Corso tecnico-pratico sul DORA (Digital Operational Resilience Act), il regolamento europeo che introduce standard elevati di resilienza operativa digitale per il settore finanziario.

L’obiettivo è fornire una comprensione approfondita di tutti gli ambiti tecnici coperti da DORA, al fine di rafforzare la capacità della propria organizzazione di resistere, rispondere e riprendersi da incidenti e minacce ICT.

Il corso adotta un approccio pratico e interattivo: oltre alle sessioni teoriche, saranno proposti esercitazioni, quiz e casi di studio per tradurre i requisiti di DORA in attività operative.
Destinato sia a professionisti settore Legal e IT sia a utenti generici che vogliono approfondire l’argomento, ha una durata da 1 a 3 mezze giornate da 2-4 ore ciascuna, in funzione del livello di dettaglio.

Il corso è erogato in collaborazione con ICT Cyber Consulting

Modulo 1 – Quadro normativo e gestione integrata del rischio ICT

Ambito di applicazione e definizioni (artt. 2-3) – Gestione dei Rischi informatici (artt. 5-16) – Regolamento Delegato 2024/1774

Fornisce un inquadramento sistematico e operativo del Regolamento (UE) 2022/2554 (DORA), analizzando l’impianto normativo unionale e le sue ricadute organizzative sull’assetto interno degli enti finanziari considerando i requisiti tecnici, metodologici e procedurali per la gestione del rischio derivanti, anche, dal Regolamento Delegato 2024/1774. L’attenzione è rivolta all’integrazione della gestione del rischio ICT nel sistema di governance aziendale, alla definizione dei ruoli e delle responsabilità, all’adozione di un framework documentale e all’implementazione di politiche e procedure coerenti con le best practice internazionali. Vengono, inoltre, analizzati i diversi livelli di testing, le modalità di pianificazione e gli attori coinvolti, con particolare enfasi sulle entità soggette a Threat-Led Penetration Testing (TLPT)

Modulo 2 – Gestione degli incidenti ICT e  resilienza operativa

Gestione, classificazione e segnalazione degli incidenti informatici (artt.17-23) – Test di resilienza operativa digitale (artt. 24-27) – Regolamento Delegato 2024/1772

Illustra in maniera dettagliata il sistema armonizzato di gestione degli incidenti ICT introdotto dal Regolamento DORA. Fornisce nozioni teorico-operative per l’individuazione, la classificazione e la notifica degli incidenti rilevanti, nonché per la predisposizione di idonei piani di risposta, continuità e recupero. Particolare attenzione è dedicata all’analisi del Regolamento Delegato (UE) 2024/1772, che definisce in modo tecnico e prescrittivo le tipologie di eventi da notificare, le soglie di gravità e le tempistiche

Modulo 3 – Gestione dei fornitori TIC e sorveglianza sulle terze parti critiche

Principi fondamentali di una solida gestione dei rischi informatici derivanti da terzi (art. 28) – Valutazione preliminare del rischio di concentrazione delle TIC a livello di entità (art.29) – Accordi contrattuali (art.30) – Designazione e sorveglianza dei fornitori terzi critici di servizi TIC (artt. 31-37) – Condivisione delle informazioni e Autorità competenti (artt. 45-49) – Le sanzioni nel Regolamento DORA (artt. 50-54) – Regolamento Delegato 2024/1773

Incentrato sulla gestione delle terze parti e le implicazioni dell’esternalizzazione di funzioni critiche. Tratta la figura del subappaltatore, inteso come soggetto che opera nella catena di fornitura a valle del fornitore contrattuale e illustra le condizioni in cui questa catena assume rilievo regolatorio. Include l’esame del regime di sorveglianza previsto per i fornitori TIC critici, oggetto di supervisione diretta da parte delle autorità europee. È prevista l’integrazione dei contenuti del Regolamento Delegato 2024/1773, che definisce le caratteristiche obbligatorie delle politiche contrattuali, le responsabilità interne nella gestione degli accordi e le modalità di controllo sugli obblighi contrattuali in ambito ICT.