A sei mesi dall’entrata in vigore del Digital Operational Resilience Act (Dora), le aziende dei servizi finanziari in Europa riconoscono che il proprio livello di preparazione in materia di resilienza dei dati non è ancora sufficiente. Lo segnala un’indagine condotta da Censuswide per conto di Veeam Software, che ha coinvolto un campione di responsabili IT senior nel settore finanziario in Regno Unito, Francia, Germania e Paesi Bassi. L’indagine intende misurare il grado di maturità delle strategie di data resilience, identificando gli ostacoli principali al raggiungimento della piena conformità con il regolamento europeo.
Il 96% degli intervistati ammette che il proprio livello attuale di resilienza dei dati non soddisfa ancora i requisiti imposti dal Dora. Un risultato che fotografa lo stato di un percorso normativo e organizzativo tuttora in fase di assestamento. Sebbene il regolamento sia stato percepito fin da subito come una leva strategica per la sicurezza digitale, anche nel comparto finanziario, la sua applicazione pratica continua a presentare criticità su più livelli. Le aziende hanno alzato l’attenzione sul tema, ma la trasformazione operativa e tecnologica richiesta da Dora si rivela più impegnativa del previsto. Affermazioni supportate dai numeri.
Secondo il report, il 94% delle organizzazioni dichiara di aver innalzato il livello di priorità attribuito al Dora rispetto al mese precedente alla sua applicazione. Il 40% considera il regolamento una priorità assoluta per la resilienza digitale e il 50% ha già integrato all’interno dei programmi di continuità operativa e protezione dei dati esistenti i suoi requisiti. Ed il 39% del campione ne fa un punto centrale delle iniziative di conformità. Segnali chiari quindi che indicano che il processo di adeguamento è in corso, ma anche che il cammino verso una vera resilienza operativa è tutt’altro che concluso.
Altri elementi aiutano a completare il quadro e mettere a fuoco una serie di conseguenze “inattese” generate dal regolamento. Il 41% delle aziende coinvolte segnala un aumento rilevante della pressione e dello stress a carico dei team IT e di sicurezza, chiamati a fronteggiare nuove sfide normative e minacce cyber complesse. Parallelamente, il 37% delle organizzazioni registra un incremento dei costi applicati dai fornitori di servizi Ict, probabilmente in risposta all’aumento delle responsabilità in materia di gestione del rischio. Inoltre, il 22% delle aziende intervistate identifica l’insieme degli obblighi regolatori digitali come un possibile freno all’innovazione e alla competitività. In alcuni casi, le difficoltà risiedono ancora a monte: il 20% non ha ancora ottenuto il budget necessario per attuare le misure richieste dal Dora.
Edwin Weijdema, Field Cto Emea di Veeam, osserva che l’adozione del regolamento è stata accolta con serietà dal settore, ma sottolinea anche il divario ancora esistente tra l’obiettivo di compliance e la realtà operativa. A suo giudizio, “raggiungere la conformità è un primo passo per garantire la resilienza operativa, ma nel contesto attuale – caratterizzato da minacce informatiche sempre più complesse – c’è ancora molto da fare”. Il problema principale non sarebbe solo la complessità del regolamento, ma anche la difficoltà delle organizzazioni a ottenere il supporto necessario in termini di risorse, budget e visibilità dei processi critici, soprattutto quando si tratta di terze parti.
Ma il questionario proposto da Veeam consente anche di isolare alcune delle lacune più frequenti nei processi di adeguamento. Circa quarto delle aziende coinvolte non ha ancora avviato test di continuità operativa e disaster recovery, né ha implementato procedure strutturate per la segnalazione degli incidenti. La stessa percentuale non ha ancora nominato un responsabile incaricato di coordinare le attività connesse all’implementazione del Dora. Mancano inoltre test specifici di resilienza digitale, mentre circa un quinto delle organizzazioni non ha ancora garantito l’integrità e la sicurezza dei backup, né un processo tracciabile per il loro recupero.
Il requisito che si dimostra più problematico da mettere in atto è quello relativo alla gestione del rischio legato ai fornitori terzi. Il 34% delle aziende coinvolte individua in questo aspetto la principale difficoltà dell’intero quadro normativo, anche se solo il 20% non lo ha ancora affrontato. Il problema sembra riguardare meno l’assenza di iniziative e più la qualità e l’efficacia delle misure adottate. Uno degli ostacoli più citati è la limitata visibilità sulle operazioni svolte dai fornitori, soprattutto in presenza di architetture complesse e reti multilivello, con la mancanza di trasparenza nei rapporti di subfornitura e l’assenza di standard comuni a rendere più difficile monitorare la resilienza operativa lungo l’intera catena Ict.
“E’ incoraggiante vedere che le organizzazioni stanno analizzando le proprie difese a questo livello, proprio come il Dora era stato progettato per fare”, commenta Andre Troskie, field Ciso Emea di Veeam, ma la gestione dei fornitori terzi rappresenta un punto nevralgico non solo per la conformità ma per la strategia di resilienza nel suo complesso. “Allo stesso tempo, le richieste di chiarimento da parte delle aziende su come implementare correttamente questo requisito evidenziano l’esigenza di una maggiore precisione operativa e di una guida normativa più dettagliata”. Il dato più rilevante, secondo Troskie, è che Dora si sta dimostrando uno strumento capace di spingere le organizzazioni a valutare la resilienza dei dati in modo sistemico.
Il 22% delle aziende partecipanti afferma infine che il disegno complessivo del regolamento avrebbe potuto essere semplificato per facilitare il processo di compliance. Le richieste principali riguardano una maggiore chiarezza dei requisiti, una strutturazione più modulare e linee guida più specifiche per quanto concerne la gestione delle terze parti. Questa osservazione si inserisce in un contesto in cui la necessità di strumenti di orientamento e valutazione condivisi viene percepita come sempre più urgente.
Proprio per supportare questo tipo di esigenze, Veeam e McKinsey hanno collaborato alla creazione del primo modello di maturità per la resilienza dei dati (Data Resilience Maturity Model, Drmm), lanciato nel primo trimestre dell’anno. Si tratta di un framework metodologico che consente alle aziende di misurare la propria resilienza attraverso un approccio integrato che include IT, sicurezza e compliance. Il modello è stato sviluppato sulla base di una ricerca che ha coinvolto oltre 500 decision maker in ambito IT, sicurezza e operations, e validato attraverso l’analisi di casi reali. La finalità principale del Drmm è quella di offrire una roadmap di miglioramento continua, orientata sia al rispetto delle normative come Dora sia all’adozione di una cultura operativa della resilienza.
Conclude Troskie: “Dora non riguarda solo la conformità, ma anche il guidare una rivalutazione olistica della resilienza dei dati digitali” e il regolamento staa iniziando a produrre un impatto strutturale in questo senso. L’obiettivo delle istituzioni europee è proprio quello di spingere il settore a una riformulazione profonda dei propri meccanismi di difesa, superando l’approccio reattivo e puntuale in favore di un modello sistemico e proattivo.
© RIPRODUZIONE RISERVATA
