Vai al contenuto
Prepararsi alla scadenza del DORA del 2025

Questo blog è stato pubblicato per la prima volta nel 2025 ed è stato aggiornato.

L'adozione del Digital Operational Resilience Act (DORA) da parte dell'UE ha segnato un cambiamento fondamentale nel modo in cui gli istituti finanziari devono affrontare la cybersecurity, la gestione del rischio e la continuità operativa. Per la prima volta, le autorità di regolamentazione non si sono limitate a menzionare la sicurezza delle identità, ma l'hanno inserita direttamente nel tessuto della compliance.

Questa evoluzione riconosce una realtà che molti professionisti della sicurezza conoscono da anni: l'identità è il fondamento della sicurezza digitale e un perno della resilienza operativa. Vediamo cosa è cambiato, l'impatto che il DORA avrà sulla sicurezza delle identità, le sfide che le istituzioni finanziarie devono affrontare e come i CISO devono prepararsi per garantire che le loro organizzazioni soddisfino i requisiti del DORA entro la scadenza del 2025.

La sicurezza dell'identità non è più solo compito dell'IT

Secondo il DORA, ogni operazione digitale all'interno di un istituto finanziario - dai pagamenti all'onboarding dei clienti ai sistemi di trading - deve essere sicura, resiliente e continuamente disponibile. E questo pone la sicurezza delle identità in primo piano. Perché se non è possibile verificare chi accede a cosa, quando e da dove, la strategia di identità crolla.

Nella nuova realtà normativa DORA, l'identità non è più una funzione IT di back-office. È ora un imperativo strategico di cui fanno parte i leader del rischio, i responsabili della conformità e i dirigenti aziendali.

L'impatto del DORA sulla sicurezza dell'identità

Diversi articoli del DORA richiedono direttamente o implicitamente solide capacità di gestione dell'identità e dell'accesso (IAM). Ad esempio:

  • Controllo degli accessi e governance: Il DORA impone alle istituzioni di gestire i diritti di accesso degli utenti in tempo reale e di effettuare revisioni periodiche degli accessi per prevenire l'insinuarsi di privilegi e accessi non autorizzati.
  • Requisiti di autenticazione: I metodi di autenticazione forti, come l'autenticazione a più fattori (MFA), dovrebbero proteggere i sistemi da accessi non autorizzati.
  • Continuità operativa: Le istituzioni devono garantire che le funzioni critiche rimangano disponibili durante gli incidenti informatici, le interruzioni o le interruzioni. Ciò include il mantenimento dei servizi di identità anche in caso di costrizione.
  • Monitoraggio e rilevamento delle anomalie: Le organizzazioni devono rilevare, rispondere e recuperare rapidamente gli incidenti informatici. Le anomalie legate all'identità, come i modelli di accesso insoliti, sono indicatori cruciali.

Questi requisiti sottolineano la necessità di un programma di sicurezza dell'identità moderno e consapevole dei rischi.

Il 2025 segna l'anno in cui la conformità passa alle fasi di applicazione, il che significa che le organizzazioni che non rispettano il DORA rischiano multe pari a 2% del fatturato globale medio o a 1% del fatturato giornaliero medio, con l'aggiunta di multe giornaliere imposte alle organizzazioni non conformi fino a quando non raggiungono la conformità. La posta in gioco è ora alta.

Le sfide dell'identità per le istituzioni finanziarie

Nonostante l'aumento degli investimenti nella sicurezza, molte istituzioni finanziarie si trovano ancora a dover affrontare lacune legate all'identità nelle loro funzioni operative e di sicurezza, tra cui:

  • Sistemi IAM legacy che mancano di adattabilità e visibilità
  • Strumenti di identità isolati in ambienti on-premise e cloud
  • Metodi di autenticazione deboli che sono vulnerabili al phishing
  • Processi di governance manuali che rendono la rendicontazione di conformità lenta e soggetta a errori

Queste sfide lasciano le organizzazioni esposte, non solo agli aggressori, ma anche ai controlli normativi e alle multe per la conformità.

