Test di resilienza digitale DORA per entità finanziarie UE

DORA impone un quadro armonizzato per la resilienza operativa digitale nel settore finanziario europeo attraverso il Regolamento (UE) 2022/2554, definendo requisiti specifici per i test di sicurezza che vanno oltre i TLPT, coinvolgendo verifiche ordinarie e continuative su tutti i sistemi e strumenti ICT.

Digital operational resilience testing in DORA

Il digital operational resilience testing costituisce il quarto pilastro di DORA e assicura che le entità finanziarie siano in grado di resistere, rispondere e ripristinare le operazioni in caso di minacce e interruzioni ICT. Questi obblighi si applicano a oltre 20 tipologie di entità finanziarie nell’UE, con l’obiettivo di prevenire e mitigare minacce informatiche mediante una convalida costante delle difese.

Test “base” e TLPT: differenze

• Test di base (Articoli 24 e 25): Richiesti per quasi tutte le entità finanziarie, includono un ampio spettro di verifiche sugli strumenti e sistemi ICT e rappresentano il requisito minimo per valutare la robustezza delle difese.
• TLPT (Threat-Led Penetration Testing – Articolo 26): Si tratta di test avanzati basati su intelligence che simulano tattiche di attori malevoli reali. Sono obbligatori solo per entità individuate dalle autorità come sistemicamente importanti o con uno specifico profilo di rischio e devono essere eseguiti su sistemi di produzione reali e operativi.

Test richiesti dall’Articolo 25

L’Articolo 25 richiede un programma di test strutturato con varie metodologie tra cui:

• Source code review: Revisioni del codice sorgente con test statici e dinamici.
• Security testing per sistemi esposti: Verifiche di sicurezza per applicazioni e sistemi accessibili via internet.
• Vulnerability assessment: Framework per gestione e rimozione delle vulnerabilità.
• Test dei pacchetti software: Controlli di sicurezza prima dell’implementazione di nuovi pacchetti software.
• Analisi di impatto e compatibilità: Test per assicurare che nuovi sistemi non introducano vulnerabilità nei processi ICT esistenti.

Responsabilità e approccio ai test

Le entità finanziarie devono adottare un approccio basato sul rischio, dimensionando le risorse per i test in funzione della criticità degli asset ICT e delle procedure aziendali. Le verifiche devono essere svolte da team indipendenti rispetto allo sviluppo o all’operatività dei sistemi, con tester che possiedano idoneità, reputazione e competenze tecniche certificate. Nei TLPT è richiesta la partecipazione di fornitori di threat intelligence esterni alla banca o al gruppo.

Frequenza minima dei test sui sistemi critici

• Vulnerability scanning: Sui sistemi che supportano funzioni critiche o importanti, le scansioni vanno svolte almeno settimanalmente.
• Business Continuity Plans: I piani ICT di continuità operativa vanno testati almeno annualmente o dopo cambiamenti sostanziali.
• Revisione generale: Almeno una volta all’anno occorre verificare che eventuali modifiche strategiche siano riflesse nel programma di test.
• TLPT: La frequenza è solitamente triennale, salvo diverse disposizioni dell’autorità competente.

Collegamento tra test, remediation e governance

Il programma di testing deve integrarsi con la governance dell’entità finanziaria. I risultati devono essere documentati e analizzati per identificare carenze; per ogni vulnerabilità viene richiesto un remediation plan dettagliato. L’organo di gestione ha la responsabilità finale della supervisione e dell’approvazione dei risultati e dei piani di mitigazione del rischio.

FAQ

• DORA obbliga sempre il penetration test? Sì, sono richiesti test di sicurezza ascrivibili ai penetration test per tutte le entità finanziarie, nell’ambito della gestione delle vulnerabilità e della sicurezza dei sistemi esposti. Il test avanzato TLPT, però, è richiesto solo per le entità più rilevanti.
• DORA obbliga sempre il TLPT? No, l’obbligo vale solo per le entità finanziarie mature a livello ICT con impatto sistemico; le autorità possono escludere le entità per cui il test non sia giustificato dal profilo di rischio.
• Ogni quanto vanno testati i sistemi critici? Scansioni di vulnerabilità almeno settimanali, altri test generali di resilienza e continuità almeno annualmente.

Assicura la tua conformità: richiedi un assessment iniziale del tuo programma di testing DORA per definire correttamente il perimetro di verifica dei tuoi sistemi critici.