Considerazioni per le entità finanziarie dell'UE: le entità finanziarie devono stabilire un framework interno di governance e controllo per la gestione dei rischi relativi alle ICT, nonché impegnarsi a monitorare costantemente questi rischi. Questi requisiti di gestione e monitoraggio dei rischi relativi alle ICT si estendono all'utilizzo di servizi ICT forniti da provider di terze parti.

Considerazioni per i fornitori di ICT: i fornitori di ICT devono essere in grado di supportare la gestione e il monitoraggio dei rischi relativi alle ICT dei clienti, inclusi i casi in cui la gestione di processi e sistemi sia responsabilità del fornitore. Inoltre, nel caso di fornitori di ICT critici, la nuova autorità primaria di sorveglianza valuterà i processi di gestione dei rischi del fornitore, inclusi i criteri di gestione dei rischi relativi alle ICT e i criteri di continuità aziendale per le ICT, nonché la risposta e i piani di ripristino per le ICT. 

Il supporto di Google Cloud: ancora prima di passare a Google Cloud, puoi utilizzare la nostra soluzione di analisi del rischio e individuazione degli asset critici per valutare l'attuale rischio IT della tua organizzazione, identificare dove si trovano gli asset critici e ricevere suggerimenti per migliorare la security posture e la resilienza. Abbiamo inoltre pubblicato indicazioni sulla gestione del rischio con i controlli e la gestione degli asset. 

Dopo il passaggio a Google Cloud, puoi utilizzare diversi strumenti per mappare e gestire le tue risorse cloud su base continuativa, tra cui la Suite operativa di Google Cloud, Resource Manager, Cloud Deployment Manager e Risk Manager. Le informazioni sull'approccio di Google alla gestione dei rischi sono disponibili nelle certificazioni e nei report di controllo di Google. 

Se hai bisogno di ulteriore assistenza, Mandiant (ora parte di Google Cloud) offre servizi di gestione dei rischi, tra cui un servizio operativo di gestione dei rischi informatici, un servizio di sicurezza per la modellazione delle minacce, un servizio di due diligence per la cybersicurezza e una valutazione del programma di cybersicurezza. Consulta anche la nostra Guida per il cliente al Risk Management ICT per ulteriori indicazioni.

Considerazioni per le entità finanziarie dell'UE: il DORA consolida i requisiti relativi alla segnalazione di incidenti del settore finanziario in un unico framework semplificato. Ciò significa che le entità finanziarie che operano in più settori o stati membri dell'UE non devono più attenersi a regimi di segnalazione paralleli e sovrapposti in situazioni che richiedono necessariamente tempi ridotti. 

Il DORA mira anche a gestire regimi paralleli di segnalazione degli incidenti, come la direttiva NIS2. Insieme, questi cambiamenti aiutano a fornire alle autorità di regolamentazione le informazioni di cui hanno bisogno, consentendo anche alle entità finanziarie di concentrarsi su altri aspetti critici della risposta agli incidenti. Le entità finanziarie devono segnalare gli incidenti in base a soglie definite secondo modelli e tempistiche specifici, nonché implementare procedure per documentare le cause principali e i miglioramenti in seguito agli incidenti. 

Considerazioni per i fornitori di ICT: i fornitori di ICT devono essere in grado di supportare i requisiti di segnalazione degli incidenti dei clienti. Inoltre, nel caso di fornitori di ICT critici, la nuova autorità primaria di sorveglianza valuterà direttamente i processi del fornitore per l'identificazione, il monitoraggio e la segnalazione tempestiva alle entità finanziarie degli incidenti concreti relativi alle ICT. 

Il supporto di Google Cloud: Google informerà i clienti i cui termini contrattuali sono stati aggiornati in base al DORA degli incidenti relativi alle ICT che influiscono sul loro utilizzo di Google Cloud. Forniremo queste comunicazioni senza costi aggiuntivi tramite i nostri canali di notifica esistenti (tra cui email, Personalized Service Health, la dashboard Service Health e Google Cloud Support Center. 

Ci impegniamo a fornire la comunicazione entro i tempi previsti e a fornire le informazioni necessarie alle entità finanziarie per facilitare la valutazione e la segnalazione in base ai requisiti DORA.

