DORA · Digital Operational Resilience Act

Che cos’è

Il Digital Operational Resilience Act (DORA) — Regolamento (UE) 2022/2554 — è la cornice unica europea per la resilienza operativa digitale del settore finanziario. È un Regolamento, quindi direttamente applicabile (dal 17 gennaio 2025), senza necessità di recepimento nazionale.

Si applica a quasi tutti i financial entities: banche, assicurazioni, SIM, SGR, istituti di pagamento, IMEL, gestori di sistemi di trading, trade repositories, crowdfunding service provider, fondi pensione — oltre che ai loro fornitori ICT critici, sorvegliati direttamente dalle ESA.

Cinque pilastri:

1. ICT risk management (artt. 5–16) — framework di governo del rischio.
2. ICT incident reporting (artt. 17–23) — notifiche armonizzate.
3. Digital operational resilience testing (artt. 24–27) — inclusi i TLPT (Threat-Led Penetration Test).
4. Third-party risk management (artt. 28–44) — registro, contratti, concentration risk.
5. Information sharing (art. 45) — condivisione volontaria di cyber threat intelligence.

Cosa ottieni

• Framework di ICT risk management conforme all’art. 6 — strategia, policy, ruoli, RACI.
• Registro delle funzioni ICT e registro completo dei fornitori ICT (art. 28, c. 3) nel formato richiesto da EBA/ESMA/EIOPA.
• Classificazione degli incidenti ICT con i criteri dell’RTS sulla classificazione (art. 18).
• Procedure di notifica verso l’autorità competente nazionale con template pronti: initial notification, intermediate report, final report.
• Test di resilienza documentati: VA periodici, test di scenari, business continuity, TLPT per i soggetti significativi.
• Contratti con fornitori ICT rivisti per inserire le clausole obbligatorie (art. 30) — auditabilità, sub-outsourcing, exit strategy, concentration risk.
• Piano di gestione della concentrazione — se hai tutto su un solo cloud provider, DORA ti chiede di saperlo.

A chi si rivolge

• Banche di ogni dimensione e credito cooperativo.
• Compagnie assicurative e riassicurative.
• SIM, SGR, SICAV.
• Istituti di pagamento, IMEL, PSP.
• Crypto-asset service provider (MiCA).
• Fornitori ICT critici (cloud, MSP, fintech B2B) che servono il finanziario — DORA impone requisiti anche su di loro.

Metodologia

1. Assessment del perimetro — classificazione come financial entity, significant entity, o critical ICT third-party provider.
2. Gap analysis rispetto ai 5 pilastri, con letteratura degli RTS/ITS emanati da EBA-ESMA-EIOPA.
3. ICT risk framework disegnato allineato a ISO 27001 e ISO 22301 (business continuity) — DORA si appoggia bene su queste baseline.
4. Inventory ICT assets + registro fornitori — tassonomia richiesta è specifica; serve un setup deliberato.
5. Testing plan annuale + pianificazione TLPT ogni 3 anni (per i soggetti significativi). Per il TLPT coordino con red team qualificati secondo TIBER-EU.
6. Revisione contrattuale con i fornitori ICT — clausole obbligatorie, exit plan testato.
7. Reporting e preparazione all’interazione con l’autorità di vigilanza.

Perché con me

Porto insieme il background di ethical hacker (indispensabile per la parte di resilience testing e TLPT) e di Lead Auditor ISO 27001 — il ponte naturale fra DORA, ISO 27001 e ISO 22301. Ho lavorato con istituti bancari come consulente IT Security. Per TLPT veri e propri collaboro con red team qualificati; per tutta la governance, l’ICT risk management e il third-party risk l’ingaggio è diretto.