Banche e Istituti di Credito
Società di investimento
Società di trading
Regolamento DORA
A fronte della crescente dipendenza del settore finanziario dalle tecnologie digitali nelle attività e nella prestazione dei servizi finanziari, il DORA (Digital Operational Resilience Act) è un regolamento europeo che ha l'obiettivo di rafforzare la resilienza operativa digitale nel settore finanziario dell’Unione Europea.
Settori interessati dal Regolamento DORA
Il regolamento DORA si applica a una vasta gamma di entità che operano nel settore finanziario e tecnologico. Tra queste troviamo:
Istituti previdenziali
Assicurazioni
Fornitori servizi ICT critici
I fornitori di servizi critici ICT ai quali si applica il regolamento DORA si riferiscono all’insieme di tecnologie, strumenti e infrastrutture utilizzati per gestire, trasmettere, archiviare e proteggere informazioni digitali. Questi servizi coprono una vasta gamma di attività legate alla gestione e utilizzo delle tecnologie informatiche e delle comunicazioni.
Il DORA prevede la gestione dei rischi derivanti dai fornitori di servizi critici ICT, imponendo alle entità finanziarie di garantire che questi abbiano piani di resilienza operativa.
Sebbene il regolamento si applichi direttamente alle entità finanziarie (come banche, assicurazioni, imprese di investimento), non si limita a esse: anche i loro fornitori di servizi ICT (Information and Communication Technology) rientrano nel perimetro normativo.
I principali adempimenti del Regolamento DORA
Dall’esame complessivo della normativa risultano numerosi obblighi che gli operatori finanziari sono tenuti a rispettare, tra cui, a titolo esemplificativo e non esaustivo:
Adozione un quadro di governance e organizzazione interna
Adozione un quadro di governance e organizzazione interna, che garantisca un controllo efficace e prudente di tutti i rischi ICT. A tal fine, è necessario attribuire specifici compiti all’”organo di gestione” dell’ente finanziario, il quale deve essere incaricato dell’approvazione e applicazione di tutte le disposizioni relative al suddetto quadro
Adozione di un piano per la gestione dei rischi informatici
Le entità finanziarie predispongono un quadro per la gestione dei rischi informatici solido, esaustivo e adeguatamente documentato, che consenta loro di affrontare i rischi informatici in maniera rapida, efficiente ed esaustiva. Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e risorse TIC tra i quali politiche adeguate di continuità operativa e piani di ripristino in caso di disastro
Classificazione gli incidenti connessi ai fornitori ICT e le minacce informatiche
Classificazione gli incidenti connessi ai fornitori ICT e le minacce informatiche secondo i criteri indicati dal legislatore. Le entità finanziarie devono classificare le minacce informatiche in base alla criticità dei servizi a rischio, ivi comprese le operazioni dell’ente, il numero e/o la rilevanza di clienti o controparti finanziarie interessati e l’estensione geografica delle aree a rischio
Creazione di un sistema di notifica degli incidenti informatici
Creazione di un sistema di notifica degli incidenti informatici, attuando un processo di monitoraggio, registrazione e gestione costante degli incidenti, al fine di notificarli alle autorità competenti. In ultimo, devono essere stabilite procedure di risposta agli incidenti per attenuarne l’impatto e garantirne tempestivamente l’operatività e la sicurezza dei servizi
Svolgimento di test di resilienza operativa digitale
Svolgimento di test di resilienza operativa digitale, Le entità devono effettuare test regolari per garantire la resilienza dei loro sistemi TIC secondo un approccio risk-based e proporzionale rispetto alle dimensioni, alla tipologia di attività e al profilo di rischio dell’operatore finanziario. Il programma di test di resilienza operativa digitale prevede valutazione e scansione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di scansione del software, esami del codice sorgente, ove fattibile, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end e penetration test.
