Che cos'è DORA?

A partire dal 17 gennaio 2025, le entità finanziarie dell'Unione europea (UE) e, non appena designate, i fornitori di servizi di terze parti delle TIC designati come "critici" dalle autorità di vigilanza europee devono essere pronti a conformarsi all'EU Digital Operational Resilience Act (Regolamento (UE) 2022/2554 - "DORA". DORA standardizza il modo in cui le entità finanziarie segnalano gli incidenti di cybersecurity, testano la resilienza operativa digitale e gestiscono il rischio di terze parti ict nel settore dei servizi finanziari e negli Stati membri dell'UE.

Oltre a definire chiare aspettative per il ruolo dei fornitori di TIC, DORA fornisce alle autorità europee di vigilanza (ESA) poteri diretti di supervisione sui fornitori di TIC critici designati. Microsoft è pronta a essere designata come "fornitore di servizi critici di terze parti ICT" conforme alle disposizioni applicabili ai sensi di DORA e aiuterà gli istituti finanziari regolamentati a soddisfare i propri requisiti.

DORA mira a fornire un approccio armonizzato per raggiungere "un livello elevato di resilienza operativa digitale" del settore dei servizi finanziari (FSI) garantendo che le aziende possano resistere e adattarsi a un'ampia gamma di minacce e interruzioni, tra cui attacchi informatici, errori IT e altri rischi operativi. DORA si applica a un'ampia gamma di entità FSI, tra cui banche, istituti assicurativi, borse e piattaforme di trading.

Punti chiave

1. Scopo di DORA: DORA cerca di migliorare la resilienza e la stabilità del settore FSI garantendo che le entità FSI abbiano misure efficaci per gestire e mitigare i rischi operativi, inclusi i rischi informatici. Mira a proteggere i consumatori, gli investitori e il sistema FSI più ampio dalle conseguenze potenzialmente gravi di gravi interruzioni o fallimenti all'interno del settore.
2. Portata: DORA si applica alle entità FSI che operano nell'Unione europea e ai loro fornitori terzi di TIC che forniscono servizi nell'UE, indipendentemente dal luogo in cui opera quest'ultima. Si applica anche ai provider critici di terze parti (CTPP) designati dalle autorità di sicurezza di Azure, affidate alla supervisione quotidiana di uno dei tre ESA, ovvero EBA, EIOPA o ESMA.
3. Disposizioni principali: DORA include principalmente tre requisiti:
   1. Requisiti applicabili alle entità FSI, incluse le aree di gestione dei rischi ICT, la notifica dei principali incidenti ICT e i test di resilienza operativa, ad esempio i test di penetrazione guidati dalle minacce.
   2. Requisiti in relazione agli accordi contrattuali conclusi tra i fornitori di servizi di terze parti ict designati e le entità FSI
   3. Regole per l'istituzione e la gestione del quadro di supervisione per i provider critici di terze parti ICT (CTPP) quando forniscono servizi alle entità FSI.
4. Conformità: Microsoft è conforme a tutte le leggi e alle normative applicabili nella fornitura dei propri servizi, in base ai requisiti applicati come CTPP, nonché ai requisiti DORA che Microsoft dovrebbe soddisfare per servire le entità FSI con il normale e anche con il servizio ICT critico. Le entità FSI che hanno in vigore accordi contrattuali per l'uso di Microsoft Servizi online per eseguire le loro funzioni critiche o importanti rimangono responsabili della conformità a tutti gli obblighi previsti da DORA e ai requisiti normativi dei servizi finanziari applicabili. Microsoft supporta le entità FSI per abilitare i propri obblighi di conformità e rispettare i requisiti applicabili.
5. Servizi e provider di servizi cloud: DORA è progettato per essere indipendente dalla tecnologia e i requisiti di DORA si applicano non solo alle entità FSI, ma anche ai fornitori di servizi ICT di terze parti.
6. Impegni contrattuali: DORA impone determinati requisiti contrattuali tra i provider di servizi ict di terze parti e le entità FSI. Microsoft garantisce che le disposizioni contrattuali siano in linea con il requisito previsto da DORA, a seconda dei casi. Inoltre, Microsoft si allinea già ai requisiti emessi in base alle linee guida EBA, ESMA ed EIOPA e tali linee guida fungono da framework di base per i requisiti di DORA.
7. Supervisione: DORA non riduce le entità FSI dalla supervisione dei provider di tecnologia, inclusi gli audit se ritenuto un requisito. Microsoft offre una vasta gamma di informazioni di garanzia ai clienti, ad esempio attestazioni di terze parti, dati sulle prestazioni, informazioni sugli eventi imprevisti, report annuali e trimestrali che consentono di valutare Microsoft come provider di tecnologia. Il Compliance Program per Microsoft Cloud (CPMC) è un servizio di supporto Premium che può aiutare a risolvere scenari più specifici e complessi che i membri possono affrontare. Se necessario, Microsoft ha una notevole esperienza nel supportare i clienti nell'esecuzione di controlli e nel fornire un livello di trasparenza e garanzia per la supervisione e il monitoraggio continui dei servizi cloud.

