Considerazioni per le entità finanziarie dell'UE: le entità finanziarie devono stabilire un framework interno di governance e controllo per la gestione dei rischi relativi alle ICT, nonché impegnarsi a monitorare costantemente questi rischi. Questi requisiti di gestione e monitoraggio dei rischi relativi alle ICT si estendono all'utilizzo di servizi ICT forniti da provider di terze parti.

Considerazioni per i fornitori di ICT: i fornitori di ICT devono essere in grado di supportare la gestione e il monitoraggio dei rischi relativi alle ICT dei clienti, inclusi i casi in cui la gestione di processi e sistemi sia responsabilità del fornitore. Inoltre, nel caso di fornitori di ICT critici, la nuova autorità primaria di sorveglianza valuterà i processi di gestione dei rischi del fornitore, inclusi i criteri di gestione dei rischi relativi alle ICT e i criteri di continuità aziendale per le ICT, nonché la risposta e i piani di ripristino per le ICT. 

Il supporto di Google Cloud: ancora prima di passare a Google Cloud, puoi utilizzare la nostra soluzione di analisi del rischio e individuazione degli asset critici per valutare l'attuale rischio IT della tua organizzazione, identificare dove si trovano gli asset critici e ricevere suggerimenti per migliorare la security posture e la resilienza. Abbiamo inoltre pubblicato indicazioni sulla gestione del rischio con i controlli e la gestione degli asset. 

Dopo il passaggio a Google Cloud, puoi utilizzare diversi strumenti per mappare e gestire le tue risorse cloud su base continuativa, tra cui Cloud Monitoring, Resource Manager, Infrastructure Manager e Cyber Insurance Hub. Le informazioni sull'approccio di Google alla gestione dei rischi sono disponibili nelle certificazioni e nei report di controllo di Google. 

Se hai bisogno di ulteriore assistenza, Mandiant (ora parte di Google Cloud) offre servizi di gestione dei rischi, tra cui un servizio operativo di gestione dei rischi informatici, un servizio di sicurezza per la modellazione delle minacce, un servizio di due diligence per la cybersicurezza e una valutazione del programma di cybersicurezza. Consulta anche la nostra Guida per il cliente al Risk Management ICT per ulteriori indicazioni.

Considerazioni per le entità finanziarie dell'UE: il DORA consolida i requisiti relativi alla segnalazione di incidenti del settore finanziario in un unico framework semplificato. Ciò significa che le entità finanziarie che operano in più settori o stati membri dell'UE non devono più attenersi a regimi di segnalazione paralleli e sovrapposti in situazioni che richiedono necessariamente tempi ridotti. 

Il DORA mira anche a gestire regimi paralleli di segnalazione degli incidenti, come la direttiva NIS2. Insieme, questi cambiamenti aiutano a fornire alle autorità di regolamentazione le informazioni di cui hanno bisogno, consentendo anche alle entità finanziarie di concentrarsi su altri aspetti critici della risposta agli incidenti. Le entità finanziarie devono segnalare gli incidenti in base a soglie definite secondo modelli e tempistiche specifici, nonché implementare procedure per documentare le cause principali e i miglioramenti in seguito agli incidenti. 

Considerazioni per i fornitori di ICT: i fornitori di ICT devono essere in grado di supportare i requisiti di segnalazione degli incidenti dei clienti. Inoltre, nel caso di fornitori di ICT critici, l'autorità primaria di sorveglianza valuterà direttamente i processi del fornitore per l'identificazione, il monitoraggio e la segnalazione tempestiva alle entità finanziarie degli incidenti concreti relativi alle ICT. 

Il supporto di Google Cloud: Google informerà i clienti i cui termini contrattuali sono stati aggiornati in base al DORA degli incidenti relativi alle ICT che influiscono sul loro utilizzo di Google Cloud. Forniremo queste comunicazioni senza costi aggiuntivi tramite i nostri canali di notifica esistenti (tra cui email, Personalized Service Health, la dashboard Service Health e Google Cloud Support Center. 

Ci impegniamo a darne comunicazione entro i tempi previsti e a fornire le informazioni necessarie alle entità finanziarie per facilitare la valutazione e la segnalazione in base ai requisiti del DORA.

