DORA Digital Operational Resilience Act.

DORA è il regolamento UE che impone un framework di resilienza uniforme agli enti finanziari e ai loro fornitori ICT critici. Cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, test di resilienza incluso il TLPT, rischio ICT di terze parti, condivisione delle informazioni. Applicabile dal 17 gennaio 2025. Incide in modo più stringente di NIS 2 sul versante ICT; in quanto lex specialis, prevale per gli enti finanziari.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

Il punto di vista di Cyber Academy

DORA è il regolamento UE che impone un framework di resilienza uniforme agli enti finanziari e ai loro fornitori ICT critici. Cinque pilastri: gestione del rischio ICT, segnalazione degli incidenti, test di resilienza incluso il TLPT, rischio ICT di terze parti, condivisione delle informazioni. Applicabile dal 17 gennaio 2025. Incide in modo più stringente di NIS 2 sul versante ICT; in quanto lex specialis, prevale per gli enti finanziari.

Perché DORA esiste e chi vincola

Prima di DORA, la resilienza operativa digitale delle entità finanziarie nell'UE era un mosaico. Le banche rispondevano a un insieme di aspettative di vigilanza, gli assicuratori a un altro, e le regole su incidenti ICT, esternalizzazione e test variavano per settore e per Stato membro. DORA sostituisce questa frammentazione con un unico regolamento che si applica direttamente in tutta l'Unione, senza necessità di recepimento nazionale. Il suo ambito è volutamente ampio: banche, assicuratori, imprese di investimento, istituti di pagamento e di moneta elettronica, prestatori di servizi per le cripto-attività, sedi di negoziazione e molti altri, oltre ai prestatori terzi critici di servizi ICT da cui tali entità dipendono.

Quest'ultimo punto è ciò che rende DORA diverso da una normale regola finanziaria. Non regola soltanto le imprese vigilate; arriva fino alla loro catena di approvvigionamento. I fornitori cloud, gli operatori di data center e i fornitori di software ritenuti critici per il sistema finanziario possono essere posti sotto vigilanza diretta a livello UE. Per un professionista, la conseguenza pratica è che la resilienza non è più qualcosa che si può esternalizzare del tutto e dimenticare. Lei resta responsabile del rischio ICT che i suoi fornitori comportano, e deve dimostrarlo.

I cinque pilastri nella pratica

DORA si fonda su cinque pilastri, e ciascuno si traduce in lavoro concreto di programma anziché in scartoffie:

  • Gestione del rischio ICT. Un quadro di governance di competenza dell'organo di gestione, che copre identificazione, protezione, rilevamento, risposta e ripristino per gli asset ICT. È la spina dorsale a cui si agganciano gli altri quattro pilastri.
  • Gestione e segnalazione degli incidenti. Classificare gli incidenti connessi alle ICT per gravità e segnalare quelli gravi all'autorità competente entro tempi definiti. L'accento è posto su una tassonomia armonizzata affinché le autorità di vigilanza di tutta l'UE vedano dati comparabili.
  • Test di resilienza operativa digitale. Un programma di test regolare che spazia dalle valutazioni delle vulnerabilità fino ai test di penetrazione guidati dalla minaccia (TLPT) per le entità più significative, modellati sul comportamento reale degli avversari.
  • Gestione del rischio dei terzi ICT. Garanzie contrattuali, registri delle informazioni su tutti gli accordi ICT, strategie di uscita e il regime di vigilanza per i prestatori terzi critici.
  • Condivisione delle informazioni. Scambio volontario di intelligence sulle minacce informatiche tra entità finanziarie, incoraggiato anziché imposto, per rafforzare la difesa collettiva.

DORA accanto a NIS 2

La domanda che i professionisti pongono più spesso è come DORA si rapporti a NIS 2, poiché entrambi sono strumenti dell'UE che toccano la cibersicurezza ed entrambi raggiungono all'incirca lo stesso livello di maturità. La risposta breve è lex specialis: dove DORA e NIS 2 si applicherebbero entrambi a un'entità finanziaria sull'angolo ICT, DORA prevale perché è la regola più specifica. NIS 2 fissa un'ampia base di cibersicurezza in molti settori; DORA approfondisce la resilienza ICT del settore finanziario e aggiunge il regime di vigilanza sui terzi che NIS 2 non ha.

DORA confrontato con NIS 2
DimensioneDORANIS 2
Tipo di strumentoRegolamento, direttamente applicabileDirettiva, recepita dagli Stati membri
Ambito primarioEntità finanziarie e i loro prestatori ICT criticiSoggetti essenziali e importanti in molti settori
FocusResilienza operativa digitale del sistema finanziarioGestione e segnalazione generale del rischio di cibersicurezza
Vigilanza sui terziVigilanza diretta dell'UE sui prestatori ICT criticiAttesa sicurezza della catena di approvvigionamento, nessun regime di vigilanza diretta
Precedenza per la finanzaPrevale come lex specialis sull'angolo ICTCede a DORA dove entrambi si applicherebbero

In termini quotidiani, una banca non può sceglierne uno. Mappa i propri obblighi e constata che, per il rischio ICT, la segnalazione degli incidenti e i test di resilienza, DORA è il testo che governa, mentre NIS 2 può ancora rilevare per parti del gruppo che esulano dall'ambito finanziario di DORA. Il modo pulito di gestire questo è un unico quadro di controllo, spesso ancorato a ISO 27001 e ISO 22301, che soddisfi entrambi i regimi e consenta di evidenziare la conformità una sola volta.

Frequently asked questions

01Da quando DORA è applicabile?

DORA si applica dal 17 gennaio 2025. In quanto regolamento dell'UE, è entrato in vigore direttamente, senza necessità di recepimento nazionale, quindi la data è la stessa in tutti gli Stati membri.

02DORA si applica al mio fornitore cloud?

Può applicarsi. I prestatori terzi di servizi ICT ritenuti critici per il sistema finanziario possono essere designati e posti sotto vigilanza diretta dell'UE. Anche quando un fornitore non è designato, l'entità finanziaria che lo utilizza resta responsabile del rischio ICT ai sensi del pilastro sui terzi di DORA.

03In cosa DORA è diverso da NIS 2?

NIS 2 è un'ampia direttiva sulla cibersicurezza che copre molti settori, recepita a livello nazionale. DORA è un regolamento direttamente applicabile specifico per le entità finanziarie, più approfondito sulla resilienza ICT e sulla vigilanza dei terzi. Per le entità finanziarie, DORA prevale sull'angolo ICT in quanto lex specialis.

04Che cos'è il TLPT ai sensi di DORA?

Il test di penetrazione guidato dalla minaccia è un test avanzato, guidato dall'intelligence, che imita le tattiche reali degli avversari contro sistemi in produzione. DORA lo richiede periodicamente per le entità finanziarie più significative, come livello più alto del suo pilastro di test di resilienza.

05DORA sostituisce il lavoro di continuità operativa?

No, lo rafforza. L'attenzione di DORA al restare operativi sotto stress, con il ripristino e la continuità delle funzioni critiche, si colloca naturalmente accanto alla gestione della continuità operativa e alla norma ISO 22301 anziché sostituirle.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.