Il regolamento (UE) 2022/2554 - Digital Operational Resilience Act (DORA) - è in vigore dal gennaio 2025. Se siete un CISO, un responsabile del rischio informatico o un architetto della conformità presso un'entità finanziaria regolamentata, siete già informati. La domanda a cui la maggior parte delle aziende non ha ancora risposto è ingannevolmente specifica: cosa fa richiesta di integrità dei dati verificabile del vostro stack ICT? Un sondaggio ha rilevato che 96% delle aziende dell'area EMEA considerano insufficiente il loro attuale livello di resilienza digitale.
Qui è possibile rinforzare e imparare:
- ciò che dice lo standard di integrità del DORA - nella sua stessa lingua;
- dove i sistemi standard sono carenti;
- come si presenta un controllo dell'integrità tecnicamente difendibile;
- e quali strumenti operativi rispondono agli obblighi di disponibilità e continuità che lo accompagnano.
Cosa dice in realtà il DORA sull'integrità dei dati
DORA utilizza l'integrità come obbligo specifico e ricorrente, non come principio generale. L'articolo 9, paragrafo 2, stabilisce la linea di base:
"Le entità finanziarie devono progettare, acquistare e implementare politiche, procedure, protocolli e strumenti di sicurezza delle TIC... per mantenere standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati, sia a riposo, che in uso o in transito"."
L'articolo 12, paragrafo 7, stabilisce il limite massimo:
"Quando si riprendono da un incidente legato alle TIC, le entità finanziarie devono eseguire i controlli necessari, compresi eventuali controlli multipli e riconciliazioni, al fine di garantire il mantenimento del massimo livello di integrità dei dati."
Tale obbligo di riconciliazione richiede un punto di riferimento fisso - una linea di base di integrità verificabile in modo indipendente rispetto alla quale i dati recuperati possono essere controllati. L'articolo 18, paragrafo 1, lettera d), lega l'integrità alla classificazione degli incidenti. L'articolo 30, paragrafo 2, lettera c), estende l'obbligo ai contratti TIC di terzi. L'integrità dei dati è un requisito sistemico per tutte le operazioni e la catena di fornitura..
Il divario che la maggior parte delle aziende non ha individuato
La maggior parte delle entità regolamentate dispone già di SharePoint, Salesforce, Dynamics 365, Google Workspace, Microsoft 365 o piattaforme equivalenti che producono log di accesso, cronologie delle versioni e timestamp. Il presupposto è che questo costituisca un adeguato controllo dell'integrità. Non è così.
ENISA'La mappatura degli standard tecnici nell'ambito dell'EU Cyber Resilience Act afferma che l'integrità dei dati "dovrebbe essere garantita utilizzando tecnologie attuali e non obsolete" e che i sistemi devono essere progettati tenendo conto della "protezione delle prove" - perché se l'accesso ai registri è compromesso, un attaccante può cancellare le proprie tracce.
Un registro interno memorizzato all'interno dello stesso sistema può essere alterato. Non è in grado di dimostrare la manomissione. Quando un ente normativo chiede di dimostrare che un file esisteva in uno stato specifico in un momento specifico e non è stato alterato da allora, un timestamp interno non risponde a questa domanda in modo indipendente. GDPR Articolo 5, paragrafo 2 pone l'onere della prova a carico del controllore: dimostrare la conformità, non affermarla.
Come si presenta in realtà l'integrità verificabile
Il DORA non prescrive un metodo tecnico. Prescrive un risultato: dati autentici, tracciabili, inattaccabili e verificabili in modo indipendente per tutto il loro ciclo di vita.
Un percorso tecnicamente difendibile è l'ancoraggio crittografico degli hash. Un'impronta digitale del file viene generata al momento della creazione o dell'ultima modifica autorizzata e ancorata a un libro mastro pubblico immutabile. Il contenuto del documento non entra mai nella catena: la riservatezza è preservata per scelta. Qualsiasi modifica successiva produce un hash diverso. La divergenza è matematicamente certa e verificabile in modo indipendente senza accesso ai contenuti sensibili..
Il sito Documento sulla stabilità finanziaria della Banca d'Inghilterra per il 2024 sulla resilienza operativa ha osservato che le società finanziarie "stanno esplorando il potenziale della tecnologia del libro mastro distribuito per portare efficienza ai processi e alle transazioni finanziarie... probabilmente avrà applicazioni anche nel sistema finanziario tradizionale"."
Truth Enforcer Il sistema è in grado di rendere operativo questo aspetto: ancoraggio dell'hash a una blockchain pubblica, rilevamento istantaneo delle manomissioni, verifica indipendente senza esposizione dei contenuti e integrazione con SharePoint, Salesforce, Google Workspace e altri. Converte l'obbligo di integrità della DORA da una dichiarazione politica a un fatto dimostrabile e verificabile..
Integrità nella resilienza operativa e nella governance del rischio
L'articolo 5(2) della DORA pone la governance del rischio ICT a livello di consiglio di amministrazione. L'organo di gestione deve approvare, supervisionare e rivedere la politica di continuità operativa e i piani di ripristino. Deloitte inquadra direttamente il mandatoLe aziende devono dimostrare di essere "in grado di resistere, rispondere e riprendersi da tutti i tipi di interruzioni e minacce legate alle TIC"."
I record di integrità con ancoraggio a hash e i registri di continuità della sincronizzazione in tempo reale non sono preferenze tecnologiche. Sono prove documentate di conformità con gli obblighi che il consiglio di amministrazione è legalmente tenuto a controllare. Il principio di responsabilità del GDPR chiude l'argomento: l'onere della prova è a carico della vostra organizzazione, che deve superare il controllo.
Lo standard di integrità del DORA è diretto e già in vigore. La maggior parte degli istituti finanziari dispone di registri di accesso. La maggior parte non dispone di registri di integrità verificabili in modo indipendente e in grado di evidenziare eventuali manomissioni. Questo è il divario.
Il vostro framework di rischio ICT dovrebbe essere in grado di produrre un record di integrità verificabile in modo indipendente per un file specifico in un momento specifico, questo è il livello standard che volete, il più alto.
.
Contattateci per lo standard di integrità DORA: https://www.connecting-software.com/truth-enforcer-sign-up/
O
Provatelo GRATUITAMENTE:
Verificatore di verità per i creatori di PI: https://truth-verifier.com/landing
Verificatore di verità per giornalisti: https://truthverifier.news/landing
.
Esplorate la sincronizzazione Microsoft per la continuità e la disponibilità aziendale: https://www.connecting-software.com/microsoft-synchronization/
Da Francisco Rodrigues, Responsabile di prodotto
"Scrivo di come le integrazioni software possano adattarsi agli ambienti aziendali e rispondere alle esigenze specifiche del settore. Voglio mostrare alle aziende la strada per snellire i processi, eliminare i colli di bottiglia e garantire la conformità, mettendo a disposizione dei team e dei dirigenti C-suite gli strumenti giusti".
Letture correlate
Integrità dei dati DORA: Cosa richiede in realtà lo “standard più elevato
Il problema delle modifiche: SEC Rule 613 - Conformità CAT con dati che possono essere provati come mai toccati
Riforma del diritto testamentario del Regno Unito 2025: Prepararsi alla verifica digitale indipendente prima che arrivi la legge