Considerazioni per le entità finanziarie dell'UE: attingendo ad alcune iniziative esistenti dell'UE come il framework TIBER-EU, il DORA stabilisce un nuovo approccio per l'UE per quanto riguarda i test di resilienza operativa digitale. Per determinate entità finanziarie ciò include test di penetrazione avanzati basati su minacce con cadenza triennale. Grazie a una chiara definizione della metodologia di test e all'introduzione del riconoscimento reciproco dei risultati dei test, il DORA aiuterà le entità finanziarie a continuare a creare e scalare le proprie capacità di test in modo da operare in tutta l'UE.  

Considerazioni per i fornitori di ICT: il DORA si rivolge direttamente al ruolo del fornitore di ICT nei test di penetrazione avanzati basati su minacce eseguiti da entità finanziarie. In particolare, il DORA consente di eseguire pool di test per gestirne l'impatto su servizi multi-tenant come i cloud pubblici. Inoltre, nel caso di fornitori di ICT critici, la nuova autorità primaria di sorveglianza valuterà direttamente i test dei sistemi, dell'infrastruttura e dei controlli relativi alle ICT. 

Il supporto di Google Cloud: Google parteciperà a test di penetrazione avanzati basati su minacce agevolando i pool di test da parte di un tester esterno, come descritto nell'articolo 26(4) del DORA. Siamo convinti che i pool di test siano il modo migliore per testare in modo efficace la resilienza operativa digitale di Google Cloud, gestendo al contempo i rischi intrinseci per altri clienti dei test in un ambiente multi-tenant.

Considerazioni per le entità finanziarie dell'UE: il DORA si basa sulle solide fondamenta stabilite dalle rispettive linee guida di outsourcing delle autorità di controllo europee e coordina ulteriormente i requisiti per la gestione dei rischi relativi alle ICT di terze parti in tutti i settori, compresi i requisiti per implementare un framework di gestione dei rischi relativi alle ICT di terze parti e per i contratti con i fornitori di ICT. Il DORA garantisce che rischi simili vengano gestiti in modo coerente nei vari settori e negli stati membri dell'UE, perciò consentirà alle entità finanziarie di consolidare e migliorare i propri programmi di gestione dei rischi relativi alle ICT di terze parti.

Considerazioni per i fornitori di ICT: i fornitori di ICT devono essere in grado di supportare i requisiti di gestione dei rischi di terze parti dei clienti. Inoltre, il DORA consentirà alla nuova autorità primaria di sorveglianza di supervisionare direttamente i fornitori di ICT critici. Questo meccanismo creerà un canale di comunicazione diretto tra le autorità di regolamentazione e i fornitori di ICT designati tramite coinvolgimenti annuali, compresi piani di supervisione, ispezioni e suggerimenti. 

Il supporto di Google Cloud: Google offre alle entità finanziarie termini contrattuali aggiornati per Google Cloud e Google Workspace, al fine di ottemperare alle principali disposizioni contrattuali di cui all'articolo 30. Se hai bisogno dei termini contrattuali relativi al DORA, contatta il tuo rappresentante Google Cloud per ulteriori dettagli. Abbiamo anche creato mappature all'articolo 30 per Google Cloud e Google Workspace per aiutarti a capire come i nostri contratti, controlli e processi possono aiutarti a soddisfare i requisiti del DORA.

Considerazioni per le entità finanziarie dell'UE: le considerazioni definite dal DORA per le entità finanziarie prevedono di condividere volontariamente informazioni e intelligence sulle minacce informatiche con altre entità finanziarie e autorità di regolamentazione. 

Considerazioni per i fornitori di ICT: il DORA prevede che i fornitori di ICT vengano coinvolti nelle disposizioni per la condivisione delle informazioni che proteggono informazioni potenzialmente sensibili. Tuttavia, queste disposizioni devono ancora essere definite.  

Il supporto di Google Cloud: Google Cloud offre prodotti e servizi per aiutare i clienti a proteggersi proattivamente dalle minacce informatiche in linea con i requisiti del DORA. Pubblichiamo un report Threat Horizons trimestrale per fornire informazioni strategiche sulle minacce ai nostri clienti. I clienti possono sfruttare anche la risposta agli incidenti, i servizi di gestione dei rischi informatici e i servizi di garanzia tecnica di Mandiant per difendersi e prepararsi agli incidenti informatici.

