarda gli ambiti specifici del DORA, è emersa una generale consapevolezza rispetto al nuovo ruolo della funzione di controllo dei rischi ICT, anche se in generale si è lavorato maggiormente sulla sensibilizzazione del top management più che sull’effettiva “costruzione” della nuova funzione.

In merito alla gestione dei rischi ICT appare chiaro che vi sia allo stato un certo divario tra quanto previsto da DORA e la “readiness” delle organizzazione, in particolare per quanto attiene alla definizione di processi e strumenti per la gestione dei flussi informativi e dei piani di comunicazione delle crisi. Se in genere è emersa la necessità di definire meglio i presidi organizzativi anche in relazione ai necessari scambi di informazioni tra le autorità competenti, l’area sulla quale si sono evidenziate le maggiori criticità è quella della gestione delle terze parti. Qui emergono chiaramente preoccupazioni riguardo al risk assessment dei fornitori ICT e al monitoraggio delle terze parti.

In ambito NIS​, invece, risulta sempre una maggiore consapevolezza, anche se emerge una certa immaturità rispetto alla messa in campo di azioni formative specifiche per i membri dell’organo di gestione.​ In questo caso, se sembrano emergere livelli di maturità più soddisfacenti in materia di adozione e implementazione di politiche, procedure e regolamenti di sicurezza, emerge qualche criticità o preoccupazione sia sull’adozione di approcci risk-based per la definizione delle misure di gestione dei rischi, sia sulla possibilità di integrare le misure di gestione dei rischi ICT con quelle dei sistemi industriali e di produzione.​ Ed è forse su questo punto che si innesta la ridotta maturità che emerge sulle tematiche di continuità operativa. Anche in questo caso, la gestione delle terze parti è l’ambito dal quale emergono le maggiori criticità che spingono le aziende a pensare alla possibilità di introdurre clausole di sicurezza specifiche nei contratti con i fornitori, non solo quelli ICT.

Articolo originariamente pubblicato il 23 Ott 2023

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Maria Teresa Della Mura
email Seguimi su

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 5