Cosa significa per i CISO

I CISO del settore finanziario devono prendere l'iniziativa di allineare la strategia di identità al DORA. Ciò significa che:

  • Adottare accesso basato sul rischio modelli che regolano i controlli in base al contesto e al comportamento
  • Garantire continuità aziendale con failover ibrido per autenticazione e accesso
  • Rafforzamento governance con provisioning, revisioni e certificazione degli accessi automatizzati.
  • Abbracciare autenticazione senza password per eliminare i vettori di attacco più comuni
Scenari di implementazione di DORA: esempi concreti

Il testo normativo del DORA è chiaro, ma la sua attuazione varia a seconda delle dimensioni, della struttura e della situazione di partenza di ciascuna organizzazione. Gli scenari riportati di seguito illustrano come le organizzazioni del settore dei servizi finanziari, con profili diversi, stiano affrontando nella pratica la conformità al DORA.

Scenario 1: Grande banca europea che si prepara all’entrata in vigore del DORA

Sfida Una delle principali banche al dettaglio dell’UE, presente in dodici paesi, si trova ad affrontare un problema comune: la sua infrastruttura di gestione delle identità si è ampliata nel corso di decenni di acquisizioni, portandola ad avere sette sistemi IAM distinti, politiche di autenticazione multifattoriale (MFA) non uniformi tra le diverse unità aziendali e cicli di revisione degli accessi che richiedono fino a trenta giorni per essere completati. Alla luce dei requisiti dell’articolo 9 del regolamento DORA in materia di controllo degli accessi e governance continua, questa frammentazione rappresenta sia una lacuna di conformità sia un rischio operativo.

Requisiti DORA applicabili

  • Articolo 9: Quadro di riferimento per la gestione dei rischi informatici, controllo degli accessi e applicazione del principio del privilegio minimo
  • Articolo 10: Rilevamento di attività anomale e incidenti relativi alle TIC
  • Articolo 17: Processo di gestione degli incidenti relativi alle TIC

Fasi di implementazione

  1. Consolidare i sistemi di gestione delle identità in un'unica piattaforma (RSA ID Plus) a supporto di ambienti cloud, on-premises e ibridi in tutte le filiali.
  2. Implementare l'autenticazione a più fattori (MFA) resistente al phishing (Serie RSA iShield Key 2) per tutti gli account con privilegi e quelli amministrativi entro novanta giorni.
  3. Automatizza i flussi di lavoro relativi alla certificazione degli accessi e al provisioning utilizzando Governance e ciclo di vita RSA, sostituendo le revisioni manuali effettuate tramite fogli di calcolo.
  4. Abilita RSA Risk AI per l'analisi comportamentale continua e il rilevamento delle anomalie in tempo reale.
  5. Creare una traccia di audit IAM centralizzata che si integri direttamente nei dashboard di reporting sulla conformità DORA.

Indicatori di successo

  • Il ciclo di revisione delle richieste di accesso è stato ridotto da trenta a tre giorni
  • 100% di account privilegiati registrati nell'autenticazione multifattoriale (MFA) resistente al phishing entro sessanta giorni dall'implementazione della piattaforma
  • Rapporti di certificazione degli accessi, pronti per la revisione contabile, generati automaticamente con cadenza trimestrale
  • Durante la prima ispezione normativa DORA non sono stati segnalati incidenti relativi all'autenticazione

Lezione fondamentale Il consolidamento non è solo un progetto di conformità, ma anche un progetto di resilienza. Una piattaforma IAM unificata elimina i punti ciechi che si creano nelle interfacce tra sistemi scollegati, proprio dove gli aggressori cercano le falle.

Scenario 2: Società di servizi finanziari di medie dimensioni che gestisce un’infrastruttura ibrida

Sfida Sistemi di trading principali in locale, applicazioni rivolte ai clienti su Azure e una combinazione di strumenti SaaS utilizzati in tutta l’azienda. In caso di interruzioni del servizio cloud o di problemi di rete in locale, in passato gli errori di autenticazione hanno impedito al personale l’accesso ai sistemi critici per ore, violando direttamente i requisiti di continuità operativa previsti dall’articolo 11 del DORA.

Requisiti DORA applicabili

  • Articolo 11: Continuità operativa delle TIC e ripristino in caso di emergenza
  • Articolo 9: Controlli di accesso alla rete e ai sistemi
  • Articolo 30: Requisiti contrattuali per i fornitori terzi di servizi ICT

Fasi di implementazione

  1. Distribuzione Failover ibrido di RSA ID Plus per garantire che i servizi di autenticazione rimangano disponibili in caso di guasto dei componenti cloud o on-premises, con un failover automatico tra gli ambienti in meno di 60 secondi.
  2. Implementare Blocco mobile RSA per garantire l'esecuzione dei controlli sullo stato dei dispositivi da parte del personale che accede ai sistemi di trading da dispositivi mobili o non gestiti.
  3. Mappare tutte le dipendenze relative all’autenticazione da parte di terzi nel settore delle TIC e verificare la conformità contrattuale al regolamento DORA ai sensi dell’articolo 30.
  4. Eseguire simulazioni trimestrali di ripristino di emergenza che includano scenari di guasto del sistema di autenticazione, documentando gli obiettivi di tempo di ripristino (RTO) e gli obiettivi di punto di ripristino (RPO) ai fini della revisione normativa.

