Vincenzo Granato, country manager di Commvault Italia: “A gennaio entrerà in vigore Dora. Come prepararsi per non incorrere in sanzioni”

Vincenzo Granato, Commvault ItaliaIl 17 gennaio del prossimo anno entrerà in vigore il Digital operational resilience act (Dora), il regolamento dell’Ue che si propone di rafforzare la sicurezza informatica di enti finanziari quali banche, compagnie assicurative, società di investimento, fornitori di servizi di cripto-asset, aziende del settore assicurativo e pensionistico e servizi di crowdfunding. L’obiettivo è quello di garantire la resilienza del settore finanziario in Europa in caso di grave interruzione operativa.

Il regolamento richiede alle imprese di concentrarsi su una serie di aree chiave, che vanno dalla gestione del rischio Ict (compresi i fornitori di terze parti), ai test di resilienza operativa digitale e alla segnalazione degli incidenti, fino alla condivisione delle informazioni e all’implementazione di un framework di supervisione per i fornitori Ict critici di terze parti. Questi possono causare potenziali conseguenze di ampia portata per entità finanziarie e fornitori tech che operano senza processi o controlli adeguati”, spiega Vincenzo Granato, country manager di Commvault Italia, azienda globale specializzata in soluzioni per la resilienza informatica e protezione dei dati.

Su chi impatta il nuovo regolamento?
Trattandosi di una normativa dell’Unione Europea, Dora si applicherà sia alle aziende che hanno sede sul territorio dell’Ue sia a quelle entità finanziarie o fornitori Ict che offrono servizi a imprese nell’Unione, ad esempio dal Regno Unito. Un po’ come accade per il Gdpr, il Regolamento generale sulla protezione dei dati.

Che tipo di sanzioni sono previste per chi disattende l’applicazione del regolamento?
Chi non si atterrà alle regole potrà ricevere una sanzione fino al 2% del proprio fatturato totale annuo mondiale. Anche in questo caso, riporto l’esempio del Gdpr: dal 2018 sono stati riscossi oltre 4 miliardi di euro a seguito delle sue violazioni.

Prevedete quindi che il Regolamento verrà applicato in maniera rigida?
Riteniamo che le autorità punteranno su prevenzione e mitigazione, nella consapevolezza che le conseguenze di un’interruzione dei servizi, isolata o sistemica, in particolare a causa di attacchi informatici, potrebbero essere catastrofiche. Immaginiamo quindi che già dopo poche settimane assisteremo alla prima azione esecutiva legata a Dora.
Per questo consigliamo alle aziende di mettersi subito all’opera per limitare al minimo le conseguenze di una sanzione.

Cosa possono fare le società del settore finanziario per evitare di incorrere in sanzioni?
Per prima cosa le aziende dovrebbero creare dei team trasversali di specialisti, con l’obiettivo di mettere a punto una strategia organica per applicare il Regolamento. Idealmente, questa squadra dovrebbe comprendere responsabili ed esperti delle aree it, cybersecurity, compliance, rischio e legale. Questo permetterebbe di individuare anche quei dettagli nella normativa che non risultano evidenti a prima vista.

Dopo aver messo a punto una squadra multidisciplinare, cosa dovranno fare?
A quel punto dovranno stabilire obiettivi di resilienza, che siano chiari e perseguibili, e aggiornarli costantemente, in linea con quanto previsto dalla normativa. Nel corso delle proprie attività dovranno poi valutare i processi di sicurezza in vigore e individuare eventuali lacune, in modo da colmarle prima dei controlli.

Vi aspettate dunque degli aggiornamenti della normativa nei prossimi anni?
È probabile che le autorità dell’Ue interverranno per garantire che Dora resti aderente al sistema che è chiamato a proteggere. Di qui la necessità di tenersi aggiornati. Non bisogna però scoraggiarsi: è importante avviare un circolo virtuoso nel quale la compliance mantenga un ruolo di primo piano.