Il DORA è un regolamento dell'UE. Verrà applicato al settore dei servizi finanziari in tutti gli stati membri dell'UE. Il DORA aggiorna le regole esistenti e stabilisce un insieme avanzato di requisiti comuni per mitigare i rischi relativi alle ICT e migliorare la resilienza digitale nel sistema finanziario europeo. È importante sottolineare che il DORA introduce anche un framework per la supervisione diretta dei fornitori di ICT critici da parte delle autorità di regolamentazione finanziaria dell'UE.

Il DORA stabilisce un insieme avanzato di requisiti comuni per consentire alle entità finanziarie dell'UE di mitigare i rischi relativi alle ICT e migliorare la resilienza digitale nel sistema finanziario europeo. In particolare:

1. Il DORA contiene requisiti dettagliati in merito alla gestione dei rischi relativi alle ICT per le entità finanziarie.

2. Il DORA consolida i requisiti relativi alla segnalazione di incidenti del settore finanziario in un unico framework semplificato.

3. Attingendo ad alcune iniziative esistenti dell'UE come il framework TIBER-EU, il DORA stabilisce un nuovo approccio per l'UE per quanto riguarda i test di resilienza operativa digitale, tra cui i test di penetrazione basati su minacce.

4. Il DORA si basa sulle solide fondamenta stabilite dalle rispettive linee guida di outsourcing delle autorità di controllo europee e coordina ulteriormente i requisiti per la gestione dei rischi relativi alle ICT di terze parti in tutti i settori, compresi i requisiti per i contratti con i fornitori ICT.

Il DORA consente inoltre alle autorità di regolamentazione finanziaria di supervisionare direttamente i fornitori di ICT critici. Questo meccanismo creerà un canale di comunicazione diretto tra le autorità di regolamentazione e i fornitori di ICT designati tramite coinvolgimenti annuali, compresi piani di supervisione, ispezioni e suggerimenti.

Il DORA si applica principalmente alle entità finanziarie dell'UE. Tuttavia, parte del DORA si applica direttamente ai fornitori di ICT (inclusi i provider di servizi cloud) designati come "critici" dalle autorità di regolamentazione finanziaria dell'UE in seguito a una procedura ufficiale. La designazione si baserà su una serie di fattori, tra cui l'impatto sistemico di un errore dei servizi del fornitore di ICT e l'importanza sistemica delle entità finanziarie che si affidano a questi servizi.

Il DORA è entrato in vigore il 17 gennaio 2025 (2 anni e 20 giorni dopo la pubblicazione nella Gazzetta ufficiale dell'UE). 

Il DORA si applica direttamente ai fornitori di ICT critici solo dopo che sono stati designati come tali dalle autorità di regolamentazione finanziaria dell'UE. Pertanto, il termine ultimo per la conformità per i fornitori di ICT critici dipende dalle tempistiche della designazione. Anche se il DORA non si applicherà direttamente a Google Cloud salvo e finché non riceva una designazione ufficiale, ci stiamo già preparando a soddisfare i potenziali requisiti diretti.

Il framework di supervisione del DORA per i fornitori di ICT critici crea un'autentica opportunità per migliorare la comprensione, la trasparenza e la fiducia tra fornitori di ICT, entità finanziarie e autorità di regolamentazione finanziaria e, in ultima analisi, stimola l'innovazione finanziaria in Europa. Il DORA creerà un canale di comunicazione diretto tra le autorità di regolamentazione e i fornitori di ICT designati tramite coinvolgimenti annuali, tra cui piani di supervisione, ispezioni e suggerimenti. Siamo sicuri che questo dialogo strutturato contribuirà a migliorare la gestione dei rischi e la resilienza in tutto il settore.

Google Cloud si impegna a consentire alle autorità di regolamentazione di supervisionare in modo efficace l'uso dei nostri servizi da parte di un'entità finanziaria. Concediamo informazioni, controlli e diritti di accesso alle entità finanziarie, alle loro autorità di regolamentazione e ai loro incaricati e supportiamo i nostri clienti quando loro o le loro autorità di regolamentazione scelgono di esercitare questi diritti. Il nostro rapporto con un'autorità primaria di sorveglianza sarebbe improntato sullo stesso impegno a favore di trasparenza, collaborazione e garanzia costanti. 