Indicatori di successo

  • La disponibilità dell'autenticazione durante le interruzioni dell'infrastruttura è migliorata passando da 67% a 99,9%
  • Il tempo di ripristino (RTO) per i servizi di identità è stato ridotto da 4 ore a meno di 3 minuti
  • Tutti i contratti con soggetti terzi nel settore delle TIC sono stati aggiornati per includere le disposizioni in materia di resilienza previste dal DORA entro il periodo di preparazione di 12 mesi
  • I risultati della simulazione di ripristino sono stati documentati e sono pronti per essere esaminati dall'autorità competente

Lezione fondamentale La continuità operativa nell'ambito della normativa DORA non consiste solo nel prevenire gli attacchi, ma anche nel garantire il funzionamento del sistema durante gli stessi. Il failover ibrido per l'autenticazione è fondamentale ai fini della conformità alla normativa DORA tanto quanto l'autenticazione forte stessa.

Scenario 3: Società di gestione degli investimenti che reagisce a un incidente informatico ai sensi del DORA

Sfida Un gestore patrimoniale con sede nell’UE, con un patrimonio in gestione (AUM) pari a 40 miliardi di euro, subisce un attacco basato sulle credenziali che prende di mira la sua piattaforma di amministrazione dei fondi. Una campagna di phishing di tipo “adversary-in-the-middle” compromette un account di servizio, consentendo il movimento laterale all’interno della rete. In base al quadro di classificazione e segnalazione degli incidenti previsto dal regolamento DORA, l’organizzazione è tenuta a notificare l’accaduto all’autorità competente entro 24 ore dalla classificazione dell’incidente come «grave», nonché a presentare una relazione intermedia entro 72 ore e una relazione finale entro un mese.

Requisiti DORA applicabili

  • Articolo 17: Gestione, classificazione e segnalazione degli incidenti relativi alle TIC
  • Articolo 19: Obblighi e tempistiche relativi alla segnalazione di incidenti gravi
  • Articolo 9: Autenticazione e controlli di accesso che devono rimanere operativi durante l'incidente

Cronologia dell'incidente e misure adottate

  • Ora 0: RSA Risk AI rileva un comportamento anomalo nell'autenticazione: un account di servizio che effettua l'accesso da una posizione geografica atipica e accede a sistemi al di fuori del suo normale schema di accesso. Viene attivata una sospensione automatica dell'accesso in attesa di ulteriori indagini.
  • Ora 2: Il team di sicurezza conferma la violazione. L'account viene disattivato tramite RSA ID Plus in meno di 60 secondi. Il movimento laterale viene contenuto.
  • Ora 6: La classificazione interna conferma che il caso in questione soddisfa la soglia di “incidente grave” definita dal DORA, in base all’impatto sulla disponibilità dei sistemi fondamentali.
  • Ora 18: Notifica iniziale presentata all’autorità competente — entro il termine di 24 ore — indicante il tipo di incidente, le motivazioni alla base della classificazione e le misure di contenimento immediate adottate.
  • Ora 60: È stata presentata una relazione intermedia — entro il termine previsto di 72 ore — contenente la cronologia completa dell'incidente, l'analisi delle cause alla radice (autenticazione multifattoriale (MFA) vulnerabile al phishing sull'account compromesso), i sistemi interessati e le misure correttive adottate.
  • Settimana 4: È stato presentato il rapporto finale sull'incidente, che include l'analisi post-incidente, i miglioramenti apportati ai sistemi di controllo (implementazione dell'autenticazione a più fattori resistente al phishing su tutti gli account di servizio) e le modifiche alle soglie di monitoraggio.

