Il Digital Operational Resilience Act si allinea al quadro di riferimento dell'UE per la cybersecurity e potrebbe diventare obbligatorio a partire dal 2024, ma con quali riflessi sulla sovranità dei dati?
Autore: Guy Bartram
Secondo la Commissione Europea, "i dati sono preziosi per tutte le organizzazioni, una risorsa significativa per l'economia digitale e la pietra angolare della competitività industriale dell'UE". Non stupisce se si considera che, secondo le proiezioni, entro il 2025 l'economia dei dati varrà in Europa oltre 829 miliardi di euro e creerà quasi 11 milioni di posti di lavoro. Numeri di tale portata sono proprio alla base dell'evoluzione delle strategie e dei regolamenti dell'UE. La più recente è il Digital Operational Resilience Act (Dora), la normativa recentemente introdotta dall’Unione Europea con l’obiettivo di rafforzare la sicurezza nel settore finanziario, mentre aggiornamenti della legge sulla sicurezza informatica e della legge sui dati personali seguiranno probabilmente a breve. Il Dora si allinea al quadro di riferimento dell'UE per la cybersecurity (Eucs) e potrebbe diventare obbligatorio per i settori classificati come altamente critici ai sensi della Direttiva UE sulle reti e i sistemi informativi (NIS2) a partire dal 2024.
Per dare un contesto alla misura in cui l'Europa sta cercando di riprendere il controllo dei propri dati, l'UE ha investito nella ricerca e nell'innovazione con regolamenti, politiche e standard per un valore di 1.800 miliardi di euro. Il Dora è una normativa cruciale perché affronta il concetto di proprietà e controllo, inizialmente per le organizzazioni finanziarie, ma estendendosi a un ambito più ampio. Fondamentale è che le aziende debbano garantire l'allineamento con le normative più recenti, in quanto verranno introdotti revisori locali per assicurare la compliance, che verrà rafforzata dalle legislazioni successive: la legge sulla sicurezza informatica (Eucs), per esempio, proteggerà i dati dell'UE, al di fuori della portata di una giurisdizione straniera.
Queste e altre normative globali sulla privacy dei dati, come l'Eucs, l'AI Act e il Data Act, stanno creando un ambiente di "protezionismo" regionale e preoccupazioni relative alla proprietà e alla privacy dei dati. Secondo un documento, a livello globale 145 Paesi hanno leggi sulla privacy dei dati, in aumento rispetto ai 132 del 2018. Queste leggi variano da Paese a Paese, richiedendo esperti locali e cloud multipli, il che significa che le aziende sentono il peso delle risorse e delle competenze. Secondo una recente ricerca condotta in collaborazione con IDC, oltre il 70% delle aziende ritiene che le normative finanziarie e ambientali diventeranno sempre più una minaccia, mentre la fonte suggerisce che l'88% dei consigli di amministrazione considera la cybersecurity come un rischio di business. Inoltre, le aziende sono alle prese con questioni macro come le pressioni economiche globali, l'inflazione e le continue incertezze geopolitiche. A tutto questo si aggiunge la triplice crisi dell'ONU, che riguarda i cambiamenti climatici, l'inquinamento e le alterazioni della biodiversità.
Il risultato è che la resilienza operativa digitale e la capacità di un'azienda di controllare e gestire i propri dati sovrani in qualsiasi circostanza sono state catapultate in cima all'agenda dei consigli di amministrazione.
Tuttavia, le sfide legate alla gestione e all'archiviazione di dati sensibili e critici sono in aumento. Il volume di dati altamente sensibili ospitati nel cloud è in crescita. Il 64% delle organizzazioni dell'area Emea ha effettivamente aumentato il volume di dati sensibili e il 63% ha già archiviato dati riservati e segreti nel cloud pubblico, secondo il rapporto IDC precedentemente citato. Allo stesso tempo, il 95% delle aziende cita la necessità di gestire i dati non strutturati come un problema per la propria attività e il 42% dei responsabili aziendali è molto o estremamente preoccupato per i dati critici gestiti dai fornitori di cloud statunitensi. La piattaforma di dati di mercato Statista ha rilevato che il 66% del mercato cloud europeo è controllato da fornitori con sede negli Stati Uniti, che sono soggetti a controlli giurisdizionali esterni come il Cloud Act statunitense.
La gestione di questa esposizione di dati classificati altamente sensibili sta determinando la necessità di sovranità dei dati, in cui l'intelligence è vincolata dalle leggi sulla privacy e dalle strutture di governance di una nazione, di un settore industriale o di un'organizzazione. Per mantenere la stabilità all'interno di un ambito sovrano, le aziende devono utilizzare un endpoint cloud che offra le stesse protezioni sovrane della sede originaria, ma molte multinazionali del cloud non possono garantirlo.
Per questo le aziende devono adottare una strategia "Cloud Smart", che garantisca flessibilità, permettendo ai sistemi critici per l'azienda di essere spostati senza problemi da un fornitore di cloud a un altro per garantire la continuità. Il recente accordo politico sul Data Act (entrato in vigore il 27 giugno 2023) mira a rimuovere le barriere legali, finanziarie (ad esempio le tariffe) e tecniche per consentire un più facile passaggio da un fornitore di servizi cloud all'altro. Adottare questo approccio significa affrontare in modo completo tutti gli aspetti di un'azienda, compresa la catena di fornitura sovrana (nel caso del Dora) e richiederà verifiche per controllare che tutti i componenti soddisfino gli stessi standard di resilienza operativa. Non è opportuno adottare una strategia che preveda la copia dei dati al di fuori di una zona sovrana o che possa portare a interruzioni prolungate a causa dell'assenza di un sito o di un'istanza secondaria. I recenti aggiornamenti dell'Eucs alla bozza di proposta includono ora una categoria High+, in base alla quale nessuna entità al di fuori dell'UE avrebbe un controllo effettivo sui dati del cloud.
Inoltre, per ottenere una vera resilienza non è consigliabile affidarsi a un unico fornitore di cloud. Al contrario, un servizio resiliente dovrebbe sfruttare soluzioni multi-cloud e ibride per spostare in modo efficiente i carichi di lavoro e i dati secondo le necessità per evitare tempi di inattività e interruzioni.
In definitiva, il motivo per cui la sovranità è così importante è che consente alle organizzazioni di essere innovative con i loro dati e di fornire nuovi servizi digitali. Le prossime legislazioni possono essere ammantate dall'obiettivo della protezione, ma nel lungo termine saranno portate a soddisfare e superare i numeri previsti dalla Commissione Europea in materia di dati: non si investono 1.800 miliardi di euro se non ci si aspetta un grande ritorno.
Queste legislazioni sono gli elementi costitutivi delle fondamenta di una futura Europa sovrana. Un'Europa in cui non solo siamo responsabili dei nostri dati, ma anche del nostro destino.
Guy Bartram è Cloud Evangelist di VMware