DORA mira a rafforzare la resilienza operativa del settore FSI e cerca di rafforzare la gestione dei rischi in modo che le aziende possano resistere e adattarsi a un'ampia gamma di minacce e interruzioni. Microsoft è conforme a tutte le leggi e le normative applicabili alla fornitura dei propri servizi cloud, in base ai requisiti applicati come CTPP. Le entità FSI che hanno in vigore accordi contrattuali per l'uso di servizi di terze parti ICT rimarranno responsabili della conformità a tutti gli obblighi previsti da DORA e ai requisiti normativi dei servizi finanziari applicabili, ai quali Microsoft supporterà in base alle esigenze.

Aree principali per la considerazione dei clienti in DORA

Framework di gestione dei rischi ICT

Il Digital Operational Resilience Act (DORA) stabilisce un meccanismo di gestione completo dei rischi ICT a cui le entità finanziarie saranno tenute a rispettare, tra cui l'identificazione, la protezione e la prevenzione, il rilevamento, la risposta e il recupero di tali rischi nell'ambito. Le entità finanziarie devono stabilire un quadro di governance e controllo interno per la gestione dei rischi ict e impegnarsi nel monitoraggio continuo dei rischi delle TIC. Questi requisiti di gestione e monitoraggio dei rischi ict si estendono all'uso dei servizi ICT forniti da fornitori di terze parti.

Gli elementi di questo quadro di gestione dei rischi per le TIC comprendono in larga misura:

• Governance interna e quadro di controllo per la gestione dei rischi ICT: le entità finanziarie devono disporre di un quadro di governance e controllo interno che garantisca una gestione efficace e prudente dei rischi ICT.
• Componenti e requisiti del framework di gestione dei rischi ICT: il framework di gestione dei rischi ICT deve includere strategie, politiche, procedure, protocolli ICT e strumenti necessari per proteggere e garantire la resilienza, la continuità e la disponibilità dei sistemi ICT, delle risorse informative e dei dati.
• Sistemi, protocolli e specifiche degli strumenti ICT: le entità finanziarie devono usare e mantenere sistemi, protocolli e strumenti ICT aggiornati, appropriati, affidabili, resilienti e in grado di elaborare i dati necessari per le loro attività e servizi. Devono anche implementare politiche, procedure, protocolli e strumenti per la sicurezza delle TIC che mirano a garantire la sicurezza delle reti e dei dati e a prevenire gli eventi imprevisti correlati alle TIC.
• Identificazione di origini e dipendenze di rischio ICT: le entità finanziarie devono identificare, classificare e documentare tutte le funzioni aziendali supportate dalle TIC, gli asset informativi e gli asset ICT, nonché i relativi ruoli e dipendenze in relazione al rischio ICT. Devono anche identificare tutte le fonti di rischio ICT, minacce informatiche e vulnerabilità ICT e valutare il potenziale impatto delle interruzioni delle TIC.
• Rilevamento di eventi imprevisti e anomalie correlati alle TIC: le entità finanziarie devono disporre di meccanismi per rilevare tempestivamente le attività anomale, i problemi di prestazioni della rete ICT e gli eventi imprevisti correlati alle TIC e per identificare potenziali singoli punti di guasto. Devono anche definire soglie e criteri di avviso per attivare e avviare processi di risposta agli eventi imprevisti correlati alle TIC.
• Risposta e ripristino da eventi imprevisti correlati alle TIC: le entità finanziarie devono avere una politica completa di continuità aziendale delle TIC e i piani di risposta e ripristino delle TIC associati che mirano a garantire la continuità di funzioni critiche o importanti, risolvere rapidamente ed efficacemente gli eventi imprevisti correlati alle TIC e ridurre al minimo danni e perdite. Devono anche testare, rivedere e aggiornare regolarmente i piani e le misure e segnalare alle autorità competenti in base alle esigenze.

