Convergenza DORA + GDPR

Gestisci la conformità a DORA e GDPR in un'unica piattaforma, senza duplicare il lavoro tra le entità

Aggiornato 2026-06-23
Punti chiave: Priverion è una piattaforma ospitata in Svizzera che unifica la gestione del rischio ICT secondo DORA e la conformità privacy GDPR per le organizzazioni finanziarie multi-entità.

Le entità finanziarie devono soddisfare i mandati di rischio ICT di DORA e gli obblighi di privacy del GDPR, spesso su decine di entità e giurisdizioni. Priverion offre al tuo team privacy un'unica piattaforma per gestirli entrambi, senza duplicare il lavoro o perdere gli audit trail.

Prenota una demo focalizzata su DORA

"Entro sei mesi dall'adozione di Priverion, la ricertificazione del registro dei trattamenti era completamente automatizzata. Finalmente ho tempo per il lavoro strategico sulla privacy invece che per la manutenzione dei fogli di calcolo."

Responsabile della protezione dei dati, Aircraft manufacturer

Riduzione del 60% del tempo di amministrazione della conformità, primi 6 mesi

DORA (Regolamento (UE) 2022/2554) introduce requisiti di gestione del rischio ICT, segnalazione degli incidenti, supervisione dei terzi e test di resilienza che si intersecano direttamente con i programmi di privacy esistenti. Ci si aspetta ora che i team privacy nel settore bancario, assicurativo e dei servizi finanziari dimostrino in che modo le loro DPIA, le valutazioni dei fornitori e i processi di risposta alle violazioni si allineano con DORA, oltre a tutto ciò che già gestiscono ai sensi del GDPR. La domanda non è se questi requisiti si sovrappongono. È se i tuoi strumenti sono in grado di gestire la sovrapposizione senza creare caos operativo.

Infrastruttura ospitata in Svizzera Scelto da team privacy che gestiscono oltre 50 entità Sicurezza di livello enterprise
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Come Priverion lo risolve

Un'unica piattaforma per i requisiti di conformità DORA e privacy, su tutte le entità

Ogni funzionalità qui sotto risponde direttamente a un punto critico che il tuo team sta già gestendo. La differenza: smetti di destreggiarti tra sistemi paralleli e inizi a far girare un unico flusso di lavoro verificabile.

Flussi di lavoro unificati per la risposta agli incidenti

Gestisci la classificazione degli incidenti ICT secondo DORA e le notifiche di violazione GDPR da un unico record d'incidente. Priverion identifica automaticamente quando un incidente ICT fa scattare obblighi di violazione dei dati personali, instrada le notifiche alle autorità corrette per ogni entità e giurisdizione e mantiene un audit trail completo, così il tuo team non deve più riconciliare due processi paralleli.

Riduzione del 60% del tempo di coordinamento nella risposta agli incidenti

Rispetto alla gestione dei flussi di lavoro per gli incidenti DORA e GDPR in sistemi paralleli

Valutazioni integrate del rischio dei terzi e della privacy

Conduci la due diligence sui terzi ICT richiesta da DORA insieme ai Transfer Impact Assessment e alle revisioni dei sub-responsabili in un unico flusso di lavoro. Collega i record dei fornitori direttamente alle attività di trattamento nel tuo registro dei trattamenti, così nulla sfugge quando le autorità chiedono prove di una supervisione coordinata su entrambi i quadri normativi.

100% di copertura nella valutazione del rischio dei fornitori

Un operatore sanitario ha raggiunto la copertura totale dei fornitori utilizzando il flusso di valutazione unificato di Priverion

Modelli di DPIA pre-mappati sugli scenari DORA

Priverion include modelli di DPIA assistiti dall'IA che tengono conto delle attività di trattamento specifiche di DORA: test di resilienza, threat-led penetration testing ai sensi dell'articolo 26, gestione del cambiamento ICT e mappatura delle funzioni critiche. Il tuo team non deve costruirli da zero, e ogni bozza generata dall'IA viene rivista da una persona prima di diventare un record di conformità.

Avvia DPIA allineate a DORA in ore, non in settimane

Redazione assistita dall'IA con supervisione umana, nessun dato dei clienti usato per l'addestramento dei modelli

Ricertificazione automatizzata del registro dei trattamenti su tutte le entità del gruppo

DORA non cambia i tuoi obblighi relativi al registro dei trattamenti, li amplia. Le nuove attività di trattamento legate alla gestione del rischio ICT, al logging degli incidenti e al monitoraggio dei terzi devono tutte essere registrate. I flussi di ricertificazione automatizzati di Priverion inviano gli aggiornamenti simultaneamente a ogni entità rilevante, eliminando l'inseguimento tra le unità di business.