Considerazioni per le entità finanziarie dell'UE: attingendo ad alcune iniziative esistenti dell'UE come il framework TIBER-EU, il DORA stabilisce un nuovo approccio per l'UE per quanto riguarda i test di resilienza operativa digitale. Per determinate entità finanziarie ciò include test di penetrazione avanzati basati su minacce con cadenza triennale. Grazie a una chiara definizione della metodologia di test e all'introduzione del riconoscimento reciproco dei risultati dei test, il DORA aiuta le entità finanziarie a continuare a creare e scalare le proprie capacità di test in modo da operare in tutta l'UE.  

Considerazioni per i fornitori di ICT: il DORA si rivolge direttamente al ruolo del fornitore di ICT nei test di penetrazione avanzati basati su minacce eseguiti da entità finanziarie. In particolare, il DORA consente di eseguire pool di test per gestirne l'impatto su servizi multi-tenant come i cloud pubblici. Inoltre, nel caso di fornitori di ICT critici, l'autorità primaria di sorveglianza valuterà direttamente i test dei sistemi, dell'infrastruttura e dei controlli relativi alle ICT. 

Il supporto di Google Cloud: Google parteciperà a test di penetrazione avanzati basati su minacce agevolando i pool di test da parte di un tester esterno, come descritto nell'articolo 26(4) del DORA. Siamo convinti che i pool di test siano il modo migliore per testare in modo efficace la resilienza operativa digitale di Google Cloud, gestendo al contempo i rischi intrinseci per altri clienti dei test in un ambiente multi-tenant.

Considerazioni per le entità finanziarie dell'UE: il DORA si basa sulle solide fondamenta stabilite dalle rispettive linee guida di outsourcing delle autorità di controllo europee e coordina ulteriormente i requisiti per la gestione dei rischi relativi alle ICT di terze parti in tutti i settori, compresi i requisiti per implementare un framework di gestione dei rischi relativi alle ICT di terze parti e per i contratti con i fornitori di ICT. Il DORA garantisce che rischi simili vengano gestiti in modo coerente nei vari settori e negli stati membri dell'UE, perciò consentirà alle entità finanziarie di consolidare e migliorare i propri programmi di gestione dei rischi relativi alle ICT di terze parti.

Considerazioni per i fornitori di ICT: i fornitori di ICT devono essere in grado di supportare i requisiti di gestione dei rischi di terze parti dei clienti. Inoltre, il DORA consentirà all'autorità primaria di sorveglianza di supervisionare direttamente i fornitori di ICT critici. Questo meccanismo creerà un canale di comunicazione diretto tra le autorità di regolamentazione e i fornitori di ICT designati tramite coinvolgimenti annuali, compresi piani di supervisione, ispezioni e suggerimenti. 

Il supporto di Google Cloud: Google offre alle entità finanziarie termini contrattuali aggiornati per Google Cloud, Google Workspace e SecOps Services, al fine di ottemperare alle principali disposizioni contrattuali di cui all'articolo 30. Se hai bisogno dei termini contrattuali relativi al DORA, contatta il tuo rappresentante Google Cloud per ulteriori dettagli. Abbiamo anche creato mappature all'articolo 30 per Google Cloud e Google Workspace per aiutarti a capire come i nostri contratti, controlli e processi possono aiutarti a soddisfare i requisiti del DORA.

Considerazioni per le entità finanziarie dell'UE: le considerazioni definite dal DORA per le entità finanziarie prevedono di condividere volontariamente informazioni e intelligence sulle cyber minacce con altre entità finanziarie e autorità di regolamentazione. 

Considerazioni per i fornitori di ICT: il DORA prevede che i fornitori di ICT vengano coinvolti nelle disposizioni per la condivisione delle informazioni che proteggono informazioni potenzialmente sensibili. Tuttavia, queste disposizioni devono ancora essere definite.  

Il supporto di Google Cloud: Google Cloud offre prodotti e servizi per aiutare i clienti a proteggersi proattivamente dalle minacce informatiche in linea con i requisiti del DORA. Pubblichiamo un report Threat Horizons trimestrale per fornire informazioni strategiche sulle minacce ai nostri clienti. I clienti possono sfruttare anche la risposta agli incidenti, i servizi di gestione dei rischi informatici e i servizi di sicurezza offensiva di Mandiant per difendersi e prepararsi agli incidenti informatici.