Come Microsoft aiuta con la gestione dei rischi

Microsoft offre già un ampio set di funzionalità predefinite di gestione dei rischi ICT nei nostri servizi, tra cui:

• Microsoft Defender for Cloud
• Dashboard integrità del servizio Microsoft 365
• Microsoft Secure Score
• Integrità dei servizi di Azure
• Microsoft Purview
• Compliance Manager di Microsoft Purview

CPMC fornisce anche supporto per le valutazioni dei rischi, consentendo ai membri di eseguire il mapping dei framework di controllo e dei requisiti alle implementazioni di Microsoft.

Microsoft offre soluzioni aggiuntive alle entità finanziarie per facilitare la gestione dei rischi in modo più ampio, tra cui:

• Microsoft Entra offre gestione integrata delle identità, dell'accesso e delle autorizzazioni con funzionalità di protezione avanzate e supporta i servizi Cloud Microsoft. Assicurarsi di consultare le linee guida dettagliate di DORA per Microsoft Entra.
• Microsoft Defender offre rilevamento delle minacce, protezione e risposta integrati tra domini in più cloud, posta elettronica, piattaforme di collaborazione, identità ed endpoint.
• Microsoft 365 Purview offre un set completo di soluzioni di sicurezza e conformità dei dati, tra cui prevenzione della perdita dei dati, Information Protection, barriere informative, gestione dei rischi Insider, conformità delle comunicazioni, eDiscovery, ciclo di vita dei dati e gestione dei record.
• Microsoft Intune gestisce e protegge gli endpoint connessi al cloud nei sistemi operativi Windows, Android, macOS, iOS e Linux.
• Microsoft Copilot per la sicurezza sfrutta l'assistenza generativa basata sull'intelligenza artificiale per proteggere e rispondere alle minacce su larga scala e alla velocità dell'IA.
• Microsoft Purview e Azure Arc consentono di gestire, proteggere e gestire i dati in ambienti locali, Azure e multicloud. Estende inoltre facilmente la governance dei dati a Microsoft 365 SaaS.
• Backup di Azure, Azure Site Recovery e Centro operativo continuo di Azure offrono soluzioni specifiche per la continuità aziendale e il ripristino delle risorse di Azure distribuite. Backup di Microsoft 365 è il backup per i dati non strutturati.

Principi chiave per una sana gestione del rischio di terze parti ICT

Si prevede che le entità finanziarie gestissero i rischi di terze parti delle TIC nell'ambito del proprio quadro di gestione dei rischi ict, adottassero una strategia e una politica sull'uso dei servizi ICT a supporto di funzioni critiche o importanti e gestissero un registro delle informazioni su tutti gli accordi contrattuali con i fornitori di servizi di terze parti delle TIC.

• Valutazione preliminare prima di stipulare contratti: le entità finanziarie dovrebbero valutare i rischi di contrarre contratti con i principali fornitori di servizi di terze parti ict.
• Disposizioni contrattuali chiave: le entità finanziarie devono garantire che gli accordi contrattuali includano, tra le altre cose, una descrizione delle funzioni e dei servizi, le località di elaborazione e archiviazione dei dati, la gestione e la supervisione dei subappaltatori chiave che sono alla base della fornitura di servizi critici, le misure di protezione e sicurezza dei dati, le descrizioni del livello di servizio e gli obiettivi di prestazioni, i diritti di terminazione e le strategie di uscita, e i diritti di accesso, ispezione e controllo dell'entità finanziaria e delle autorità competenti.

Microsoft, essendo un provider di servizi di terze parti ICT per il settore, supporta i clienti nell'affrontare questi requisiti.

Come Microsoft aiuta con la gestione dei rischi di terze parti

Microsoft fornisce impegni contrattuali sostanziali in linea con le linee guida fornite dalle autorità di certificazione e coerenti con le disposizioni di DORA, incluso l'articolo 30. Il contratto contrattuale con Microsoft, che può includere i nostri Contratti Enterprise, l'Addendum per la protezione dei dati dei prodotti e dei servizi Microsoft (DPA), le sezioni applicabili delle Condizioni del prodotto e, per le entità finanziarie regolamentate, la nostra modifica ai servizi finanziari, copre gli elementi chiave richiesti da DORA. Sono state apportate modifiche per aiutare i clienti a soddisfare i requisiti di DORA. Il documento di mapping DORA, disponibile su richiesta tramite il contatto Microsoft, chiarisce l'allineamento degli impegni contrattuali con DORA. Continueremo a collaborare con i clienti per soddisfare le loro esigenze per garantire la conformità continua.

