Il Digital Operational Resilience Act, o DORA, è un regolamento dell'Unione Europea (UE) che stabilisce un framework completo per la gestione del rischio delle tecnologie di informazione e comunicazione (ICT) per il settore finanziario dell'UE. Il regolamento DORA stabilisce un framework unificato per colmare lacune, sovrapposizioni e conflitti nelle normative, riducendo l'onere di conformità e migliorando la resilienza del sistema finanziario dell'UE.
Il DORA è entrato in vigore il 17 gennaio 2025.
Prima del DORA, le normative dell'UE si concentravano principalmente sul capitale per i rischi operativi, con linee guida su ICT e sicurezza incoerenti tra i vari Paesi. Il regolamento DORA mira a migliorare la gestione dei rischi ICT nel settore dei servizi finanziari e a sintonizzare le normative tra gli Stati membri dell'UE.
Il DORA è integrato da una serie di standard tecnici di regolamentazione (RTS) e di attuazione (ITS) che forniscono norme armonizzate e linee guida pratiche per l'attuazione efficace dei requisiti normativi.
Il DORA si applica a un'ampia gamma di entità finanziarie come banche, istituti di credito e pagamento, società di investimento, sedi di negoziazione e depositari centrali di titoli ed entità non tradizionali, compresi i fornitori di servizi di crypto-asset e le piattaforme di crowdfunding. I gestori di fondi di investimento alternativi hanno diritto a un'esenzione ai sensi dell'articolo 3, paragrafo 2, dell'AIFMD e così anche gli istituti piccoli e non complessi che soddisfano determinate soglie basate su dimensioni, profilo di rischio e complessità operativa.
Un aspetto unico e incisivo del DORA da sottolineare è che si applica non solo alle entità finanziarie, ma anche ai fornitori ICT critici che servono il settore finanziario, come i fornitori di cloud service e i data center.
L'applicazione del DORA è di competenza della Banca Centrale Europea (BCE) e delle autorità di regolamentazione designate in ciascuno Stato membro dell'UE, note come "autorità nazionali competenti" o ANC. La BCE e le autorità nazionali competenti possono richiedere alle entità finanziarie di adottare misure di gestione del rischio e di sicurezza specifiche e di intervenire sulle vulnerabilità. Hanno anche poteri esecutivi per imporre sanzioni amministrative e penali alle entità che non soddisfano le aspettative di supervisione. Ogni Stato membro ha il potere di esercitare discrezionalità nel modo in cui la propria autorità nazionale competente impone le sanzioni.
I fornitori ICT ritenuti "critici" ai sensi del DORA saranno controllati direttamente da "organi primari di sorveglianza" appartenenti alle Autorità di Europee di Vigilanza (ESA). Al pari delle autorità competenti a livello nazionale, gli organi primari di sorveglianza possono richiedere che vengano adottate specifiche misure preventive e curative di sicurezza per affrontare le vulnerabilità e sanzionare i fornitori ICT non conformi. Il regolamento DORA consente agli organi primari di sorveglianza di imporre sanzioni ai fornitori ICT pari all'1% del loro turnover mondiale medio giornaliero registrato nell'anno finanziario precedente. I fornitori possono essere sanzionati ogni giorno per un massimo di sei mesi, fino a quando non raggiungono la conformità alle aspettative del supervisore principale.
Il DORA stabilisce i requisiti tecnici per le entità finanziarie e i provider ITC in quattro ambiti:
- Gestione del rischio ICT e governance
- Risposta agli incidenti e reporting
- Test di resilienza operativa digitale
- Gestione del rischio di terze parti
Un quinto ambito riguarda la condivisione delle informazioni, che è incoraggiata, ma non obbligatoria, a differenza degli altri quattro ambiti.
Le entità finanziarie rientranti nel campo di applicazione del DORA dovrebbero assumere un ruolo attivo nella gestione del rischio di terze parti in ambito ICT. Nell'esternalizzare funzioni critiche e importanti, saranno tenute a negoziare accordi contrattuali specifici riguardanti, tra le altre cose, strategie di uscita, audit e obiettivi prestazionali per l'accessibilità, l'integrità e la sicurezza dei dati. Le entità non sono autorizzate a stipulare contratti con fornitori ICT che non siano in grado di soddisfare questi requisiti. La BCE e le autorità competenti nazionali hanno il potere di sospendere o risolvere i contratti che non sono conformi. La Commissione Europea sta valutando la possibilità di elaborare clausole contrattuali standardizzate utili a entità e fornitori ICT al fine di assicurarsi la conformità dei loro accordi al regolamento DORA.