Tasso di ricertificazione del registro dei trattamenti del 100%, completamente automatizzato

Un assicuratore svizzero ha raggiunto la ricertificazione completamente automatizzata utilizzando Priverion

Reporting e documentazione consapevoli della giurisdizione

Genera documentazione di conformità DORA e report sulla privacy su misura per l'autorità nazionale competente e l'autorità di protezione dei dati di ciascuna entità. Priverion mappa i requisiti normativi per giurisdizione, così il tuo team produce il report giusto per l'autorità giusta, ogni volta, senza monitorare manualmente le diverse implementazioni nazionali.

Riduzione del 40% del tempo di preparazione dei report

Rispetto alla generazione manuale di report specifici per giurisdizione su gruppi multi-entità

Sovranità svizzera dei dati. Integrata, non aggiunta

Ogni elemento dei dati di conformità DORA e privacy, record degli incidenti, valutazioni dei fornitori, DPIA, registri dei trattamenti, rimane all'interno dell'infrastruttura svizzera. In un mondo post-Schrems II in cui le autorità finanziarie esaminano le dipendenze dai fornitori cloud, l'hosting svizzero non è una casella di marketing. È il fondamento legale per la fiducia nei trasferimenti transfrontalieri di dati.

Residenza europea dei dati garantita

Tutto il trattamento dei dati avviene su infrastruttura svizzera. Sviluppato in Svizzera e ospitato in Svizzera

Prenota una demo focalizzata su DORA Esplora le funzionalità DORA nella tua dashboard

200+

Ore risparmiate nella gestione del registro dei trattamenti

Un'azienda di tecnologia medica ha reindirizzato oltre 200 ore dal monitoraggio manuale del registro dei trattamenti alla preparazione ISO 27001 nel primo anno con Priverion

60%

Costo totale inferiore rispetto a OneTrust

Basato su confronti di prezzo pubblicati per organizzazioni del mid-market che gestiscono oltre 10 entità con copertura di moduli equivalente

92%

Indice di soddisfazione dei clienti

Basato su sondaggio clienti, Q1 2025, tra organizzazioni che gestiscono programmi di privacy multi-entità

Priverion vs. OneTrust

Gestione della privacy di livello enterprise senza il mal di testa enterprise

Le organizzazioni del mid-market hanno bisogno di profondità nella conformità, non di un sovraccarico di funzionalità. Ecco perché i team privacy che gestiscono più entità nelle giurisdizioni europee stanno facendo il passaggio.

L'esperienza OneTrust

Prezzi che penalizzano la crescita

I prezzi per utente e per modulo fanno lievitare i costi man mano che integri nuove filiali. Aggiungere cinque utenti a una nuova entità? È un'altra trattativa su una voce di costo.

Infrastruttura ospitata negli USA

I dati elaborati su infrastruttura statunitense restano soggetti alla giurisdizione USA. In un mondo post-Schrems II, ciò crea un rischio di trasferimento che il tuo team legale deve documentare e difendere.

Costruito per le Fortune 500

Centinaia di funzionalità tra GRC, ESG, etica e consenso ai cookie. Potente, ma i team del mid-market segnalano implementazioni lunghe mesi e funzionalità che non useranno mai.

200+ integrazioni superficiali

Una lunga lista di integrazioni fa bella figura su una matrice comparativa. Ma i connettori che restituiscono dati parziali o richiedono manutenzione costante creano più lavoro, non meno.

Onboarding complesso

Tempi di implementazione enterprise misurati in mesi, con project manager dedicati e budget per servizi professionali in aggiunta al costo della licenza.

L'esperienza Priverion

Prezzi prevedibili e all-inclusive

Prezzo basato sul numero di società e sulle dimensioni dell'organizzazione, non per utente o per modulo. Aggiungi tutti gli utenti di cui hai bisogno su ogni filiale senza rinegoziare il contratto.

Sviluppato in Svizzera, ospitato in Svizzera

Tutto il trattamento dei dati avviene all'interno dell'infrastruttura svizzera, una delle poche giurisdizioni con una decisione di adeguatezza dell'UE. La residenza europea dei dati non è una casella da spuntare; è la nostra architettura.

