Punti chiave — Conformità RTS e ITS di DORA
Le Autorità europee di vigilanza (EBA, ESMA, EIOPA) hanno pubblicato oltre 20 norme tecniche di regolamentazione (RTS) e norme tecniche di attuazione (ITS) nell'ambito di DORA, creando centinaia di requisiti granulari per la gestione del rischio ICT, la segnalazione degli incidenti, la supervisione dei terzi e il threat-led penetration testing. Le entità finanziarie che operano su più filiali affrontano una complessità esponenziale quando monitorano questi obblighi nei fogli di calcolo. Una piattaforma GRC centralizzata può mappare ciascun requisito sulle misure, assegnare i responsabili, automatizzare la ricertificazione e generare pacchetti di prova pronti per l'audit — eliminando al contempo la duplicazione con gli obblighi sovrapposti di GDPR e ISO 27001.
Definizioni
Che cos'è DORA (Digital Operational Resilience Act)?
DORA è il Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, che istituisce un quadro completo per la resilienza operativa digitale nel settore finanziario. È entrato in vigore il 16 gennaio 2023 e si applica dal 17 gennaio 2025. DORA richiede alle entità finanziarie di attuare una solida gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza operativa digitale e la gestione del rischio dei terzi. Fonte: EUR-Lex — Regolamento (UE) 2022/2554
Cosa sono le norme tecniche di regolamentazione (RTS)?
Le norme tecniche di regolamentazione (RTS) sono atti delegati elaborati dalle Autorità europee di vigilanza che specificano i requisiti tecnici dettagliati per l'attuazione di DORA. Coprono ambiti come i quadri di gestione del rischio ICT, i criteri di classificazione degli incidenti, le politiche di subappalto per i servizi ICT critici e il threat-led penetration testing (TLPT). Fonte: EUR-Lex — DORA
Cosa sono le norme tecniche di attuazione (ITS)?
Le norme tecniche di attuazione (ITS) sono atti di esecuzione che prescrivono modelli, formati e procedure uniformi per la conformità a DORA — compreso il registro delle informazioni sui fornitori terzi di servizi ICT e i modelli di segnalazione degli incidenti. Fonte: EUR-Lex — DORA
Che cos'è la gestione del rischio ICT secondo DORA?
La gestione del rischio ICT secondo DORA (Capo II, articoli 5–16) richiede alle entità finanziarie di istituire e mantenere un quadro completo di gestione del rischio ICT che includa capacità di identificazione, protezione, rilevamento, risposta e ripristino. Le relative RTS specificano requisiti dettagliati per politiche, procedure e strutture di governance. Fonte: EUR-Lex — DORA Capo II
Che cos'è il registro delle informazioni di DORA?
Il registro delle informazioni è richiesto dall'articolo 28(3) di DORA e dettagliato nell'ITS sui registri delle informazioni. Le entità finanziarie devono mantenere un registro completo di tutti gli accordi contrattuali con i fornitori terzi di servizi ICT, comprese le catene di sub-esternalizzazione, e segnalarlo alle autorità competenti. Fonte: EUR-Lex — DORA articolo 28
Statistiche e contesto di settore
Secondo il rapporto Threat Landscape 2024 dell'ENISA, il settore finanziario rimane tra i primi tre settori più presi di mira dagli incidenti informatici nell'UE, a sottolineare l'urgenza dei requisiti di resilienza operativa di DORA. Fonte: ENISA Threat Landscape 2024
L'Autorità bancaria europea (EBA) ha pubblicato il suo primo lotto di norme tecniche di DORA a gennaio 2024 e il secondo lotto a luglio 2024, coprendo la gestione del rischio ICT, la segnalazione degli incidenti, la supervisione dei terzi e il TLPT. Oltre 20 singoli documenti RTS e ITS sono stati finalizzati nei due lotti. Fonte: EUR-Lex — DORA
Secondo l'IAPP-EY 2023 Privacy Governance Report, il 60% delle organizzazioni segnala che gestire obblighi normativi sovrapposti (come il GDPR e regolamenti settoriali come DORA) è una delle principali sfide di conformità. Fonte: IAPP-EY 2023 Privacy Governance Report
Gartner prevede che entro il 2026 il 70% dei consigli di amministrazione delle organizzazioni nei settori regolamentati imporrà piattaforme integrate di gestione del rischio anziché strumenti di conformità a silos. Fonte: Gartner
Domande frequenti
Quanti documenti RTS e ITS di DORA sono stati pubblicati?