Le entità finanziarie devono inoltre mappare le proprie dipendenze ICT di terze parti e devono contribuire a garantire che le loro funzioni critiche e importanti non siano eccessivamente concentrate presso un singolo fornitore o un piccolo gruppo di fornitori.
I fornitori di servizi ICT critici di terze parti saranno sottoposti alla supervisione diretta delle autorità europee di vigilanza competenti. La Commissione Europea è ancora impegnata a elaborare i criteri per determinare i fornitori critici. A coloro che soddisfano gli standard verrà assegnato come supervisore principale una delle autorità di vigilanza. Oltre a imporre i requisiti DORA ai fornitori critici, gli organi di supervisione sono autorizzati a vietare ai fornitori di stipulare contratti con società finanziarie o altri fornitori ICT che non rispettino i requisiti DORA.
Il regolamento DORA attribuisce all'organo amministrativo di un'entità la responsabilità della gestione ICT. I membri del consiglio di amministrazione, i dirigenti e altri senior manager devono definire adeguate strategie di gestione del rischio, contribuire attivamente alla loro attuazione e mantenersi aggiornati sul landscape del rischio ICT. Anch'essi possono essere ritenuti personalmente responsabili per il mancato rispetto delle norme da parte dell'entità di appartenenza.
Le organizzazioni interessate sono tenute a sviluppare framework completi per la gestione del rischio ICT. A tal fine, devono mappare i propri sistemi ICT, identificare e classificare funzioni e asset critici e documentare le dipendenze tra risorse, sistemi, processi e provider. Devono inoltre condurre continui accertamenti del rischio sui propri sistemi ICT, documentare e classificare le minacce informatiche e documentare le misure in atto per mitigare eventuali rischi identificati.
Nell'ambito del processo di valutazione del rischio, le entità devono condurre analisi dell'impatto aziendale per valutare in che modo scenari specifici e interruzioni gravi possano influire sull'attività. Ci si aspetta che le entità utilizzino i risultati di queste analisi per stabilire i livelli di tolleranza al rischio e informare la progettazione della loro infrastruttura ICT. Le entità saranno inoltre tenute ad adottare adeguate misure di cybersecurity, come le politiche per la gestione delle identità e degli accessi e la gestione delle patch, insieme a controlli tecnici quali sistemi di rilevamento e risposta estesi, software per le informazioni sulla sicurezza e gestione degli eventi (SIEM) e strumenti per l'orchestrazione della sicurezza, automazione e risposta (SOAR).
Le entità devono anche stabilire piani di continuità aziendale e disaster recovery per vari scenari di rischio informatico, come malfunzionamenti del servizio ICT, disastri naturali e attacchi informatici. Tali piani dovranno includere misure di data backup and recovery, processi di ripristino dei sistemi e piani per comunicare con clienti, partner e autorità interessati.
Le entità interessate sono tenute a stabilire sistemi per monitorare, gestire, registrare, classificare e segnalare incidenti in materia ICT. A seconda della gravità dell'incidente, alle entità può essere richiesta la segnalazione sia alle autorità di regolamentazione sia ai clienti e ai partner interessati. Per gli incidenti critici dovranno essere presentati tre diversi tipi di rapporti: un rapporto iniziale di notifica alle autorità, un rapporto intermedio sui progressi compiuti per risolvere l'incidente e un rapporto finale che analizza le cause principali dell'incidente.
Le regole su come classificare gli incidenti, quali incidenti devono essere segnalati e le tempistiche per la segnalazione sono di prossima pubblicazione. Le autorità europee di vigilanza stanno inoltre esplorando modi per semplificare la segnalazione, istituendo un hub centrale e modelli di report comuni.
