Registro delle informazioni DORA

Sì, i report vengono esportati automaticamente in un formato conforme ai requisiti del linguaggio XBRL.
Utilizziamo il formato segnalativo xBRL-CSV (non XML), più semplice e comunemente usato per la gestione dei dati. Questo formato risulta particolarmente utile per la segnalazione di grandi quantità di dati.

I file vengono scaricati sotto forma di file CSV piatti, integrati da metadati in formato CSV e JSON, e infine archiviati in un archivio ZIP.

Le entità finanziarie devono mantenere un registro di informazioni a livello di entità, su base subconsolidata o consolidata, in conformità alla normativa DORA (Digital Operational Resilience Act).
Al fine di garantire risultati di vigilanza coerenti con il quadro di vigilanza esistente, l’impresa madre delle entità finanziarie che fanno parte di un gruppo, come definito nel Regolamento (UE) 2022/2554, dovrebbe identificare le entità da includere nel registro delle informazioni su base subconsolidata e consolidata, in conformità alla legislazione UE sui servizi finanziari. Al fine di ridurre gli oneri amministrativi dei gruppi, questi ultimi dovrebbero avere la possibilità di sviluppare un unico registro delle informazioni a livello di entità, su base subconsolidata e consolidata, relativo a tutti gli accordi contrattuali sull’uso dei servizi TIC prestati da fornitori terzi di servizi TIC a tutte le entità finanziarie che fanno parte del gruppo. In questi casi, un unico registro delle informazioni dovrebbe permettere a ogni entità finanziaria di rispettare l’obbligo di tenere e aggiornare il registro delle informazioni a livello di entità e, se applicabile, su base subconsolidata, inclusa la segnalazione all’autorità competente.

Lo strumento DORA Register facilita in modo significativo la conformità agli standard tecnici di regolamentazione (RTS) e agli standard tecnici di attuazione (ITS) ai sensi del Digital Operational Resilience Act (DORA), in diversi modi fondamentali:

Gestione completa delle informazioni:
Lo strumento fornisce un quadro strutturato per la tenuta del registro delle informazioni richieste dal DORA. È conforme agli ITS, che stabiliscono i modelli di registro delle informazioni, comprensivi degli accordi contrattuali con fornitori terzi di ICT a vari livelli. Questo garantisce che le entità finanziarie possano gestire in modo efficace e fornire report sui propri fornitori di servizi TIC, favorendo la conformità con l’articolo 28, comma 9 del Regolamento DORA.
Allineamento con il quadro di gestione dei rischi informatici:
Il registro DORA tiene conto dei requisiti stabiliti negli RTS relativi ai quadri di gestione dei rischi informatici. Aiuta le entità finanziarie a implementare e mantenere un solido sistema di gestione dei rischi informatici che includa aspetti di protezione, prevenzione, identificazione e risposta. Tale adattamento garantisce che gli utenti siano ben preparati a soddisfare gli obblighi di gestione dei rischi informatici previsti dal DORA.

Classificazione e segnalazione degli incidenti:
Lo strumento integra i criteri di classificazione degli incidenti connessi alle TIC definiti negli RTS. Aiuta le entità finanziarie a identificare e segnalare incidenti gravi e importanti minacce informatiche, garantendo la conformità ai requisiti di segnalazione degli incidenti previsti dal DORA. Questa funzione è conforme agli RTS e agli ITS in materia di segnalazione di incidenti gravi e supporta le istituzioni nell’adempimento dei propri obblighi in modo efficace.

Gestione del rischio di terze parti:
Il registro DORA favorisce la conformità con gli RTS che definiscono la politica relativa ai servizi TIC volti a supportare le funzioni essenziali o importanti svolte dai fornitori di TIC.
Inoltre, aiuta le entità finanziarie a gestire il ciclo di vita dei contratti con i fornitori terzi, concentrandosi sulle funzioni essenziali o importanti. Questa funzione è fondamentale per soddisfare i requisiti DORA in materia di gestione del rischio di terze parti.

Processi di conformità automatizzati:
Lo strumento automatizza molti aspetti della conformità DORA, inclusa la generazione di report e la tenuta del registro delle informazioni. L’automazione supporta le entità finanziarie nel soddisfare i requisiti degli ITS relativi ai modelli standard dei registri delle informazioni, garantendo l’accuratezza e la completezza della reportistica di conformità.

