Introdotto dalla Commissione europea nel settembre 2020, il regolamento sulla resilienza operativa digitale (Digital Operational Resilience Act, DORA) è il primo regolamento redatto per supervisionare la sicurezza delle entità finanziarie in tutta l'Unione europea. Tale regolamento presenta un framework che uniforma la gestione dei rischi legati alle tecnologie dell'informazione e della comunicazione (TIC) in 21 diversi tipi di entità finanziarie.
Ciò comporta un significativo cambiamento a livello normativo non solo per le entità finanziarie con sede nell'UE, ma anche per qualsiasi fornitore di servizi terzo all'interno della rete estesa di un'entità. Molte organizzazioni che in precedenza erano esenti dagli standard relativi alle TIC, come i fornitori di servizi di terze parti per informazioni sull'account, asset in criptovaluta e segnalazione dei dati, sono ora obbligate a rispettare il DORA.
Con l'entrata in vigore di questo regolamento nel gennaio 2025, le soluzioni Third-Party Management e Tech Risk & Compliance forniscono solide funzionalità per aiutare le aziende a soddisfare i requisiti normativi.
Gestisci attivamente i rischi da parte di terzi legati alle TIC
Un aspetto rivoluzionario del DORA è l'inclusione dei rischi da parte di terzi legati alle TIC nell'ambito del framework di gestione dei rischi. Le entità finanziarie sono ora responsabili di tutti i rischi downstream di terze parti, quarte parti e di tutti gli altri collaboratori nella loro rete estesa.
Le responsabilità più comuni includono l'implementazione della due diligence, le valutazioni dei rischi e un registro di informazioni che riconosce i servizi di terze parti TIC che supportano funzioni critiche o importanti.
Per soddisfare questi requisiti, la soluzione Third Party Management di OneTrust aiuta a creare un inventario centralizzato di tutte le relazioni con terze parti che possono essere condivise tra unità aziendali e domini di rischio.
Tutti i rischi che si presentano vengono rapidamente identificati attraverso screening automatici di conformità, valutazioni dei rischi integrate e monitoraggi dei punti di contatto durante tutto il ciclo di vita delle terze parti. Le organizzazioni possono quindi gestire questi potenziali rischi con raccomandazioni di mitigazione pronte all'uso, flussi di lavoro IFTTT, integrazioni contrattuali basate sui rischi e feed di data intelligence che aiutano a comprendere i cambiamenti in tutta l'azienda.
Scala la gestione dei rischi legati alle TIC
Il DORA attribuisce la responsabilità dei rischi legali alle TIC all'organo di gestione dell'entità finanziaria. Ciò include il mantenimento di un alto livello di resilienza operativa digitale attraverso l'implementazione di strategie, politiche, protocolli e strumenti per salvaguardare tutte le informazioni e le risorse delle TIC. Inoltre, tutti gli sforzi devono essere documentati e revisionati almeno una volta all'anno e soggetti a un audit interno.
La soluzione Compliance Automation di OneTrust aiuta a rendere questi passaggi molto più semplici grazie al framework e alla guida al DORA pronti all'uso. Le organizzazioni hanno accesso a politiche, controlli e attività di prova pre-mappate e alla mappatura delle prove tra frame per individuare le aree di conformità sovrapposte ed eliminare gli sforzi duplicati.
La soluzione IT and Security Risk Management di OneTrust sfrutta sforzi di conformità per integrare e collegare l'intero ecosistema, dalle risorse e i controlli dei dati alle terze parti. Rendendo operativa la gestione dei rischi, questa soluzione li riduce in modo efficace in tutto il panorama IT.
In più, la soluzione Audit Management di OneTrust centralizza le raccolte controlli, i documenti di lavoro e le attività di audit, fornendo visibilità sullo stato dell'audit di un’organizzazione tramite dashboard e report consolidati.