Progettato su misura per la privacy multi-entità

Ogni funzionalità esiste per risolvere la gestione del programma di privacy a livello di gruppo: registro dei trattamenti, DPIA, rischio dei fornitori, richieste degli interessati, flussi di lavoro per le violazioni e data mapping cross-entity, niente di superfluo.

Integrazioni profonde dove contano

Connessioni significative con i sistemi HR, procurement e IT asset management, i flussi di lavoro che davvero guidano la conformità privacy. Meno connettori, dati più ricchi.

Operativa in settimane

Aircraft manufacturer è passata dalla firma del contratto alla ricertificazione automatizzata del registro dei trattamenti su più filiali. Nessuna implementazione di sei mesi. Nessuna sorpresa sui servizi professionali.

Basato sul deployment di Aircraft manufacturer, riduzione del 60% del tempo di amministrazione della conformità nei primi 6 mesi

Per essere trasparenti: non copriamo ESG, hotline etiche o consenso ai cookie. Se ti servono, OneTrust è una scelta solida. Se ti serve una gestione del programma di privacy multi-entità focalizzata con residenza europea dei dati, è esattamente ciò che abbiamo costruito.

Cosa dicono i professionisti

Risultati da team privacy come il tuo

"Spendevamo la maggior parte del nostro tempo di amministrazione della conformità a inseguire le unità di business su più filiali per gli aggiornamenti del registro dei trattamenti. Entro sei mesi dall'adozione di Priverion, la ricertificazione era completamente automatizzata. Finalmente ho tempo per il lavoro strategico sulla privacy invece che per la manutenzione dei fogli di calcolo."

Responsabile della protezione dei dati, Aircraft manufacturer

Riduzione del 60% del tempo di amministrazione della conformità, primi 6 mesi

"I pacchetti di prova pronti per l'audit di Priverion ci hanno fatto risparmiare oltre 200 ore di lavoro di preparazione. Abbiamo accelerato di tre mesi la nostra certificazione ISO 27001, e la qualità della documentazione era migliore di quella che producevamo manualmente."

Responsabile della conformità presso un'azienda di tecnologia medica

Oltre 200 ore risparmiate nella preparazione ISO 27001

"Prima di Priverion avevamo lacune nelle nostre valutazioni del rischio dei fornitori, semplicemente non avevamo la capacità di coprire ogni terzo. Ora abbiamo una copertura del 100% con un flusso di lavoro unificato che gestisce sia i requisiti di privacy sia quelli di rischio ICT."

Privacy Officer presso un operatore sanitario

Raggiunta una copertura del 100% nella valutazione del rischio dei fornitori

Guida gratuita

DORA incontra il GDPR: i requisiti di privacy che la tua entità finanziaria non può ignorare

DORA ha introdotto obblighi di rischio ICT che si sovrappongono a, e talvolta confliggono con, i quadri di privacy esistenti. Questa guida mappa ogni intersezione, così il tuo RPD e il tuo CISO non duplicano il lavoro né lasciano lacune.

Cosa contiene:

  • Una mappatura clausola per clausola degli articoli 5–15 di DORA rispetto ai requisiti del GDPR, che mostra dove gli obblighi si sovrappongono, dove divergono e dove si nascondono le lacune
  • I requisiti di gestione del rischio dei terzi ICT secondo DORA e come modificano le valutazioni di privacy dei fornitori e gli obblighi relativi alle SCC
  • Le tempistiche di segnalazione degli incidenti messe a confronto. La notifica iniziale di 4 ore di DORA contro la finestra di 72 ore del GDPR, e come costruire un unico flusso di lavoro che soddisfi entrambi
  • Una checklist pratica per l'implementazione a livello di gruppo su più entità e giurisdizioni, costruita a partire da veri programmi di conformità multi-filiale

PDF gratuito. Nessuna demo richiesta. Lo invieremo alla tua casella di posta.

FAQ

Conformità privacy DORA: domande comuni

DORA sostituisce il GDPR per le entità finanziarie?

No. DORA e GDPR sono regolamenti complementari con ambiti distinti. DORA si concentra sulla gestione del rischio ICT e sulla resilienza operativa digitale per le entità finanziarie, mentre il GDPR disciplina la protezione dei dati personali. Le entità finanziarie devono rispettarli entrambi contemporaneamente. La sfida è che molti requisiti di DORA, in particolare quelli relativi alla segnalazione degli incidenti, alla gestione del rischio dei terzi e alla sicurezza delle informazioni, si sovrappongono direttamente agli obblighi del GDPR. Priverion ti aiuta a gestire entrambi i set di requisiti in un unico flusso di lavoro, così eviti duplicazioni e lacune.