Le Autorità europee di vigilanza (EBA, ESMA, EIOPA) hanno pubblicato oltre 20 documenti RTS e ITS in due lotti — il Lotto 1 a gennaio 2024 e il Lotto 2 a luglio 2024. Coprono i quadri di gestione del rischio ICT, la classificazione e segnalazione degli incidenti, i registri dei fornitori terzi di servizi ICT, le clausole contrattuali, il threat-led penetration testing e la condivisione delle informazioni. Fonte: EUR-Lex — DORA
Quando è diventato applicabile DORA?
DORA (Regolamento (UE) 2022/2554) è entrato in vigore il 16 gennaio 2023 ed è diventato pienamente applicabile il 17 gennaio 2025. Le entità finanziarie e i fornitori terzi critici di servizi ICT devono conformarsi a tutti i requisiti, comprese le RTS e ITS dettagliate, a partire da tale data. Fonte: EUR-Lex
In che modo i requisiti di DORA si sovrappongono al GDPR?
Molti requisiti RTS/ITS di DORA si intersecano direttamente con gli obblighi del GDPR. Ad esempio, il registro dei fornitori terzi di servizi ICT di DORA si sovrappone alla gestione dei responsabili del trattamento dell'articolo 28 del GDPR; i requisiti di gestione del rischio ICT di DORA sono paralleli alle misure di sicurezza dell'articolo 32 del GDPR; e la segnalazione degli incidenti di DORA presenta somiglianze con la notifica delle violazioni dell'articolo 33 del GDPR. Gestire questi aspetti in una piattaforma unificata elimina la duplicazione e riduce il rischio in fase di audit. Fonte: GDPR-info.eu — Articolo 28
Che cos'è il threat-led penetration testing (TLPT) secondo DORA?
Il Capo IV di DORA (articoli 26–27) richiede a determinate entità finanziarie di condurre il threat-led penetration testing almeno ogni tre anni. La relativa RTS specifica la metodologia, l'ambito e i requisiti di segnalazione per il TLPT, che deve simulare minacce informatiche reali contro le funzioni critiche. Fonte: EUR-Lex — DORA articoli 26–27
Chi deve conformarsi a DORA?
DORA si applica a un'ampia gamma di entità finanziarie, compresi gli enti creditizi, le imprese di investimento, le imprese di assicurazione e riassicurazione, gli istituti di pagamento, i fornitori di servizi per le cripto-attività e i fornitori terzi critici di servizi ICT. Il regolamento copre 21 categorie di entità finanziarie come definite nell'articolo 2. Fonte: EUR-Lex — DORA articolo 2
In che modo una piattaforma centralizzata aiuta nella conformità DORA multi-entità?
Per i gruppi societari che operano su più filiali, DORA richiede una segnalazione consolidata alle autorità di vigilanza — in particolare per il registro dei fornitori terzi di servizi ICT. Una piattaforma centralizzata mappa i requisiti sulle misure a livello di filiale, fornendo al contempo dashboard a livello di gruppo e una segnalazione consolidata, eliminando la frammentazione dei fogli di calcolo e degli strumenti a silos.
Quali prove si aspettano le autorità per la conformità DORA?
Le autorità di vigilanza si aspettano tracce di prove continue e verificabili — non istantanee a un dato momento. La RTS sui quadri di gestione del rischio ICT richiede politiche documentate, revisioni regolari e prove che le misure siano attivamente mantenute. I flussi di lavoro di ricertificazione automatizzati con audit trail completi possono generare pacchetti di prova in minuti anziché in settimane.
Confronto: approcci alla conformità DORA
| Funzionalità | Approccio manuale / fogli di calcolo | Piattaforma GRC centralizzata |
|---|
| Mappatura dei requisiti RTS/ITS | Sintesi manuale di PDF su oltre 20 documenti | Requisiti pre-mappati organizzati per pilastro DORA |
| Monitoraggio multi-entità | Fogli di calcolo separati per filiale | Dashboard cross-entity con visione consolidata |
| Gestione della sovrapposizione GDPR/DORA | Valutazioni duplicate in strumenti separati | Una sola valutazione soddisfa molteplici obblighi |
| Ricertificazione | Promemoria su calendario, follow-up manuale | Flussi di lavoro automatizzati con audit trail |
| Pacchetti di prova per le autorità | Settimane di compilazione manuale | Generati in minuti da dati in tempo reale |
| Scalabilità per team snelli | Aumento lineare dello sforzo per entità | La redazione assistita dall'IA moltiplica la capacità del team |