Le entità sono tenute a testare regolarmente i propri sistemi ICT per valutarne la forza delle protezioni e identificare le vulnerabilità. I risultati di tali test e i piani per affrontare eventuali debolezze riscontrate devono essere comunicati alle autorità competenti e da esse convalidati.
Una volta all'anno è richiesta l'esecuzione di alcuni test, quali valutazioni delle vulnerabilità e test basati su scenari. Le entità finanziarie ritenute critiche per il sistema dovranno anch'esse sottoporsi ogni tre anni a test di penetrazione basati su minacce (TLPT). A questi test di penetrazione dovranno partecipare pure i fornitori ICT critici per l'entità. Il 23 gennaio 2025 il Consiglio direttivo della BCE ha approvato l'aggiornamento del framework Threat Intelligence-Based Ethical Red Teaming (TIBER)-UE per il red teaming etico basato sulla threat intelligence, al fine di allinearli completamente agli standard tecnici normativi DORA sui test di penetrazione guidati dalle minacce in vista dell'entrata in vigore del DORA previsto il 17 gennaio 2025. Il framework TIBER-EU aggiornato e i documenti di orientamento sono disponibili sul sito Internet della BCE.
Le entità finanziarie sono tenute a stabilire processi di apprendimento dagli incidenti ICT sia interni che esterni. A tal fine, il regolamento DORA incoraggia le entità a partecipare ad accordi volontari di condivisione in materia di threat intelligence. Tutte le informazioni condivise in questo contesto devono comunque essere protette secondo le linee guida pertinenti, ad esempio le informazioni di identificazione personale sono soggette alle considerazioni previste dal Regolamento generale sulla protezione dei dati (GDPR).
IBM Cloud si impegna a supportare i propri clienti nel rafforzare la loro resilienza operativa digitale di fronte alle interruzioni e ad aiutarli a soddisfare i propri obblighi DORA. Grazie alla lunga storia e profonda esperienza di collaborazione con alcune delle più note organizzazioni di servizi finanziari al mondo nel loro percorso verso la modernizzazione, IBM si impegna a supportare i propri clienti nella crescita, riducendo al contempo i rischi e promuovendo l'adattamento al landscape in evoluzione, inclusa la conformità con il DORA.
In qualità di provider di cloud service (CSP), il DORA ha impatto su IBM Cloud in due modi:
- Indirettamente, dove sia IBM che i nostri clienti di entità finanziarie (FE) devono intraprendere azioni quali la revisione di politiche e procedure e l'adattamento di strumenti per gestire la sicurezza, la stabilità e la resilienza dei sistemi ICT, nonché il contenuto e la gestione complessiva degli accordi contrattuali, sia tra i clienti e IBM sia tra IBM e i nostri fornitori.
- Direttamente, nel caso in cui IBM e IBM Cloud venissero designate come fornitori di servizi ICT di terze parti (CTPP) critici, che necessitano di supervisione, secondo il DORA, laddove IBM Cloud fornisca servizi ICT ai clienti FE.
Ad oggi, IBM non è stata ufficialmente indicata come fornitore ICT critico dalle autorità dell'UE. Tuttavia, IBM Cloud si sta preparando in modo proattivo per affrontare potenziali requisiti diretti, nel caso in cui IBM venga indicata come fornitore di servizi ICT di terze parti critico dalle autorità competenti.
IBM Cloud aiuta i clienti a prendere decisioni consapevoli basate sul rischio. La nostra documentazione fornisce informazioni dettagliate per ogni cloud service, al fine di evidenziare le misure integrate di resilienza del cloud service e aiutare i clienti a progettare in modo che possano affrontare potenziali interruzioni non pianificate. Includiamo una documentazione dettagliata sulla conformità come prova di funzionalità solide. Inoltre, IBM Cloud Security and Compliance Center Workload Protection automatizza i controlli di conformità per IBM Cloud Framework for Financial Services, DORA, PCI e molti altri standard di settore o di best practice, sia per le risorse IBM Cloud che per quelle in ambiente multi-cloud.