Adattabilità agli aggiornamenti normativi:
Come strumento dedicato alla conformità DORA, il Registro DORA è stato progettato per essere aggiornato in linea con i requisiti normativi in evoluzione. Ciò garantisce che le entità finanziarie che utilizzano lo strumento possano adattarsi a qualsiasi modifica degli RTS o degli ITS senza interruzioni significative dei loro processi di conformità.

Supporto delle attività di vigilanza:
Lo strumento aiuta le entità finanziarie a prepararsi alle attività di vigilanza e a rispondere ad esse. È conforme agli RTS in materia di armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza e aiuta le entità a mantenere la documentazione e i processi necessari per le ispezioni regolamentari.

Conformità semplificata per le entità più piccole:
Per le entità finanziarie più piccole, il Registro DORA offre funzionalità conformi al quadro semplificato per la gestione dei rischi informatici stabilito negli RTS. Ciò garantisce che tutte le entità finanziarie, indipendentemente dalle loro dimensioni, possano utilizzare efficacemente lo strumento per rispettare i propri obblighi derivanti dal DORA.

Somiglianze:

Obiettivo: entrambi gli strumenti hanno lo scopo di aiutare le entità finanziarie a tenere e aggiornare registri delle informazioni relative agli accordi contrattuali con fornitori terzi di servizi TIC, come richiesto dal DORA.

Conformità: entrambi gli strumenti rispondono ai requisiti DORA in materia di gestione dei rischi connessi ai fornitori terzi di servizi TIC, in particolare alla necessità di tenere registri completi dei fornitori di servizi TIC.

Allineamento normativo: entrambi gli strumenti sono progettati per soddisfare i requisiti definiti dalle autorità europee di vigilanza (ESA) per la conformità al DORA.

Differenze:

Formato e funzionalità:
Modello Excel dell’ESA: formato standardizzato di foglio di calcolo fornito dalle autorità di regolamentazione per l’inserimento dei dati di base e la rendicontazione.
Strumento DORA Register: applicazione web più avanzata che offre funzionalità estese che vanno oltre l’inserimento dei dati di base.

Interfaccia utente:
Modello Excel dell’ESA: utilizza l’interfaccia familiare di un foglio di calcolo, che può risultare meno intuitiva in caso di relazioni complesse tra i dati.
Strumento DORA Register: dispone di un’interfaccia intuitiva progettata specificamente per la navigazione tra le complesse dipendenze tra i fornitori di TIC.

Visualizzazione dei dati:
Modello Excel dell’ESA: limitato alle funzionalità standard di creazione di grafici e tabelle pivot di Excel.
Strumento DORA Register: offre una visualizzazione avanzata delle dipendenze per consentire agli utenti di esplorare in modo più efficiente la rete di relazioni tra i fornitori di servizi TIC.

Automazione:
Modello Excel dell’ESA: richiede l’inserimento e l’aggiornamento manuale dei dati.
Strumento DORA Register: fornisce un’automazione integrata per l’aggiornamento dei dati e la generazione di report, riducendo il rischio di errori manuali.

Funzionalità di collaborazione:
Modello Excel dell’ESA: le funzionalità di collaborazione sono limitate e specifiche del software per fogli di calcolo.
Strumento DORA Register: include un modulo di gestione delle attività che distribuisce le responsabilità tra i membri del team, migliorando la collaborazione in materia di conformità.

Verifiche di conformità:
Modello Excel dell’ESA: verifica manuale dell’integrità e della conformità dei dati.
Strumento DORA Register: verifica automatizzata dell’integrità dei report e della conformità ai requisiti normativi.

Scalabilità:
Modello Excel dell’ESA: può diventare difficile da gestire per le grandi organizzazioni con reti complesse di fornitori di servizi TIC.
Strumento DORA Register: progettato per gestire in modo più efficiente ecosistemi complessi e estesi di fornitori di servizi TIC.

Generazione dei report:
– Modello Excel dell’ESA: richiede la formattazione manuale e l’estrazione dei dati rilevanti per la segnalazione.
Strumento DORA Register: consente con un solo clic la generazione di report nei formati richiesti, preliminarmente verificati in termini di accuratezza e conformità.