La gestione dei rischi di terze parti ICT nell'ambito di DORA si estende oltre Microsoft e copre anche altre terze parti dal punto di vista dell'entità finanziaria. Sono disponibili alcune soluzioni che consentono di affrontare i rischi di terze parti in modo più ampio, tra cui:

• Microsoft Defender for Cloud Apps offre funzionalità complete di visibilità, controllo e valutazione per app e servizi di terze parti, riducendo i rischi associati ai provider ICT esterni. L'individuazione di app cloud può individuare app di terze parti in uso (shadow IT) e fornisce report di valutazione dei rischi.
• Microsoft Purview consente di gestire i dati unificati oltre alle soluzioni cloud Microsoft. È anche possibile gestire, proteggere e gestire il patrimonio dati in cloud di terze parti.
• Microsoft Purview Compliance Manager offre assistenza nelle valutazioni dei rischi di terze parti e nella gestione della conformità dei fornitori rispetto a oltre 300 standard, linee guida e normative, offrendo informazioni dettagliate e azioni per identificare le lacune e attenuare i rischi per il cloud Microsoft, nonché per gli ambienti ibridi e multicloud. Offre anche modelli di valutazione per altri fornitori di cloud.

Microsoft rende disponibili elenchi di controllo anche in Service Trust Portal per i clienti del settore dei servizi finanziari che cercano indicazioni specifiche per l'area e il paese.

ICT - Gestione degli eventi imprevisti correlati, classificazione e creazione di report

È richiesta una serie di requisiti per le entità finanziarie dell'UE in materia di gestione, classificazione e segnalazione degli eventi imprevisti delle TIC, tra cui:

• Processo di gestione degli eventi imprevisti correlati alle TIC: le entità finanziarie devono disporre di un processo per rilevare, gestire e notificare gli eventi imprevisti correlati alle TIC e registrarli in base alla priorità e alla gravità.
• Classificazione degli incidenti correlati alle TIC e delle minacce informatiche: le entità finanziarie devono classificare gli eventi imprevisti correlati alle TIC e le minacce informatiche in base a criteri quali il numero di clienti interessati, la durata, la diffusione geografica, le perdite di dati, la criticità dei servizi e l'impatto economico.
• Segnalazione di importanti incidenti correlati alle TIC e notifica volontaria di minacce informatiche significative: le entità finanziarie devono segnalare i principali eventi imprevisti correlati alle TIC all'autorità competente pertinente usando moduli e modelli standard e informare i clienti sull'evento imprevisto e sulle misure di mitigazione. Le entità finanziarie possono anche notificare minacce informatiche significative all'autorità competente pertinente su base volontaria.
• Armonizzazione dei contenuti e dei modelli di segnalazione: le autorità di certificazione europea, tramite il comitato misto e in consultazione con l'ENISA e la BCE, elaborano progetti comuni di norme normative e tecniche per specificare il contenuto, i limiti di tempo e il formato delle relazioni e delle notifiche per gli incidenti correlati alle TIC e le minacce informatiche.
• Centralizzazione della segnalazione dei principali eventi imprevisti correlati alle TIC: le AE, tramite il Comitato congiunto e in consultazione con la BCE e l'ENISA, preparano una relazione congiunta che valuta la fattibilità di un'ulteriore centralizzazione della segnalazione degli eventi imprevisti tramite la creazione di un unico hub dell'UE per la segnalazione di importanti eventi imprevisti correlati alle TIC da parte di entità finanziarie.

Microsoft può contribuire a definire un framework completo per la gestione dei rischi ICT per identificare, proteggere, rilevare, rispondere e ripristinare le interruzioni correlate alle TIC:

• Microsoft Sentinel è un sistema SIEM nativo del cloud che consente l'analisi, il rilevamento e la risposta in tempo reale alle minacce alla sicurezza, facilitando la conformità ai requisiti di segnalazione degli eventi imprevisti.
• Microsoft Defender XDR consente di assegnare priorità, gestire e rispondere agli eventi imprevisti.
• Gestione dei rischi Insider Microsoft Purview offre una piattaforma end-to-end per coprire i rischi insider con criteri, trigger e avvisi sul comportamento rischioso da parte degli utenti.

