Articoli DORA 26 & 27: Requisiti Principali E Come Zerberos Può Aiutare

Introduzione

La Digital Operational Resilience Act (DORA) è un regolamento dell’UE volto a rafforzare la resilienza operativa degli enti finanziari contro le interruzioni ICT. Tra le sue disposizioni, gli articoli 26 e 27 stabiliscono requisiti specifici per i test avanzati delle funzioni critiche e per le qualifiche dei team di test.

Articolo 26: Test avanzati guidati dalle minacce

L’articolo 26 richiede agli enti finanziari di eseguire test avanzati, in particolare i test di penetrazione guidati dalle minacce (TLPT), almeno una volta ogni tre anni (Digital Operational Resilience Act (DORA), Article 26). Questi test devono coprire le funzioni critiche o importanti e sono eseguiti su sistemi di produzione live, compresi tutti i sistemi ICT sottostanti e i fornitori esterni (Digital Operational Resilience Act (DORA), Article 26). L’ambito del test è convalidato dall’autorità competente; è possibile effettuare test congiunti con fornitori terzi; le istituzioni creditizie considerate significative devono affidarsi a tester esterni; e i tester interni devono coinvolgere tester esterni ogni terzo test (Digital Operational Resilience Act (DORA), Article 26).

Articolo 27: Requisiti per i tester

L’articolo 27 si concentra sulle qualifiche dei team che eseguono i TLPT. I tester devono avere la massima idoneità e reputazione e possedere solide competenze tecniche e organizzative in materia di threat intelligence, penetration testing e red teaming (Digital Operational Resilience Act (DORA), Article 27). Devono essere certificati da un organismo di accreditamento e fornire assicurazioni o rapporti di audit indipendenti; devono inoltre essere coperti da assicurazione di responsabilità professionale (Digital Operational Resilience Act (DORA), Article 27). Quando vengono utilizzati tester interni, l’autorità competente deve approvarli, verificare che dispongano delle risorse adeguate e garantire l’assenza di conflitti di interesse. Inoltre, il fornitore di threat intelligence deve essere sempre esterno (Art. 27 Requirements for testers for the carrying out of TLPT).

Cosa includono i test?

Le norme tecniche di regolamentazione (RTS) della DORA ampliano gli articoli 26 e 27 stabilendo come devono essere eseguiti i TLPT. Il programma di test comprende documenti di definizione dell’ambito che identificano le funzioni critiche, una fase obbligatoria di “purple team” che favorisce la collaborazione tra difensori e aggressori, e una dettagliata rendicontazione ai regolatori (DORA Penetration Testing & TLPT Requirements Explained). Le RTS impongono inoltre una regola del doppio fornitore: il fornitore di threat intelligence e il fornitore del red team devono essere entità separate (DORA Penetration Testing & TLPT Requirements Explained). Oltre ai TLPT, la DORA incoraggia un’ampia gamma di valutazioni, metodologie e strumenti, seguendo un approccio basato sul rischio (Chapter IV – Digital operational resilience testing (Art. 24-27)). Valutazioni di vulnerabilità, revisioni delle configurazioni ed esercitazioni basate su scenari completano i TLPT per costruire un programma completo di test di resilienza.

Pubblico target e responsabilità

I requisiti degli articoli 26 e 27 si applicano a un’ampia gamma di enti finanziari regolamentati dalla DORA, tra cui banche, compagnie di assicurazione, società di investimento, istituti di pagamento e emittenti di moneta elettronica. Anche i fornitori di servizi ICT terzi che supportano funzioni critiche possono rientrare nell’ambito. Dirigenti e responsabili della conformità in queste organizzazioni devono garantire che i test avanzati siano programmati almeno ogni tre anni, che l’ambito copra tutte le funzioni critiche e che vengano ingaggiati tester qualificati e indipendenti. Devono inoltre coordinarsi con le autorità competenti per convalidare gli ambiti dei test e garantire una corretta rendicontazione.

Come Zerberos può aiutare

Zerberos è una ditta individuale fondata da Andriu Isenring (CISSP), specializzata in penetration testing, red-team engagement e servizi di threat intelligence. Possiedo certificazioni riconosciute e una vasta esperienza nella conduzione di TLPT per istituzioni finanziarie. Opero in modo indipendente e mantengo i più alti standard di reputazione, garantendo la conformità ai requisiti dell’Articolo 27. Sfruttando capacità separate di threat intelligence e red team, rispetto la regola del doppio fornitore di DORA. Il mio approccio purple-team allinea tester e difensori per massimizzare l’apprendimento e la resilienza. Come azienda svizzera con capacità multilingue, posso supportare organizzazioni nei mercati di lingua tedesca, inglese e italiana. Fornisco documenti di scoping chiari, piani di test basati sul rischio e reportistica completa che soddisfano le aspettative normative. Con una forte attenzione alla resilienza operativa, Zerberos è un partner affidabile per aiutare le entità finanziarie a soddisfare i rigorosi requisiti di DORA.

Conclusione

Gli articoli DORA 26 e 27 introducono requisiti ambiziosi per i test avanzati e le qualifiche dei team di testing. Imponendo test di penetrazione threat-led regolari su sistemi in produzione e definendo criteri rigorosi per i tester, il regolamento mira a rafforzare la resilienza operativa del settore finanziario. Le organizzazioni dovrebbero iniziare a pianificare i loro programmi TLPT ora, assicurandosi di coinvolgere partner affidabili e certificati e di allineare gli ambiti dei test alle aspettative normative. Come fondatore di Zerberos, offro l’esperienza, l’indipendenza e il supporto multilingue necessari per navigare questo panorama complesso e fornire test di alta qualità che soddisfano gli standard DORA.