IBM Cloud offre una piattaforma robusta che consente ai clienti di progettare un'implementazione resiliente che meglio si adatta alle loro esigenze. Le nostre regioni multizona offrono una scelta di posizioni geografiche e servizi globali e interzonali altamente disponibili, come Gestione delle identità e degli accessi, IBM Cloud Databases, servizi container (Kubernetes e Red Hat OpenShift), vari servizi di storage e Virtual Private Cloud per soddisfare i requisiti di resilienza e conformità delle applicazioni per i workload più impegnativi. Inoltre, il disaster recovery interregionale può essere realizzato utilizzando architetture di riferimento e best practice al fine di mitigare una serie di scenari.
La stabilità è importante, quindi IBM Cloud garantisce che i clienti abbiano le funzionalità di resilienza necessarie per evitare interruzioni non pianificate, dalle architetture everything-as-code e distribuibili, implementate tramite IBM Cloud Schematics, alle architetture di rete ad alta disponibilità e IBM Cloud Monitoring all'avanguardia. Le caratteristiche di auto-scaling di molti servizi, tra cui Virtual Private Cloud, IBM Kubernetes Service, Red Hat OpenShift on IBM Cloud e IBM Cloud Databases, assicurano che i workload abbiano una capacità sufficiente per soddisfare i picchi, con la capacità di bilanciare facilmente il carico tra zone o addirittura regioni. Nel frattempo, le pratiche DevSecOps, implementate con le toolchain di Continuous Delivery, migliorano la gestione automatizzata delle release e le pratiche di sicurezza fin dalla progettazione.
Un presupposto fondamentale alla base della regolamentazione sulla resilienza operativa è che gli incidenti e le interruzioni non pianificate accadono nonostante gli sforzi di tutti, quindi è fondamentale il modo in cui vengono gestiti per ridurne gli episodi e l'impatto. Effettuiamo regolarmente test BCDR e ci assicuriamo che i nostri processi supportino gli obiettivi di tolleranza all'impatto del cliente e che i risultati vengano riportati nella consapevolezza della formazione dei dipendenti e nel miglioramento continuo. Quando si verificano incidenti, ne condividiamo tempestivamente le notifiche con i clienti interessati, svolgiamo un'analisi delle cause principali e condividiamo i risultati, a seconda dei casi. Molti servizi IBM Cloud eseguono automaticamente il backup dei dati dei clienti su bucket Object Storage interregionali per facilitare il ripristino in una seconda regione in caso di disastro, in linea con il nostro modello a responsabilità condivisa.
IBM Cloud offre la seguente gamma di servizi che ti aiuteranno a soddisfare specifici requisiti DORA e ad accelerare il tuo percorso di conformità.
|
1. Gestione del rischio ICT |
|---|
Cloud Pak for Security
Integra gli strumenti di sicurezza esistenti per acquisire insight più approfonditi sulle minacce e sui rischi, orchestrare azioni e automatizzare le risposte.
IBM Cloud Security and Compliance Center - Data Security Broker - Manager
Una soluzione di sicurezza nella suite Security and Compliance Center che fornisce criteri di crittografia centralizzati e di audit dei dati su diverse fonti di dati.
IBM Cloud Security and Compliance Center - Workload Protection
Nelle architetture incentrate su container e microservizi, è possibile utilizzare IBM Cloud Security and Compliance Center Workload Protection per trovare e assegnare priorità alle vulnerabilità del software, rilevare e rispondere alle minacce e gestire configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM Key Protect for IBM Cloud
Il servizio IBM Key Protect for IBM Cloud consente di eseguire il provisioning e l'archiviazione di chiavi crittografate per le applicazioni nei servizi IBM Cloud, in modo da poter visualizzare e gestire la crittografia dei dati e l'intero ciclo di vita delle chiavi da un'unica posizione centrale.