Per i servizi online di Microsoft è possibile monitorare l'integrità e configurare le notifiche in caso di interruzioni direttamente all'interno del servizio:

• Dashboard integrità dei servizi di Microsoft 365: è possibile visualizzare l'integrità dei servizi Microsoft, inclusi Office sul web, Microsoft Teams, Exchange Online e Microsoft Dynamics 365 nella pagina Integrità dei servizi nella interfaccia di amministrazione di Microsoft 365.
• Integrità dei servizi di Azure: Azure offre una suite di esperienze per mantenere l'utente informato sull'integrità delle risorse cloud. Queste informazioni includono problemi attuali e futuri, ad esempio eventi che influiscono sul servizio, manutenzione pianificata e altre modifiche che possono influire sulla disponibilità.

Test della resilienza operativa digitale

DORA introduce test operativi digitali che devono essere condotti su sistemi e applicazioni ICT critici su base annuale e triennale tramite test di penetrazione guidati dalle minacce (TLPT). Questo nuovo approccio di test rafforza le funzionalità di test delle entità finanziarie, promuovendo una ripresa tempestiva e la continuità aziendale. Microsoft consente già ai clienti di eseguire questa operazione tramite il programma di test di penetrazione. Altre informazioni sulle regole di engagement per i test di penetrazione del cloud Microsoft e sui programmi Bug Bounty . Microsoft lavorerà e supporterà ulteriormente i requisiti di test per soddisfare i requisiti di questo regime di test come richiesto da DORA, coerente con i principi di sicurezza, integrità, sicurezza e resilienza operativa di Microsoft Cloud.

In che modo Microsoft aiuta con i test di resilienza operativa

Microsoft esegue regolarmente test di penetrazione interni e di terze parti per identificare potenziali vulnerabilità nei sistemi che forniscono il Servizi online. I report di test di penetrazione di terze parti per i servizi online Microsoft applicabili sono disponibili per il download nel portale di attendibilità dei servizi.

Oltre ai test delle vulnerabilità, Microsoft testa la resilienza dei servizi online almeno su base annuale. Microsoft fornisce report di convalida del piano di continuità aziendale e ripristino di emergenza nel portale di attendibilità del servizio che descrivono la convalida e la manutenzione dei piani BCDR per i Servizi online selezionati.

Impegno di Microsoft per abilitare la conformità in DORA

Microsoft si sta preparando a soddisfare i requisiti di DORA, come applicabile, e i servizi chiave forniti alle entità finanziarie che usano i servizi cloud per funzioni critiche o importanti. Microsoft ha investito per oltre un decennio in modo significativo nell'aiutare gli istituti finanziari a rispettare i propri obblighi normativi quando usano i servizi cloud Microsoft: dai contratti commerciali resi disponibili in conformità con le linee guida ESA sull'esternalizzazione, alla trasparenza e alla garanzia dei servizi cloud tramite il portale service trust e altre risorse, alla miriade di funzionalità di sicurezza predefinite nei servizi cloud. Insieme all'ampiezza delle funzionalità offerte per aiutare i clienti a gestire i rischi e a supervisionare l'uso continuo dei servizi cloud, gli elementi di DORA rappresentano un naturale passo avanti per mantenere la resilienza operativa e usare i servizi cloud Microsoft con fiducia. Stiamo anche lavorando con altre autorità di regolamentazione in giurisdizioni come il Regno Unito che stanno implementando misure simili a DORA e si stanno preparando a soddisfare anche tali requisiti.

Il rafforzamento della resilienza operativa è un argomento ampio che si estende oltre a garantire semplicemente la conformità DORA o ad affrontare i rischi di fornitore e concentrazione e richiede una strategia e una visione che colleghino la gestione dei rischi con una visione su come distribuire la tecnologia e ottimizzare i processi tenendo presente la resilienza. Riteniamo che la tecnologia cloud e le innovazioni, come l'IA, abbiano un ruolo importante da svolgere in questo ambito, in quanto è fondamentale per contribuire a rafforzare le protezioni da interruzioni impreviste, aumentare l'affidabilità complessiva dei servizi e delle operazioni e rafforzare la cybersecurity. Come passaggio successivo, prendere in considerazione la revisione dell'E-Book di Microsoft Digital Operational Resilience Act (DORA), che descrive sei passaggi che è possibile eseguire per creare resilienza operativa.