Aggiornamenti normativi:
Modello Excel dell’ESA: potrebbe essere necessario effettuare aggiornamenti manuali man mano che cambiano i requisiti normativi.
Strumento DORA Register: verrà aggiornato regolarmente per conformarsi alle normative in evoluzione, garantendo una conformità costante.

Lo strumento DORA Register supporta in modo significativo il quadro DORA attraverso le seguenti caratteristiche e funzionalità:
Gestione completa delle informazioni
Il tool funge da piattaforma automatizzata e autogestita che include tutte le informazioni richieste dal registro delle informazioni DORA. Ciò include gli accordi contrattuali con i fornitori di TIC, la struttura organizzativa e la mappatura delle funzioni aziendali. Riduce al minimo il carico di lavoro manuale necessario per la creazione e la manutenzione del registro.
Integrità dei dati e automazione
L’interfaccia DORA Register rappresenta gli insiemi di dati e le relazioni tra di essi, garantendo la conformità con un’ampia gamma di informazioni soggette a segnalazione. Automatizza le relazioni e il trasferimento delle informazioni, consentendo di apportare modifiche una tantum ai dizionari per compilare tutti gli oggetti. L’automazione comprende i dettagli dei contratti, le date e i recapiti, che vengono trasferiti dai record principali a tutti i record correlati.

Guida alla conformità DORA
Lo strumento guida gli utenti attraverso il processo di conformità DORA relativo ai fornitori di servizi TIC. Consente di organizzare le informazioni essenziali, quali:

Struttura organizzativa (entità e loro relazioni)
Attività finanziarie e loro ubicazione
Attività commerciale (funzioni aziendali)
Rete di supporto (fornitori e contratti)
Spese per tale supporto
Potenziali vulnerabilità (funzioni essenziali)
Tolleranza al rischio (parametri di soglia per le funzioni essenziali)

Segnalazione alle autorità;
DORA Register facilita la revisione e la distribuzione dei contratti con i fornitori terzi di servizi. Si integra con i sistemi di gestione del rischio e della sicurezza informatica già presenti nell’azienda, nonché con i canali normativi. DORA Register è in grado di gestire un gran numero di relazioni con soggetti terzi nelle entità finanziarie e di generare report finali con la struttura e i contenuti richiesti con un solo clic.

Gestione del rischio di terze parti
Lo strumento automatizza i processi di gestione del rischio di terze parti, a partire dai questionari conformi al DORA, passando per la classificazione dei fornitori mediante codici speciali, fino alla generazione di report per l’autorità di vigilanza.

Misure di sicurezza
DORA Register adotta misure di sicurezza solide, tra cui:

Istanze individuali per i clienti con database separati;
Autenticazione a due fattori;
Criteri di password personalizzabili;
Scadenza automatica delle sessioni utente inattive;
Snapshot e backup dei dati;
Test di penetrazione e revisioni regolari del codice sorgente;
Accesso SSO Azure AD.
Classificazione dei fornitori TIC
Lo strumento supporta la classificazione dei fornitori TIC in conformità con le linee guida DORA, comprese categorie quali fornitori che supportano funzioni critiche o importanti e 19 categorie specifiche di servizi TIC definite nell’allegato 3 dell’RTS 85.

Gestione della catena di fornitura
Gli utenti possono ampliare la catena di fornitura iniziale definita dal fornitore principale del contratto aggiungendo fornitori secondari e ulteriori, occupandosi della gestione dei fornitori di quarta e N-esima parte.

Fornendo queste funzionalità, lo strumento DORA Register supporta efficacemente gli operatori finanziari nell’adempimento dei requisiti del quadro DORA, assicurando la conformità, aumentando la resilienza operativa e migliorando la gestione dei rischi legati alle TIC e delle relazioni con i fornitori.

Abbiamo riscontrato l’opinione secondo la quale il registro degli accordi contrattuali dovrebbe contenere un numero limitato di dettagli relativi ai fornitori terzi di servizi TIC:

• Fornitori e loro catena di fornitura;
• Entità all’interno del gruppo;
• Funzioni aziendali;
• Contratti che vincolano le informazioni sopra menzionate.