Il DORA è un regolamento dell'UE. Verrà applicato al settore dei servizi finanziari in tutti gli stati membri dell'UE. Il DORA aggiorna le regole esistenti e stabilisce un insieme avanzato di requisiti comuni per mitigare i rischi relativi alle ICT e migliorare la resilienza digitale nel sistema finanziario europeo. È importante sottolineare che il DORA introduce anche un framework per la supervisione diretta dei fornitori di ICT critici da parte delle autorità di regolamentazione finanziaria dell'UE, ovvero la European Banking Authority, la European Insurance and Occupational Pensions Authority e la European Securities and Markets Authority (nel complesso, le autorità di vigilanza europee).

Il DORA stabilisce un insieme avanzato di requisiti comuni per consentire alle entità finanziarie dell'UE di mitigare i rischi relativi alle ICT e migliorare la resilienza digitale nel sistema finanziario europeo. In particolare:

1. Il DORA contiene requisiti dettagliati in merito alla gestione dei rischi relativi alle ICT per le entità finanziarie.
2. Il DORA consolida i requisiti relativi alla segnalazione di incidenti del settore finanziario in un unico framework semplificato.
3. Attingendo ad alcune iniziative esistenti dell'UE come il framework TIBER-EU, il DORA stabilisce un approccio per l'UE per quanto riguarda i test di resilienza operativa digitale, tra cui i test di penetrazione basati su minacce.
4. Il DORA si basa sulle solide fondamenta stabilite dalle rispettive linee guida di outsourcing delle autorità di controllo europee e coordina ulteriormente i requisiti per la gestione dei rischi relativi alle ICT di terze parti in tutti i settori, compresi i requisiti per i contratti con i fornitori ICT.

Il DORA consente inoltre alle autorità di vigilanza europee di supervisionare direttamente i fornitori di ICT critici. Questo meccanismo crea un canale di comunicazione diretto tra le autorità di regolamentazione e i fornitori di ICT designati tramite coinvolgimenti annuali, compresi piani di supervisione, ispezioni e suggerimenti.

Il DORA si applica principalmente alle entità finanziarie dell'UE. Tuttavia, parte del DORA si applica direttamente ai fornitori di ICT (inclusi i provider di servizi cloud) designati come "critici" dalle autorità di vigilanza europee in seguito a una procedura ufficiale. La designazione si basa su una serie di fattori, tra cui l'impatto sistemico di un errore dei servizi del fornitore di ICT e l'importanza sistemica delle entità finanziarie che si affidano a questi servizi.

Il DORA è entrato in vigore il 17 gennaio 2025 (2 anni e 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'UE). 

Il DORA si applica direttamente ai fornitori di ICT critici solo dopo che sono stati designati come tali dalle autorità europee di vigilanza. Pertanto, il termine ultimo per la conformità per i fornitori di ICT critici dipende dalle tempistiche della designazione.

Google Cloud EMEA Limited è stata ufficialmente designata come fornitore di servizi di terze parti ICT critici (CTPP). Questa designazione include le seguenti società controllate di Google Cloud EMEA Limited: Google Cloud France SARL, Google Cloud Italy S.r.l e Google Cloud Poland Sp. z o.o.

Google Cloud EMEA Limited è stata designata come fornitore di servizi di terze parti ICT critici (CTPP) in base a una valutazione di criticità eseguita dalle autorità di vigilanza europee (ESA). Per giungere a una conclusione su ciascun CTPP, le ESA prendono in considerazione i seguenti criteri stabiliti nel DORA: a) l'impatto sistemico di un'interruzione dei servizi ICT del CTPP sul settore finanziario, b) l'importanza sistemica delle entità finanziarie che utilizzano i servizi ICT del CTPP, c) il livello di dipendenza delle entità finanziarie dai servizi ICT del CTPP e d) la sostituibilità dei servizi ICT del CTPP. La metodologia precisa per la valutazione della criticità delle ESA è stabilita nel regolamento delegato che specifica i criteri per la designazione dei fornitori di servizi ICT di terze parti come critici per le entità finanziarie.

Google Cloud EMEA Limited sarà direttamente supervisionata da un'autorità primaria di sorveglianza assegnata. Il supervisore principale sarà una delle autorità di vigilanza europee per il settore finanziario. Il Lead Overseer valuterà se Google Cloud EMEA Limited dispone di regole, procedure, meccanismi e accordi completi, validi ed efficaci per gestire il rischio informatico che potrebbe rappresentare per le entità finanziarie che utilizzano i suoi servizi. Se desideri maggiori informazioni su come funzionerà in pratica la supervisione dei fornitori di servizi di terze parti ICT critici (CTPP), consulta la Guida alle attività di supervisione pubblicata dalle autorità di vigilanza europee.