Indicatori di successo

  • L'incidente è stato risolto entro 2 ore dalla sua individuazione
  • Sono state rispettate tutte e tre le scadenze previste dal DORA per la presentazione delle relazioni: 24 ore per quella iniziale, 72 ore per quella intermedia e 1 mese per quella finale
  • Nessuna interruzione dei servizi di amministrazione dei fondi durante l'incidente grazie al failover dell'autenticazione
  • Rimedio immediato: gli account di servizio con codice 100% sono stati migrati verso un sistema di autenticazione resistente al phishing entro 30 giorni dall'incidente

Lezione fondamentale I requisiti di segnalazione degli incidenti previsti dal programma DORA premiano le organizzazioni che hanno già investito in sistemi di rilevamento e contenimento rapidi. RSA Risk AI L'analisi comportamentale ha ridotto il tempo che intercorre tra l'inizio dell'attacco e il suo contenimento da una media potenziale di 254 giorni (lo standard del settore per le violazioni delle credenziali) a meno di 2 ore, trasformando la narrativa sulla conformità da “abbiamo subito una violazione” a “abbiamo individuato, contenuto e segnalato la violazione nel quadro normativo del DORA”.”

L'approccio di RSA alla sicurezza delle identità conforme a DORA

In RSA aiutiamo le istituzioni finanziarie a rendere operativa l'identità come pilastro della resilienza. La nostra piattaforma per l'identità orientata alla sicurezza, RSA ID Plus, è costruito per ambienti regolamentati come quello finanziario.

Insieme, queste soluzioni forniscono i controlli necessari per allinearsi al DORA e rafforzare la vostra organizzazione al di là della conformità.

DORA segna una svolta per l'identità nei servizi finanziari. Eleva l'IAM da una questione tecnica a un mandato normativo e a un fattore strategico di resilienza operativa.

Gli istituti finanziari che adottano strategie di sicurezza identity-first non solo soddisfano i requisiti DORA, ma ottengono anche un vantaggio competitivo in termini di sicurezza, agilità e fiducia dei clienti. È il momento di ripensare la propria posizione in materia di identità prima che inizi l'applicazione del DORA.

Domande frequenti sulla conformità alla normativa DORA
Qual è il termine esatto entro il quale gli istituti finanziari devono adeguarsi alla normativa DORA?

Il Digital Operational Resilience Act (DORA) è entrato in vigore il 16 gennaio 2023 ed è diventato pienamente applicabile a partire dal 17 gennaio 2025 — la data a partire dalla quale tutti gli enti finanziari interessati e i fornitori terzi di servizi ICT critici erano tenuti a conformarsi alle disposizioni e in cui sono stati attivati i poteri di applicazione in tutti i 27 Stati membri dell’UE. Non è previsto alcun periodo di tolleranza per gli enti che non abbiano ancora soddisfatto i requisiti; a partire da tale data, le autorità competenti possono avviare indagini e irrogare sanzioni.

Per le organizzazioni che stanno ancora lavorando per raggiungere la piena conformità, la priorità è dimostrare di disporre di un programma di conformità documentato e in costante evoluzione, in particolare nel caso di infrastrutture di gestione delle identità legacy complesse che non possono essere modernizzate dall’oggi al domani.

Quali sono le sanzioni specifiche previste in caso di inadempienza alla normativa DORA?

Il regolamento DORA istituisce un regime sanzionatorio a due livelli. Enti finanziari rischiano multe fino a 2% del fatturato annuo totale a livello mondiale o 1% del fatturato medio giornaliero a livello mondiale—a seconda di quanto risulti dalla valutazione dell’autorità competente—con l’applicazione della tariffa giornaliera a titolo di sanzione continuata fino al raggiungimento della conformità. I singoli dirigenti ritenuti responsabili delle violazioni possono incorrere in sanzioni personali fino a €1,000,000.

Fornitori di ICT di terze parti di importanza critica (CTPP) Le entità designate dalle autorità di vigilanza europee sono soggette a un’esposizione maggiore: fino a €5,000,000 per ogni violazione, con multe a livello individuale fino a €500,000, oltre a penali giornaliere fino a 1% del fatturato medio giornaliero globale per un periodo massimo di sei mesi. Oltre alle sanzioni pecuniarie, le autorità competenti possono rendere pubbliche le violazioni del DORA, creando un rischio reputazionale che, per gli istituti finanziari soggetti a regolamentazione, può superare il costo finanziario della multa stessa.

Quali istituti finanziari sono soggetti ai requisiti previsti dal DORA?