Tuttavia, sono richieste molte più informazioni relative a:

1. Elenco completo delle entità e delle loro relazioni all’interno del gruppo.
2. Mappatura dettagliata dei contratti, comprese le entità coinvolte nella sottoscrizione, distribuzione e utilizzo dei servizi, classificate per fornitore, tipo di servizio e funzione aziendale.
3. Mappatura estesa delle catene di fornitura del fornitore.
4. Valutazione del livello di criticità delle funzioni aziendali di ciascuna entità e convalida dell’adeguatezza del fornitore di servizi TIC.

Il registro DORA esegue automaticamente tutte le operazioni di reporting.

Ogni report contenente dati aziendali viene estratto automaticamente in un file CSV separato, integrato con i metadati necessari. L’intero report è organizzato in una determinata struttura di cartelle e, al momento della compressione in un file ZIP, assume un nome secondo una convenzione prestabilita.

Se l’autorità di regolamentazione dovesse offrire tale possibilità, implementeremo l’integrazione con i sistemi di reporting.

All’inizio del 2025, il Registro DORA sarà dotato di nuove funzionalità.
Ricostruzione del registro nell’applicazione sulla base di un report in conformità con le specifiche dell’autorità di regolamentazione, nonché importazione delle informazioni nel registro (metriche dei contratti, elenchi dei fornitori) da altri repository, sulla base di modelli scaricabili direttamente dall’applicazione.

• Istanze individuali per ciascun cliente (con database separati per i clienti);
• Login e password individuali dell’utente dell’applicazione, protezione aggiuntiva opzionale dell’istanza dell’applicazione.
• Autenticazione a due fattori dell’utente dell’applicazione.
• Possibilità di definire una politica per le password (compresa la lunghezza della password, i requisiti relativi ai tipi di caratteri, i periodi di validità, il numero di tentativi di accesso consentiti).
• Scadenza automatica delle sessioni utente inattive.
  Gestione delle autorizzazioni degli utenti tramite gruppi di autorizzazione.
• Snapshot dei dati eseguiti su richiesta di un utente autorizzato.
• Test automatici del codice sorgente.
• Processo di revisione e ottimizzazione del codice sorgente.
  Monitoraggio dell’aggiornamento delle librerie e dei componenti utilizzati.
• Test di penetrazione dell’applicazione eseguiti periodicamente da soggetti terzi specializzati.
• Autenticazione a più fattori al pannello di controllo (web hosting) dell’applicazione.
• Backup a livello di hosting dell’applicazione.
• Basato sull’infrastruttura GCP, fornita dall’Operatore Cloud Nazionale, con sede nell’UE.
• Accesso SSO Azure AD.

I fornitori dovrebbero essere classificati secondo le linee guida specificate nel JC 2023 85, che includono la documentazione completa del registro delle informazioni. Questo standard tecnico di attuazione indica diverse categorie in base alle quali classificare i fornitori TIC. Queste comprendono categorie quali i fornitori di servizi TIC che supportano funzioni critiche o importanti e 19 categorie specifiche di servizi TIC definite nell’allegato 3 dell’RTS 85. Anche i fornitori infragruppo indicati nella tabella RT.02.03, che comprende i contratti infragruppo e i rapporti con fornitori esterni al gruppo, devono essere inclusi nel processo di classificazione.

Gli utenti possono ampliare la catena di fornitura iniziale definita dal fornitore principale del contratto aggiungendo fornitori secondari e ulteriori.

Se la creazione del registro è stata avviata in Excel, il trasferimento al registro DORA richiede l’inserimento manuale dei dati relativi agli accordi contrattuali con i fornitori. Tuttavia, l’inserimento manuale è molto più veloce, poiché i dati inseriti sui fornitori di servizi TIC vengono compilati automaticamente in tutti i set di dati, ad esempio nei dati relativi ai contratti, alle catene di fornitura, ai firmatari e in molti altri punti.
Il trasferimento di un record di informazioni consente di verificare la presenza di eventuali errori. Infine, si risparmia tempo grazie alla generazione automatica dei report.

Sì, vi invitiamo a fissare un colloquio con un nostro consulente.

Tutti i prezzi indicati nel listino sono prezzi netti, sia per i piani mensili che per quelli annuali. Pertanto, devono essere maggiorati dell’imposta sul valore aggiunto (IVA) applicabile.