Come interagisce la tempistica di segnalazione degli incidenti di DORA con la notifica di violazione di 72 ore del GDPR?

DORA richiede una notifica iniziale dell'incidente ICT entro 4 ore dalla classificazione, seguita da report intermedi e finali. Il GDPR richiede la notifica all'autorità di controllo entro 72 ore da quando si viene a conoscenza di una violazione dei dati personali. Quando un incidente ICT coinvolge anche dati personali, entrambe le tempistiche corrono in parallelo, e devi notificare autorità diverse con informazioni diverse. Il flusso di lavoro unificato per gli incidenti di Priverion identifica automaticamente quando un incidente ICT fa scattare obblighi di violazione GDPR e instrada le notifiche corrette a ciascuna autorità per ogni entità e giurisdizione.

Priverion può gestire la conformità DORA per organizzazioni con oltre 50 entità?

Sì. Priverion è progettato specificamente per la gestione del programma di privacy a livello di gruppo su più entità e giurisdizioni. Serviamo organizzazioni con oltre 50 entità, offrendo data mapping cross-entity, ricertificazione automatizzata del registro dei trattamenti su tutte le filiali e reporting consapevole della giurisdizione. Il prezzo è basato sul numero di società e sulle dimensioni dell'organizzazione, non per utente, così la scalabilità tra le entità non genera sorprese sui costi.

In che modo l'hosting svizzero aiuta nella conformità a DORA e GDPR?

La Svizzera ha una decisione di adeguatezza dell'UE, il che significa che i trasferimenti di dati verso la Svizzera sono trattati come equivalenti ai trasferimenti intra-UE ai sensi del GDPR. Per le entità finanziarie soggette ai requisiti di DORA sul rischio dei terzi ICT, compreso l'esame delle dipendenze dai fornitori cloud e della residenza dei dati, l'infrastruttura ospitata in Svizzera fornisce un fondamento giuridicamente difendibile. Tutti i dati di conformità in Priverion rimangono all'interno dell'infrastruttura svizzera, eliminando il rischio di trasferimento transfrontaliero che comportano le alternative ospitate negli USA.

Priverion usa l'IA per la conformità DORA? È sicura?

Priverion utilizza capacità assistite dall'IA per la redazione delle DPIA, il risk scoring e la mappatura normativa, compresi gli scenari specifici di DORA. Tutti i risultati dell'IA vengono rivisti da una persona prima di diventare record di conformità. Nessun dato dei clienti viene utilizzato per l'addestramento dei modelli. Tutto il trattamento dei dati avviene all'interno dell'infrastruttura svizzera. L'IA assiste il processo decisionale del tuo team; non lo sostituisce mai.

Cosa non copre Priverion?

Ci concentriamo esclusivamente sulla gestione del programma di privacy. Non copriamo il reporting ESG, le hotline etiche o la gestione del consenso ai cookie. Inoltre non siamo costruiti per organizzazioni con una sola entità, il nostro punto di forza è la gestione a livello di gruppo su più filiali e giurisdizioni. Se hai bisogno di un'ampia piattaforma GRC che copra tutto, OneTrust o strumenti simili potrebbero essere più adatti. Se hai bisogno di una conformità privacy multi-entità focalizzata con residenza europea dei dati, è esattamente ciò che abbiamo costruito.

Il tuo team di compliance merita strumenti migliori

Smetti di gestire la sovrapposizione tra DORA e GDPR nei fogli di calcolo. Inizia a gestirla in 30 minuti.

Scopri come organizzazioni come Aircraft manufacturer hanno ridotto del 60% il tempo di amministrazione della conformità nei primi sei mesi, con ricertificazione automatizzata del registro dei trattamenti, DPIA assistite dall'IA e visibilità a livello di gruppo su ogni filiale e giurisdizione.

Sviluppato in Svizzera. Ospitato in Svizzera. Prezzi prevedibili senza trappole per utente. Basta un solo walkthrough per vedere la differenza.

Prenota una demo focalizzata su DORA

Nessun impegno richiesto. Nessun discorso di vendita, solo uno sguardo guidato a come Priverion gestisce la privacy multi-entità, così puoi decidere se è adatto al tuo programma.