IBM QRadar Suite
IBM Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti. Il portfolio è integrato con l'AI e l'automazione di livello aziendale per aumentare sensibilmente la produttività degli analisti, aiutando i team addetti alla sicurezza con risorse limitate a lavorare in modo più efficace sulle tecnologie principali. Dotata di un'interfaccia utente comune, insight condivisi e workflow collegati, offre prodotti integrati per sicurezza degli endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM X-Force
X-Force può aiutarti a realizzare e gestire un programma di sicurezza integrato per proteggere la tua organizzazione dalle minacce globali. Grazie a una profonda conoscenza di come gli attori delle minacce pensano, pianificano e colpiscono, il nostro team è in grado di prevenire, rilevare, reagire e recuperare dagli incidenti in modo da potersi concentrare sulle priorità aziendali. I servizi difensivi e offensivi di X-Force sono supportati dai servizi di ricerca sulle minacce, di intelligence e di correzione.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 di Gemalto protegge l'infrastruttura crittografica gestendo, elaborando e archiviando in modo più sicuro le chiavi crittografiche all'interno di un dispositivo hardware resistente alle manomissioni. Aiuta a risolvere problemi complessi di sicurezza, conformità, sovranità dei dati e controllo della migrazione e dell'esecuzione dei carichi di lavoro nel cloud.
Confidential computing
Proteggi i tuoi dati a riposo, in transito e in uso con la più ampia selezione di tecnologie di sicurezza e crittografia dei dati di IBM Z, IBM LinuxONE e Intel Xeon on IBM Cloud.
IBM Security Guardium
IBM® Security Guardium è una famiglia di software per la sicurezza dei dati nel portfolio IBM Security che rivela le vulnerabilità e protegge i dati sensibili on-premise e nel cloud.
Servizi di archiviazione cloud IBM
I nostri servizi di cloud storage offrono una sede scalabile, sicura e conveniente per i tuoi dati, supportando i carichi di lavoro tradizionali e cloud-native. Effettua il provisioning e la distribuzione dei servizi come l'accesso a storage di oggetti, storage a blocchi e storage di file. Regola la capacità e ottimizza le prestazioni in base all'evoluzione dei requisiti. Paga solo per l'archiviazione cloud di cui hai bisogno.
IBM Cloud Backup
IBM Cloud Backup è un sistema completo di backup and recovery, basato su agenti e gestito attraverso un'interfaccia web. Esegui il backup dei dati tra i server IBM Cloud in uno o più data center globali di IBM Cloud.
Servizi IBM Cloud Database
I servizi IBM Cloud Database-as-a-Service (DBaaS) liberano gli sviluppatori e l'IT da attività complesse e dispendiose in termini di tempo, tra cui l'implementazione di infrastrutture e software di database, le operazioni di infrastruttura, gli aggiornamenti del software di database e il backup. Le PMI di IBM Cloud Database forniscono e gestiscono istanze di database pronte all'uso e ad alta disponibilità, consentendo a sviluppatori e personale IT di dedicare più tempo ad altre priorità.
IBM Cloud Container Registry
Memorizza e distribuisci le immagini dei container in un registro privato completamente gestito. Invia immagini private per eseguirle comodamente nell'IBM Cloud Kubernetes Service e in altri ambienti di runtime. Le immagini vengono controllate per verificare la presenza di problemi di sicurezza e permetterti di prendere decisioni informate sulle tue distribuzioni.
Gestione del ciclo di vita delle applicazioni DevSecOps
L'architettura distribuibile della gestione del ciclo di vita delle applicazioni DevSecOps crea un set di toolchain e pipeline DevOps. DevSecOps utilizza la fornitura continua (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights e Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry e Vulnerability Advisor.
Soluzioni di osservabilità IBM Cloud
L'osservabilità fornisce visibilità approfondita sulle moderne applicazioni distribuite per un'identificazione e una risoluzione dei problemi più rapida e automatizzata.
|
2. Segnalazione degli incidenti |
|---|
IBM X-Force
X-Force può aiutarti a realizzare e gestire un programma di sicurezza integrato per proteggere la tua organizzazione dalle minacce globali. Grazie a una profonda conoscenza di come gli attori delle minacce pensano, pianificano e colpiscono, il nostro team è in grado di prevenire, rilevare, reagire e recuperare dagli incidenti in modo da potersi concentrare sulle priorità aziendali. I servizi difensivi e offensivi di X-Force sono supportati dai servizi di ricerca sulle minacce, di intelligence e di correzione.