Il regolamento DORA si applica praticamente all’intero settore finanziario dell’UE. Tra i soggetti interessati figurano gli enti creditizi, gli istituti di pagamento e di moneta elettronica, le imprese di investimento, i fornitori di servizi relativi alle cripto-attività (CASP), i depositari centrali di titoli, le controparti centrali, le sedi di negoziazione, i gestori di fondi di investimento alternativi, le imprese di assicurazione e di riassicurazione, le agenzie di rating del credito, le società di revisione contabile di enti di interesse pubblico e i fornitori di servizi di crowdfunding.

È fondamentale sottolineare che l’ambito di applicazione del DORA si estende oltre le istituzioni con sede nell’UE. Anche gli enti finanziari non UE che operano all’interno dell’UE e i fornitori terzi di servizi ICT — compresi i fornitori di servizi cloud — che prestano servizi a enti finanziari soggetti alla normativa UE sono soggetti ai requisiti del DORA ai sensi delle disposizioni contrattuali dell’articolo 30. Le società di servizi finanziari con sede negli Stati Uniti che operano nell’UE o hanno clienti con sede nell’UE non dovrebbero dare per scontato di non rientrare nel campo di applicazione.

Quali misure di sicurezza relative all'identità richiede specificatamente la DORA?

Il regolamento DORA non impone l’uso di tecnologie specifiche, ma i suoi requisiti in materia di gestione dei rischi e controllo degli accessi, di cui agli articoli 9 e 10, si traducono direttamente in funzionalità IAM obbligatorie. Gli istituti finanziari devono implementare quanto segue

  • Autenticazione forte Per tutti i sistemi: è espressamente richiesta l'adozione di politiche e protocolli per l'autenticazione a più fattori (MFA), con metodi resistenti al phishing raccomandati per gli accessi privilegiati e ad alto rischio.
  • Controllo degli accessi basato sul principio del privilegio minimo: Gli utenti e i sistemi dovrebbero disporre solo dei diritti di accesso necessari allo svolgimento delle loro funzioni, che devono essere rivisti costantemente e adeguati in tempo reale.
  • Governance degli accessi: Sono necessarie revisioni periodiche e documentate degli accessi e cicli di certificazione, con procedure automatizzate di assegnazione e revoca dei diritti di accesso per prevenire l’espansione progressiva dei privilegi.
  • Rilevamento delle anomalie: Il monitoraggio continuo dei modelli di autenticazione e di accesso consente di individuare e reagire ad attività insolite che potrebbero indicare una violazione della sicurezza.
  • Continuità operativa dei servizi di identità: L'infrastruttura di autenticazione deve rimanere disponibile durante gli incidenti informatici e le interruzioni di servizio, con obiettivi di ripristino documentati.
  • Gestione della traccia di audit: È necessario che siano disponibili registri completi e a prova di manomissione di tutti gli eventi relativi all'identità e all'accesso, ai fini della verifica normativa e delle indagini sugli incidenti.

RSA ID Plus per i servizi finanziari corrisponde direttamente a ciascuno di questi requisiti.

In che modo il regolamento DORA si differenzia da altri regolamenti finanziari dell’UE, come la PSD2?

La Direttiva sui servizi di pagamento 2 (PSD2) si è concentrata in particolare sulla sicurezza dei pagamenti digitali e ha imposto ai fornitori di servizi di pagamento di segnalare gli incidenti gravi alle autorità di vigilanza entro due ore dalla loro individuazione. La DORA sostituisce le norme della PSD2 in materia di segnalazione degli incidenti per tutti i soggetti soggetti a entrambi i quadri normativi: l’Autorità bancaria europea ha formalmente abrogato le proprie linee guida sulla segnalazione degli incidenti gravi ai sensi della PSD2 a partire dal 17 gennaio 2025, sostituendole con il quadro armonizzato della DORA.

La differenza fondamentale riguarda l’ambito di applicazione: la PSD2 riguardava la sicurezza dei pagamenti; la DORA riguarda l’intero panorama dei rischi ICT di tutti gli enti finanziari, per tutti gli incidenti operativi e di sicurezza — non solo quelli relativi ai pagamenti. Anche il calendario per la segnalazione degli incidenti previsto dalla DORA è più strutturato: 24 ore per la notifica iniziale, 72 ore per una relazione intermedia, e un mese per una relazione finale. La DORA introduce inoltre un’autorità di vigilanza diretta sui soggetti terzi critici nel settore delle TIC, un meccanismo di responsabilità che non ha equivalenti nella PSD2.

Cosa succede se un istituto finanziario subisce un incidente informatico ai sensi del DORA?

