Testing di Resilienza Operativa Digitale DORA per Entità Finanziarie

Il Regolamento (UE) 2022/2554, conosciuto come DORA (Digital Operational Resilience Act), impone alle entità finanziarie europee un sistema armonizzato per la resilienza operativa digitale. La normativa non richiede esclusivamente test di tipo Red Teaming come i TLPT, ma una serie articolata di attività di testing e monitoraggio che coinvolgono tutti i sistemi e strumenti ICT.

Digital operational resilience testing in DORA

Il test di resilienza operativa digitale è il quarto pilastro del DORA e garantisce che le entità finanziarie siano capaci di resistere, rispondere e ripristinare le proprie operazioni di fronte a minacce e interruzioni ICT. Il framework fornisce criteri uniformi per la sicurezza di reti e sistemi informativi, con applicazione a oltre 20 tipi diversi di soggetti finanziari all’interno dell’UE. L’obiettivo dichiarato è la prevenzione e la mitigazione delle minacce informatiche tramite una costante validazione delle difese.

Test di base e TLPT: differenze e ambiti di applicazione

DORA distingue tra verifiche di routine e test avanzati:

• Test di base (Articoli 24 e 25): Obbligatori per la quasi totalità delle entità finanziarie. Riguardano ampie verifiche su strumenti e sistemi ICT. Rappresentano il requisito minimo per valutare la solidità delle difese.
• TLPT (Threat-Led Penetration Testing – Articolo 26): Test avanzati, basati su intelligence e pensati per simulare tattiche usate da attori malevoli reali. Sono obbligatori soltanto per entità considerate sistemicamente importanti o con profili di rischio specifici, e devono essere svolti su sistemi di produzione reali e operativi.

Le verifiche richieste dall’articolo 25

L’articolo 25 di DORA elenca i tipi di test che devono comporre il programma di verifica delle entità finanziarie:

• Source code review: Revisioni del codice sorgente con test sia statici che dinamici.
• Security testing per sistemi esposti: Test di sicurezza dedicati alle applicazioni e ai sistemi accessibili da internet.
• Vulnerability assessment: Struttura trasparente per identificazione, gestione e risoluzione delle vulnerabilità.
• Test dei pacchetti software: Verifiche di sicurezza precedenti l’implementazione di nuovi pacchetti software.
• Analisi di impatto e compatibilità: Test che garantiscono che i nuovi sistemi ICT non introducano vulnerabilità nei processi esistenti.

Responsabilità, approccio e requisiti dei tester

Le entità finanziarie devono adottare una visione basata sul rischio, calibrando le risorse impiegate a seconda della criticità degli asset ICT e dei processi aziendali. I test devono essere condotti da funzioni diverse da quelle responsabili dello sviluppo o dell’operatività dei sistemi. I tester, siano essi interni o esterni, devono dimostrare idoneità, reputazione e competenze tecniche certificate. Nei TLPT è obbligatorio avvalersi di fornitori di threat intelligence indipendenti dalla banca o dal gruppo finanziario.

Frequenza richiesta sui sistemi critici

• Vulnerability scanning: Per asset ICT a supporto di funzioni critiche o importanti, la scansione delle vulnerabilità deve essere effettuata almeno settimanalmente.
• Business Continuity Plans: I piani di continuità operativa ICT devono essere testati almeno una volta all’anno o in caso di cambiamenti significativi.
• Revisione generale: Almeno una volta all’anno va verificata l’adeguatezza del programma di testing rispetto agli aggiornamenti della strategia aziendale.
• TLPT: I test avanzati devono normalmente essere svolti ogni tre anni, salvo diverse indicazioni da parte dell’autorità competente.

Collegamento tra test, remediation e governance

Il programma di testing impone alle entità finanziarie di integrare la verifica della resilienza nel proprio sistema di governance. I risultati dei test devono essere documentati e analizzati per rilevare e correggere le carenze, tramite remediation plan che specifichino azioni, responsabilità e tempi di attuazione. L’organo di gestione mantiene la responsabilità ultima sulla supervisione e approvazione di test e piani di mitigazione dei rischi individuati.

FAQ su DORA e testing di sicurezza

• DORA obbliga sempre il penetration test? DORA richiede per tutte le entità finanziarie test di sicurezza che includano verifiche simili ai penetration test, in particolare nella gestione delle vulnerabilità e della sicurezza dei sistemi esposti. Il penetration test avanzato (TLPT) invece è riservato solo alle entità di maggiore rilievo.
• DORA obbliga sempre il TLPT? Il TLPT è obbligatorio esclusivamente per entità finanziarie mature dal punto di vista ICT e con impatto sistemico, mentre le autorità possono escludere quelle per cui non è giustificato dal profilo di rischio.
• Ogni quanto vanno testati i sistemi critici? I sistemi che supportano funzioni critiche devono essere sottoposti a vulnerability scanning almeno una volta alla settimana, mentre i test generali di resilienza e business continuity vanno eseguiti almeno annualmente.

Assicura la tua conformità: richiedi un assessment iniziale del tuo programma di testing DORA per definire correttamente il perimetro di verifica dei tuoi sistemi critici.