Esploriamo le implicazioni del Regolamento DORA nella relazione tra aziende e fornitori ICT per la sicurezza dei dati.
L’apporto dei fornitori e degli outsourcer è vitale per le aziende che si affidano a servizi esterni, soprattutto nell’ambito dell’ICT. Questa collaborazione, però, non è esente da problematiche soprattutto in termini di sicurezza e conformità. Il Regolamento DORA (Digital Operational Resilience Act) è un nuovo strumento normativo dell’Unione Europea che cerca di stabilire standard chiari per la gestione del rischio e la resilienza operativa delle entità del settore finanziario, con implicazioni anche per i loro fornitori di servizi di tecnologia dell’informazione.
Mentre da un lato DORA introduce dei benefici nella gestione delle relazioni con i fornitori, fornendo un quadro chiaro e misure per garantire la cyber resilience, dall’altro pone un evidente limite: non affronta adeguatamente il controllo complessivo della catena di fornitura. È proprio in questa area che le aziende registrano le maggiori difficoltà, trovandosi a dover affrontare rischi nascosti e interdipendenze che possono compromettere l’intero sistema.
Per colmare questa lacuna, è fondamentale che le aziende adottino un approccio proattivo, valutando con attenzione i propri fornitori e ponendo in essere processi che garantiscano una valutazione continua e puntuale dei rischi. Inoltre, è essenziale investire in formazione e sensibilizzazione su temi come la privacy e la protezione dei dati non solo all’interno dell’organizzazione ma anche lungo tutta la catena di fornitura.
Prendendo a riferimento il caso specifico del settore finanziario, che DORA mira a regolare in termini di operatività digitale, diventa evidente che le istituzioni finanziarie devono integrare rigide procedure di due diligence per monitorare la sicurezza informatica dei propri provider. Si dovrebbe mirare a una collaborazione più stretta e trasparente, con la condivisione di informazioni e la creazione di un ecosistema di sicurezza a prova di vulnerabilità grazie a standard comuni.
In ultima analisi, il successo dell’applicazione di DORA dipenderà dalla capacità delle aziende di comprendere a fondo e attuare le prescrizioni del regolamento, integrandole con un impegno costante per la sicurezza informatica a livello di catena di fornitura. Dare queste garanzie significa poter assicurare ai clienti finali un elevato livello di protezione dei loro dati e delle loro operazioni, salvaguardando la reputazione e la competitività dell’azienda stessa nel mercato digitale.