Ai sensi degli articoli 17 e 19 del DORA, le istituzioni devono seguire una procedura definita di risposta agli incidenti e di segnalazione. In primo luogo, l’incidente deve essere rilevato, registrato e classificato: il DORA definisce i criteri per stabilire cosa costituisca un incidente “grave” in base all’impatto sulla disponibilità del servizio, al numero di clienti coinvolti, alla diffusione geografica e all’impatto economico. Una volta classificato come grave, decorre il termine per la segnalazione:

  1. Notifica iniziale all’autorità competente entro 24 ore di classificazione come incidente grave
  2. Relazione intermedia all'interno 72 ore con una descrizione dettagliata dell'incidente, delle misure di contenimento adottate e della valutazione iniziale delle cause alla base dell'incidente
  3. Relazione finale all'interno un mese della relazione intermedia, compresa l’analisi completa successiva all’incidente, le misure correttive permanenti e gli insegnamenti tratti dall’esperienza

Durante l’intero incidente, i servizi di identificazione e autenticazione devono rimanere operativi. Il regolamento DORA richiede espressamente che i piani di continuità operativa coprano l’infrastruttura ICT, compresi i sistemi di accesso e autenticazione: gli istituti non possono addurre un incidente in corso come giustificazione per l’indisponibilità dei sistemi di autenticazione.

Le soluzioni di gestione delle identità basate sul cloud sono in grado di soddisfare i requisiti del DORA?

Sì, a condizione che la soluzione basata sul cloud e i relativi termini contrattuali soddisfino i requisiti previsti dal DORA per i fornitori di servizi ICT di terze parti ai sensi dell’articolo 30. I fornitori di identità cloud devono offrire garanzie contrattuali in merito alla disponibilità del servizio, ai tempi di notifica degli incidenti, ai diritti di audit e alla portabilità dei dati. Gli enti che si affidano esclusivamente a un servizio di autenticazione cloud senza una funzionalità di failover ibrida potrebbero avere difficoltà a dimostrare la continuità operativa richiesta dal regolamento DORA.

RSA ID Plus è stato progettato appositamente per questa sfida: supporta l'autenticazione su cloud, in ambiente ibrido e on-premises da un'unica piattaforma, con failover ibrido garantendo che i servizi di autenticazione rimangano disponibili anche in caso di interruzione della connettività cloud. Ciò significa poter beneficiare dei vantaggi in termini di conformità offerti dalla gestione cloud — amministrazione centralizzata, aggiornamenti automatici, scalabilità — senza il rischio di un “punto singolo di guasto” che le autorità di regolamentazione stanno esaminando con attenzione.

Quali documenti sono necessari per dimostrare la conformità alla normativa DORA?

La normativa DORA impone agli istituti finanziari di conservare e di essere in grado di presentare, su richiesta:

  • Documentazione relativa al quadro di riferimento per la gestione dei rischi nel settore delle TIC—politiche, procedure e controlli allineati ai requisiti DORA, esaminati e approvati dall’organo di gestione almeno una volta all’anno
  • Accedi ai registri delle revisioni—cicli di certificazione degli accessi, documentati e contrassegnati da data e ora, che dimostrino l’applicazione del principio del privilegio minimo e la revoca tempestiva dei diritti di accesso per il personale che ha lasciato l’azienda e per i ruoli modificati
  • Registri degli incidenti—un registro completo di tutti gli incidenti relativi alle TIC, con la loro classificazione, la cronologia, le misure di contenimento e gli esiti
  • Segnalazioni di incidenti gravi—tutte le notifiche presentate (iniziali, intermedie, finali) relative a qualsiasi incidente che soddisfi i criteri di classificazione come “grave” previsti dal DORA
  • Contratti ICT con soggetti terzi—Accordi conformi all’articolo 30 con tutti i fornitori di servizi ICT, compresi i fornitori di servizi di autenticazione cloud e di gestione delle identità
  • Piani di continuità operativa e di ripristino in caso di emergenza—piani documentati e testati relativi alla disponibilità del sistema di autenticazione, con risultati RTO/RPO registrati a seguito di simulazioni

Governance e ciclo di vita RSA automatizza la generazione e la gestione dei registri delle revisioni degli accessi e dei rapporti di conformità, riducendo da settimane a ore il tempo necessario per produrre documentazione pronta per la revisione.

Potresti essere interessato anche a...

Richiedi una demo

Richiedi una demo