Alla luce della normativa europea Dora, in vigore dal 17 gennaio, Denis Valter Cassinerio, Senior Director & General Manager South Emea di Acronis, spiega le future sfide che aspettano le grandi aziende e le PMI.
La resilienza informatica continua a essere al centro dell’attenzione nel settore della cybersecurity. L’obiettivo della migliore implementazione all’interno delle aziende è infatti una parte centrale anche della normativa europea Digital Operational Resilience Act (DORA). Il regolamento stabilisce un framework vincolante e completo relativo alla gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario, la cui applicazione è effettiva dallo scorso 17 gennaio. Nel dettaglio, DORA si applica a tutte le istituzioni finanziarie dell’UE e include entità finanziarie tradizionali. Come banche, società di investimento e istituti di credito, ma anche provider di asset legati a criptovalute e di piattaforme di crowdfunding.
DORA: obiettivo primario la continuità aziendale
Questo nuovo framework normativo ha stabilito che le aziende del settore finanziario e i loro fornitori, cosiddetti critici, debbano soddisfare precisi standard per i propri sistemi ICT. Il tutto con l’obiettivo di incoraggiare le imprese a migliorare la postura di sicurezza complessiva e promuovere una maggiore collaborazione fra gli istituti, aspetti chiave per un approccio resiliente. Le imprese finanziarie e le terze parti ICT sono ora tenute ad adottare quindi un approccio più olistico alla gestione del rischio informatico, andando oltre le tradizionali misure di sicurezza per garantire la continuità aziendale di fronte a qualsiasi interruzione correlata alla tecnologia. L’obiettivo è assolutamente condivisibile.
Ma raggiungere la conformità a DORA è stata – ed è –una sfida complessa anche per le grandi aziende. Un sondaggio di McKinsey effettuato nel 2024 ha rilevato che solo 5 Ciso su 16 erano fiduciosi nella propria capacità di rispettare la deadline di gennaio. Un traguardo, dunque, ancora più impervio da raggiungere per le PMI.
La sfida della continuità aziendale
Ma qual è la sfida più grande nello sviluppo della cyber resilienza in linea con la normativa DORA? Certamente i piani di continuità aziendale e Disaster Recovery sono elementi essenziali. Tuttavia ciò non toglie che la loro creazione e applicazione comporti importanti sforzi per complessità e costo, oltre che per dispendio di tempo. La buona notizia è che la maggior parte (96%) delle big company dovrebbe aver avuto da tempo una sponsorship esecutiva per implementare questi piani. Questo emerge da un’analisi di Forrester per il Disaster Recovery Journal, ed è quindi sulla buona strada.
Crescono i costi legati alla violazione dei dati
Diversamente per le PMI, trovare il budget necessario è probabilmente più complesso, anche a fronte della necessità di confrontarsi con ambienti IT in espansione. Tuttavia, ormai le aziende di qualsiasi dimensione si affidano sempre più a tecnologie per rendere efficienti i processi e le attività. Ma ciò non fa che aumentare il rischio informatico. E i costi legati all’inattività per un attacco informatico sono impressionanti, anche se tuttora sottovalutati. IBM ha stimato nel 2024 in 4,88 milioni di dollari il costo medio di una violazione dei dati.
Da Acronis soluzioni chiavi in mano
In altre parole oggi anche queste realtà hanno bisogno di un’evoluzione nella protezione dei dati. Soluzioni come Acronis Advanced Disaster Recovery permettono di semplificare la protezione e la resilienza aziendale. Questo perché forniscono una soluzione chiave in mano che consente di proteggere i carichi di lavoro critici e di ripristinare immediatamente i dati e le applicazioni indipendente dall’attacco subito, tramite un’unica interfaccia. Funzionalità avanzate di Disaster Recovery, come il ripristino point-in-time, il failover di test automatico e il ripristino locale e immediato, permettono di tornare alla ‘normalità’ in pochi minuti. Ciò non consente solo di essere compliant a DORA, ma anche di migliorare la sicurezza complessiva.
DORA offre un’opportunità ai Service Provider
Non va infine sottovalutato che DORA – come la direttiva NIS2 – offre a Managed Service Provider (MSP) e ai Managed Service Security Provider (MSSP) l’occasione di supportare le aziende nell’implementazione di tecnologie e processi che favoriscano la conformità alla normativa. Inoltre, molte aziende faranno fatica a trovare le risorse necessarie internamente. In particolare le PMI data la loro carenza di competenze nella sicurezza informatica, creando l’opportunità per MSP/MSSP di offrire soluzioni di cybersecurity avanzate, oltre che di Disaster Recovery.
In conclusione, i Service Provider possono aiutare i clienti a rispettare i requisiti e migliorare la loro postura di sicurezza e resilienza. Ma solo ampliando la propria offerta e adottando i medesimi standard visto che la nuova normativa vincola le aziende anche nel monitoraggio e nella gestione del rischio derivante da terzi. Coloro che lo faranno potranno raccogliere ottimi ritorni dal momento che la compliance è destinata a diventare un fattore trainante per i servizi di sicurezza gestiti.