The Privacy Compliance Briefing

Approfondimenti mensili sull'applicazione del GDPR, sugli aggiornamenti della nLPD e sulle strategie di automazione per RPD e team di compliance.

Niente spam. Disiscrizione in qualsiasi momento.

Informazioni su questa pagina — riferimenti, definizioni e FAQ

Punti chiave — Requisiti di conformità DORA e privacy

Le entità finanziarie in tutta l'UE devono rispettare contemporaneamente sia DORA (Regolamento (UE) 2022/2554) sia il GDPR. I due quadri normativi condividono una sovrapposizione significativa nella segnalazione degli incidenti, nella gestione del rischio dei terzi e nelle valutazioni d'impatto. Priverion è una piattaforma GRC ospitata in Svizzera, progettata su misura per le organizzazioni multi-entità che devono gestire sia i mandati di resilienza ICT di DORA sia gli obblighi di privacy del GDPR da un unico flusso di lavoro verificabile, eliminando le duplicazioni tra filiali e giurisdizioni.

Che cos'è DORA (Digital Operational Resilience Act)?

DORA — il Digital Operational Resilience Act — è il Regolamento (UE) 2022/2554, che istituisce un quadro completo di gestione del rischio ICT per le entità finanziarie dell'UE. Copre la governance del rischio ICT, la classificazione e segnalazione degli incidenti, i test di resilienza operativa digitale (compreso il threat-led penetration testing), la supervisione dei fornitori terzi di servizi ICT e gli accordi di condivisione delle informazioni. DORA si applica dal 17 gennaio 2025.

Che cos'è una DPIA ai sensi del GDPR?

Una valutazione d'impatto sulla protezione dei dati (DPIA) è richiesta ai sensi dell'articolo 35 del GDPR ogni volta che un trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Molte attività richieste da DORA — come il threat-led penetration testing ai sensi dell'articolo 26 e la mappatura delle funzioni critiche — comportano un trattamento di dati personali che fa scattare questa soglia.

Che cos'è l'obbligo del registro dei trattamenti?

Il registro delle attività di trattamento (registro dei trattamenti) è prescritto dall'articolo 30 del GDPR. I titolari e i responsabili del trattamento devono tenere un registro scritto di tutte le attività di trattamento. DORA amplia l'ambito delle attività di trattamento che devono essere documentate, compresi i log di gestione del rischio ICT, i record degli incidenti e le attività di monitoraggio dei terzi.

Statistiche: il panorama della conformità a DORA e GDPR

Secondo il rapporto ENISA Threat Landscape 2024, il settore finanziario ha rappresentato circa il 9% di tutti gli incidenti informatici segnalati nell'UE, a sottolineare la necessità di una gestione unificata degli incidenti ICT e di privacy. L'IAPP-EY 2023 Privacy Governance Report ha rilevato che il 60% delle organizzazioni gestisce ancora la conformità privacy utilizzando fogli di calcolo o processi manuali, creando un rischio significativo di lacune quando quadri normativi sovrapposti come DORA e GDPR devono essere affrontati contemporaneamente. Il Comitato europeo per la protezione dei dati ha osservato nelle sue Linee guida 01/2021 sugli esempi di notifica delle violazioni dei dati che gli incidenti ICT nei servizi finanziari coinvolgono frequentemente dati personali, richiedendo una notifica coordinata secondo le tempistiche sia di DORA sia del GDPR.

In che modo la segnalazione degli incidenti di DORA si sovrappone alla notifica di violazione del GDPR?

DORA richiede alle entità finanziarie di classificare e segnalare i principali incidenti ICT alla loro autorità nazionale competente secondo una tempistica strutturata. Quando lo stesso incidente coinvolge dati personali, l'articolo 33 del GDPR richiede la notifica all'autorità di controllo entro 72 ore. Le organizzazioni devono mantenere un unico record d'incidente che soddisfi entrambi i quadri normativi per evitare tempistiche in conflitto e segnalazioni duplicate. Il flusso di lavoro unificato per gli incidenti di Priverion identifica automaticamente quando un incidente ICT fa scattare obblighi di violazione dei dati personali e instrada le notifiche di conseguenza.

Chi deve conformarsi a DORA?

DORA si applica agli enti creditizi, alle imprese di investimento, alle imprese di assicurazione e riassicurazione, agli istituti di pagamento, agli istituti di moneta elettronica, ai depositari centrali di titoli, ai fornitori di servizi per le cripto-attività e ai loro fornitori terzi critici di servizi ICT. L'ambito completo è definito nell'articolo 2 del Regolamento (UE) 2022/2554. Praticamente ogni entità finanziaria regolamentata nell'UE rientra nell'ambito di applicazione.

