DORA: non solo una normativa da rispettare, ma un’opportunità per rafforzare la sicurezza

redazione

L’entrata in vigore di DORA, il Digital Operational Resilience Act, il prossimo gennaio, promette di rivoluzionare la situazione della cybersecurity in UE. A differenza di altri regolamenti, come GDPR o NIS2, DORA è focalizzata nello specifico sul settore finanziario. Ciò significa che compagnie di assicurazione, società di investimento, istituti di credito, banche e alcuni dei loro fornitori di terze parti, come data center o vendor software, saranno obbligati a essere conformi.

DORA però non deve essere considerata solo un’ulteriore normativa da rispettare, ma una spinta ad adottare pratiche di sicurezza fondamentali che dovrebbero essere già integrate nelle attività di queste aziende.

Per rispondere in modo completo alle indicazioni della normativa, è necessario adottare un approccio olistico alla sicurezza dell’identità, proteggendo tutte quelle che hanno accesso a qualsiasi risorsa sensibile. Come? Applicando il minimo privilegio, semplificando gli audit e fornendo una reportistica dettagliata.

DORA pone inoltre l’accento sulle misure di controllo degli accessi – come single sign-on (SSO), autenticazione multi-fattore (MFA) e gestione del ciclo di vita delle identità – già considerate best practice di sicurezza in tutto il settore. Le aziende spesso tendono a focalizzarsi su innovazioni e minacce, elementi senza dubbio meritevoli di attenzione, lasciando in secondo piano le nozioni di base della cybersecurity.

L’avvento di DORA non dovrebbe essere considerato come un altro grattacapo normativo, bensì un’opportunità per rafforzare le difese aziendali. In un mondo in cui le minacce informatiche sono in continua evoluzione, stare un passo avanti non è solo una necessità, ma un vantaggio competitivo, che i responsabili più lungimiranti potranno cercar di cogliere, sfruttando i requisiti normativi come opportunità strategiche. Ad esempio, investire in soluzioni di Identity e Access Management (IAM) avanzate soddisfa i mandati di DORA, snellendo le operazioni, riducendo i costi amministrativi e migliorando l’esperienza complessiva degli utenti. Allo stesso modo, implementare una solida MFA non si limita a prevenire gli accessi non autorizzati, ma crea anche fiducia nei confronti di clienti, partner e autorità di regolamentazione.

Lo stesso approccio deve essere applicato alle altre normative europee, sia quelle già attive che quelle che entreranno in vigore a breve, come NIS 2, Cyber Resilience Act o Cyber Security Act, che hanno l’obiettivo di fortificare le difese delle aziende in UE, per creare un framework europeo ben definito su differenti elementi, tra cui certificazione sulla sicurezza dei prodotti, requisiti e misure di protezione per numerosi settori critici.

Le aziende che adottano queste pratiche in modo proattivo si troveranno una posizione migliore per rispondere ai futuri cambiamenti normativi, mitigare i rischi e capitalizzare le nuove opportunità di business. Da questo punto di vista, DORA è molto di più di una semplice normativa, ma rappresenta un progetto per costruire un’azienda più resiliente, agile e protetta.

Di Paolo Lossa,Country Sales Director di CyberArk Italia