La designazione e la supervisione di Google Cloud EMEA Limited come fornitore di servizi di terze parti ICT critici (CTPP) non influisce sull'utilizzo dei nostri servizi da parte di un cliente né modifica i termini del contratto.

Se la tua organizzazione è un'entità finanziaria soggetta al DORA, la supervisione di un fornitore di servizi di terze parti non sostituisce né riduce in alcun modo le responsabilità della tua organizzazione ai sensi del DORA, compresa la gestione del rischio di terze parti.

Detto questo, integrando la gestione del rischio da parte degli enti finanziari e creando un meccanismo chiaro per il flusso di informazioni e apprendimenti tra i fornitori di servizi di pagamento di terze parti e i principali stakeholder di vigilanza a livello nazionale e dell'UE, riteniamo che i clienti e gli utenti trarranno vantaggio dalla supervisione dei fornitori di servizi di pagamento di terze parti.

Il framework di supervisione del DORA per i fornitori di ICT critici crea un'autentica opportunità per migliorare la comprensione, la trasparenza e la fiducia tra fornitori di ICT, entità finanziarie e autorità di regolamentazione finanziaria e, in ultima analisi, stimola l'innovazione finanziaria in Europa. Il DORA creerà un canale di comunicazione diretto tra le autorità di regolamentazione e i fornitori di ICT designati tramite coinvolgimenti annuali, tra cui piani di supervisione, ispezioni e suggerimenti. Siamo sicuri che questo dialogo strutturato contribuirà a migliorare la gestione dei rischi e la resilienza in tutto il settore.

Google Cloud si impegna a consentire alle autorità di regolamentazione di supervisionare in modo efficace l'uso dei nostri servizi da parte di un'entità finanziaria. Concediamo informazioni, controlli e diritti di accesso alle entità finanziarie, alle loro autorità di regolamentazione e ai loro incaricati e supportiamo i nostri clienti quando loro o le loro autorità di regolamentazione scelgono di esercitare questi diritti. Il nostro rapporto con l'autorità primaria di sorveglianza sarà improntato sullo stesso impegno a favore di trasparenza, collaborazione e garanzia costanti. 

Siamo molto concentrati sulla pianificazione dei requisiti di supervisione diretta e ci impegniamo a garantire che la nostra funzione di supervisione diretta supporti in modo efficace la comunicazione con le autorità di regolamentazione, controlli efficienti e l'impegno a correggere i problemi entro le scadenze.

Forniamo alle entità finanziarie termini contrattuali aggiornati per Google Cloud, Google Workspace e i servizi SecOps, al fine di ottemperare alle principali disposizioni contrattuali di cui all'articolo 30. Se hai bisogno dei termini contrattuali relativi al DORA, contatta il tuo rappresentante Google Cloud per ulteriori dettagli. 

Abbiamo anche creato mappature all'articolo 30 per Google Cloud e Google Workspace per aiutarti a capire come i nostri contratti, controlli e processi possono aiutarti a soddisfare i requisiti del DORA.

L'RTS sui subcontratti contiene ulteriori requisiti contrattuali. I nostri termini contrattuali aggiornati per Google Cloud, Google Workspace e i servizi SecOps soddisfano anche i requisiti contrattuali nel RTS sui subcontratti. Se hai bisogno dei termini contrattuali relativi al DORA, contatta il tuo rappresentante Google Cloud per ulteriori dettagli.

Se utilizzi Google Cloud per fornire i tuoi servizi ICT a enti finanziari nell'UE, riconosciamo che hai bisogno dei giusti termini contrattuali a valle con Google. Per essere d'aiuto, in questo scenario offriamo a clienti e partner termini contrattuali equivalenti per affrontare le principali disposizioni contrattuali di cui all'articolo 30. Se hai bisogno dei termini contrattuali relativi al DORA, contatta il tuo rappresentante Google Cloud per ulteriori dettagli. 

Abbiamo anche creato una mappatura all'articolo 30 per Google Cloud per aiutarti a capire come i nostri contratti, controlli e processi possono aiutarti a soddisfare i requisiti del DORA.