Siamo molto concentrati sulla pianificazione dei requisiti di supervisione diretta e ci impegniamo a garantire che la nostra funzione di supervisione diretta supporti in modo efficace la comunicazione con le autorità di regolamentazione, controlli efficienti e l'impegno a correggere i problemi entro le scadenze.

Forniamo alle entità finanziarie termini contrattuali aggiornati per Google Cloud e Google Workspace, al fine di ottemperare alle principali disposizioni contrattuali di cui all'articolo 30. Se hai bisogno dei termini contrattuali relativi al DORA, contatta il tuo rappresentante Google Cloud per ulteriori dettagli. 

Abbiamo anche creato mappature all'articolo 30 per Google Cloud e Google Workspace per aiutarti a capire come i nostri contratti, controlli e processi possono aiutarti a soddisfare i requisiti del DORA.

Siamo consapevoli che la bozza di RTS sulla subappalto contiene ulteriori requisiti contrattuali. Google Cloud sta monitorando i progressi di RTS e offrirà termini contrattuali aggiornati per affrontarlo, se necessario, dopo l'adozione della versione finale da parte della Commissione europea. Puoi trovare un elenco degli atti delegati e di attuazione del DORA adottati dalla Commissione europea qui.

Se utilizzi Google Cloud per fornire i tuoi servizi ICT a enti finanziari nell'UE, riconosciamo che hai bisogno dei giusti termini contrattuali a valle con Google. Per essere d'aiuto, in questo scenario offriamo a clienti e partner termini contrattuali equivalenti per affrontare le principali disposizioni contrattuali di cui all'articolo 30. Se hai bisogno dei termini contrattuali relativi al DORA, contatta il tuo rappresentante Google Cloud per ulteriori dettagli. 

Abbiamo anche creato una mappatura all'articolo 30 per Google Cloud per aiutarti a capire come i nostri contratti, controlli e processi possono aiutarti a soddisfare i requisiti del DORA.

Siamo coinvolti nello sviluppo di norme del settore dei servizi finanziari che hanno un impatto significativo su Google Cloud e sull'utilizzo dei nostri servizi da parte dei nostri clienti a livello globale. 

Laddove i responsabili politici stanno prendendo in considerazione un approccio simile a quello del DORA, spesso valutano innanzitutto in che modo questo approccio rientri nel framework normativo locale esistente, incluse eventuali aree percepite di miglioramento. La Commissione europea ha avuto una consultazione su questo problema nel 2020 prima di proporre la bozza iniziale del DORA. 

Nei casi in cui i responsabili politici abbiano confermato la necessità di un approccio normativo diverso (e potenzialmente diretto), ci impegniamo a condividere la nostra esperienza tecnologica nei servizi cloud e a supportare costantemente:

Armonizzazione e deduplicazione dei requisiti (sia a livello interno che tra i paesi)

Requisiti proporzionati e adatti allo scopo

Un approccio tecnologicamente neutrale che incoraggi l'innovazione

- Un approccio che rispetti la sicurezza e l'integrità dei nostri servizi per tutti i clienti

Il Regno Unito è un esempio di un altro paese che sta implementando un quadro normativo diretto per i fornitori di terze parti critici per il settore finanziario.

È importante tenere presente che il DORA non è l'unico regolamento applicabile ai cloud provider in Europa. Anche la direttiva NISD2 introduce la supervisione indipendente dal settore per le terze parti critiche; inoltre, esistono numerosi requisiti nazionali che si applicano ai servizi cloud in settori regolamentati. 

L'adozione del cloud nei servizi finanziari è ancora agli albori e le normative di imminente introduzione devono stimolare questo tipo di innovazione. Paesi diversi adotteranno approcci diversi per garantire la sicurezza e la resilienza operativa dell'ecosistema dei servizi finanziari e la regolamentazione o la supervisione diretta non è l'unica soluzione che si adatta a mercati diversi. Sappiamo che le autorità di regolamentazione di altre giurisdizioni si concentrano ugualmente su standard, regole orizzontali e pratiche di autoregolamentazione. Qualunque sia l'approccio adottato dai responsabili politici, è importante garantire la coerenza normativa e l'armonizzazione dei principi applicati a tutti i livelli, dato che hanno un impatto sugli attori tecnologici globali e sull'ecosistema finanziario digitale transfrontaliero.