IBM QRadar Suite
IBM Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti. Il portfolio è integrato con l'AI e l'automazione di livello aziendale per aumentare sensibilmente la produttività degli analisti, aiutando i team addetti alla sicurezza con risorse limitate a lavorare in modo più efficace sulle tecnologie principali. Dotata di un'interfaccia utente comune, insight condivisi e workflow collegati, offre prodotti integrati per sicurezza degli endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
IBM® Security Guardium è una famiglia di software per la sicurezza dei dati nel portfolio IBM Security che rivela le vulnerabilità e protegge i dati sensibili on-premise e nel cloud.
Soluzioni di osservabilità IBM Cloud
L'osservabilità fornisce visibilità approfondita sulle moderne applicazioni distribuite per un'identificazione e una risoluzione dei problemi più rapida e automatizzata.
|
3. Test di resilienza operativa |
|---|
IBM Cloud Security and Compliance Center - Workload Protection
Nelle architetture incentrate su container e microservizi, è possibile utilizzare IBM Cloud Security and Compliance Center Workload Protection per trovare e assegnare priorità alle vulnerabilità del software, rilevare e rispondere alle minacce e gestire configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM X-Force
X-Force può aiutarti a realizzare e gestire un programma di sicurezza integrato per proteggere la tua organizzazione dalle minacce globali. Grazie a una profonda conoscenza di come gli attori delle minacce pensano, pianificano e colpiscono, il nostro team è in grado di prevenire, rilevare, reagire e recuperare dagli incidenti in modo da potersi concentrare sulle priorità aziendali. I servizi difensivi e offensivi di X-Force sono supportati dai servizi di ricerca sulle minacce, di intelligence e di correzione.
IBM QRadar Suite
IBM Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti. Il portfolio è integrato con l'AI e l'automazione di livello aziendale per aumentare sensibilmente la produttività degli analisti, aiutando i team addetti alla sicurezza con risorse limitate a lavorare in modo più efficace sulle tecnologie principali. Dotata di un'interfaccia utente comune, insight condivisi e workflow collegati, offre prodotti integrati per sicurezza degli endpoint (EDR, XDR, MDR), SIEM, SOAR.
IBM Security Guardium
IBM® Security Guardium è una famiglia di software per la sicurezza dei dati nel portfolio IBM Security che rivela le vulnerabilità e protegge i dati sensibili on-premise e nel cloud.
Gestione del ciclo di vita delle applicazioni DevSecOps
L'architettura distribuibile della gestione del ciclo di vita delle applicazioni DevSecOps crea un set di toolchain e pipeline DevOps. DevSecOps utilizza la fornitura continua (Git Repos and Issue Tracking, Tekton Pipelines, IBM Cloud DevOps Insights e Code Risk Analyzer), Secrets Manager, IBM Key Protect, IBM Cloud Object Storage, IBM Cloud Container Registry e Vulnerability Advisor.
|
4. Gestione rischi di terze parti |
|---|
IBM Cloud Security and Compliance Center - Workload Protection
Nelle architetture incentrate su container e microservizi, è possibile utilizzare IBM Cloud Security and Compliance Center Workload Protection per trovare e assegnare priorità alle vulnerabilità del software, rilevare e rispondere alle minacce e gestire configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
|
5. Condivisione di informazioni e intelligence |
|---|
IBM X-Force
X-Force può aiutarti a realizzare e gestire un programma di sicurezza integrato per proteggere la tua organizzazione dalle minacce globali. Grazie a una profonda conoscenza di come gli attori delle minacce pensano, pianificano e colpiscono, il nostro team è in grado di prevenire, rilevare, reagire e recuperare dagli incidenti in modo da potersi concentrare sulle priorità aziendali. I servizi difensivi e offensivi di X-Force sono supportati dai servizi di ricerca sulle minacce, di intelligence e di correzione.
Cloud Pak for Security
Integra gli strumenti di sicurezza esistenti per acquisire insight più approfonditi sulle minacce e sui rischi, orchestrare azioni e automatizzare le risposte.
IBM ha messo a disposizione dei suoi clienti di servizi finanziari una serie di risorse per consentire loro di prepararsi alla conformità con il regolamento DORA.
Queste risorse possono essere utilizzate quando le entità finanziarie iniziano a definire le proprie esposizioni al rischio, identificare le dipendenze da terze parti e sviluppare un approccio per la resilienza operativa digitale.