Perché l'hosting svizzero è rilevante per la conformità a DORA e GDPR?

La Svizzera beneficia di una decisione di adeguatezza dell'UE (Decisione 2000/518/CE), il che significa che i trasferimenti di dati personali dall'UE alla Svizzera non richiedono garanzie aggiuntive come le clausole contrattuali tipo. Nell'ambiente post-Schrems II, in cui la CGUE ha invalidato il Privacy Shield UE-USA, l'infrastruttura ospitata in Svizzera fornisce un fondamento giuridicamente solido per la residenza europea dei dati, particolarmente importante per le entità finanziarie le cui autorità di vigilanza esaminano le dipendenze dai fornitori cloud.

Qual è il rapporto tra la supervisione dei terzi di DORA e la gestione dei responsabili del trattamento del GDPR?

Il Capo V di DORA istituisce un quadro completo per la gestione dei fornitori terzi di servizi ICT, comprese la valutazione del rischio, i requisiti contrattuali e un quadro di supervisione a livello UE per i fornitori critici. L'articolo 28 del GDPR impone obblighi paralleli ai responsabili del trattamento, compresi la gestione dei sub-responsabili e i diritti di audit. Le organizzazioni che gestiscono queste valutazioni in sistemi separati rischiano record dei fornitori incoerenti e lacune negli audit. Priverion collega i record di rischio dei fornitori direttamente alle attività di trattamento nel registro dei trattamenti, garantendo una supervisione coordinata su entrambi i quadri normativi.

DORA vs. GDPR — Confronto della sovrapposizione dei requisiti

Area di conformitàRequisito DORARequisito GDPRSovrapposizione
Segnalazione degli incidentiSegnalare i principali incidenti ICT all'autorità competente (Art. 19)Notificare all'autorità di controllo entro 72 ore dalla violazione dei dati personali (Art. 33)Alta — gli incidenti ICT coinvolgono frequentemente dati personali
Supervisione dei terziQuadro di gestione del rischio dei terzi ICT (Capo V)Due diligence sui responsabili del trattamento e garanzie contrattuali (Art. 28)Alta — gli stessi fornitori valutati su entrambi i quadri normativi
Valutazioni d'impattoTest di resilienza, TLPT (Art. 26)DPIA per il trattamento ad alto rischio (Art. 35)Media — le attività di test di DORA possono far scattare una DPIA
Tenuta dei registriDocumentazione di gestione del rischio ICT (Art. 6)Registro delle attività di trattamento (Art. 30)Media — DORA amplia le attività di trattamento da documentare
GovernanceResponsabilità dell'organo di gestione per il rischio ICT (Art. 5)Principio di responsabilizzazione del titolare del trattamento (Art. 5(2))Alta — responsabilità a livello di consiglio in entrambi
Coordinamento transfrontalieroSegnalazione all'autorità nazionale competente per entitàAutorità di controllo capofila + notifiche alle autorità di protezione dei dati localiAlta — i gruppi multi-entità affrontano segnalazioni parallele

DORA richiede una valutazione d'impatto sulla protezione dei dati?

DORA non impone esplicitamente le DPIA. Tuttavia, molte attività di trattamento richieste da DORA — compreso il threat-led penetration testing (TLPT) ai sensi dell'articolo 26, la gestione del cambiamento ICT e la mappatura delle funzioni critiche — comportano un trattamento di dati personali in modi che possono presentare un rischio elevato per le persone. Ai sensi dell'articolo 35 del GDPR, ciò fa scattare una DPIA obbligatoria. Priverion include modelli di DPIA assistiti dall'IA pre-mappati su questi scenari specifici di DORA.

Come vengono applicate le sanzioni DORA?

L'applicazione di DORA è effettuata dalle autorità nazionali competenti (ad esempio BaFin in Germania, ACPR in Francia, organismi equivalenti alla FINMA). Le sanzioni variano da Stato membro a Stato membro ma possono includere sanzioni amministrative, ammonizioni pubbliche e ordini di cessazione delle attività non conformi. Per i fornitori terzi critici di servizi ICT, il Lead Overseer a livello UE (una delle Autorità europee di vigilanza) può imporre penalità di mora periodiche fino all'1% del fatturato medio giornaliero mondiale, come specificato nell'articolo 35(8) di DORA.