Gestione dei rischi ICT derivanti da terzi
Le entità finanziarie dovranno adottare un processo di due diligence e di gestione dei rischi nei quali rientrano l’identificazione, la classificazione e la documentazione di tutti i processi dipendenti da fornitori terzi di servizi TIC. DORA stabilisce che le istituzioni finanziarie devono avere contratti chiari e vincolanti con i fornitori di servizi TIC quando le entità finanziarie ricorrono a fornitori terzi di servizi TIC a supporto delle loro funzioni essenziali o importanti. Questi contratti dovranno essere rinegoziati e adeguati al fine di includere gli obblighi previsti dal regolamento, con un focus particolare sulla resilienza operativa e la gestione dei rischi ICT
Adozione di pratiche di cooperazione e monitoraggio
Miglioramento della collaborazione tra le entità finanziarie e le autorità competenti, nonché tra gli operatori del settore in caso di incidenti. il DORA prevede l’istituzione di un programma su base volontaria che consenta agli attori finanziari di prevedere accordi per la condivisione e lo scambio di informazioni di cyber threat intelligence.
Le soluzioni Bludis per il DORA
Il focus primario del DORA Act sulla resilienza operativa digitale fa delle soluzioni UEMS di ManageEngine la suite ideale per raggiungere la conformità.
Con strumenti integrati per il monitoraggio IT, la gestione degli endpoint, il controllo degli accessi, la protezione dei dati e il log management, ManageEngine soddisfa i requisiti chiave del DORA, dalla gestione del rischio ICT alla risposta agli incidenti, passando per sicurezza delle infrastrutture IT, audit, e continuità operativa.
La sua suite è completa, scalabile e pensata per aziende moderne e soggette a regolamentazioni stringenti, rendendo in questo modo la resilienza digitale non più un obiettivo lontano, ma un traguardo concreto.
Ping Identity è una piattaforma IAM pensata per rispondere alle esigenze complesse e regolamentate del settore finanziario, combinando sicurezza, flessibilità e scalabilità. La sua architettura supporta scenari di identità consumer, workforce e B2B, garantendo una gestione centralizzata e resiliente degli accessi.
Le sue funzionalità avanzate come la Multi-region replication, active-active failover, rilevamento delle minacce in tempo reale, rispondono direttamente agli obblighi normativi in tema di continuità operativa, gestione del rischio ICT e risposta agli incidenti.
La piattaforma si adatta a qualsiasi ambiente cloud, on-premises, o ibrido offrendo piena libertà di distribuzione e integrazione.
Ping Identity non è solo una soluzione IAM: è un acceleratore strategico per la conformità al DORA e per la protezione del business finanziario in un contesto normativo sempre più esigente.
ImmuniWeb aiuta le organizzazioni ad essere aderenti alla regolamentazione DORA con la sua piattaforma Application Security Testing (AST) e Attack Surface Management (ASM) basata sull’intelligenza artificiale. La piattaforma analizza e classifica asset digitali, vulnerabilità e superfici di attacco. Fornisce capacità tecniche essenziali che supportano direttamente le entità finanziarie nel raggiungimento e nel mantenimento della conformità con diversi aspetti chiave del DORA, in particolare per quanto riguarda la gestione e valutazione del rischio ICT, i test di resilienza operativa inclusi quelli guidati dalla minaccia (TLPT), analizza la sicurezza dei servizi ICT esternalizzati (Valutazione dei fornitori terzi), genera report dettagliati utili per le segnalazioni obbligatorie agli enti di vigilanza.
Muscope|Risk facilita l’adeguamento al Regolamento DORA, obbligatorio per tutte le realtà finanziarie dal gennaio 2025. Il tool esegue un monitoraggio continuo delle vulnerabilità esterne, sia dell’organizzazione che dei fornitori terzi, contribuendo a prevenire minacce informatiche che potrebbero compromettere la resilienza digitale. La piattaforma fornisce report dettagliati, suggerimenti di remediation e strumenti per una gestione efficace dei rischi lungo l’intera supply chain, in linea con quanto previsto dalla normativa. Muscope|Risk rende semplice e strutturato il percorso verso la compliance al DORA, riducendo il rischio operativo e migliorando la governance della sicurezza.
Il DORA impone controlli rigorosi sulla resilienza digitale, inclusa la sicurezza delle comunicazioni per entità finanziarie regolamentate e fornitori di servizi ICT critici. Red Sift protegge banche e MSP da minacce come phishing, spoofing e attacchi via email, grazie a soluzioni come OnDMARC e Domain Protect.
Implementa facilmente politiche DMARC, previene la compromissione dei domini e garantisce visibilità e controllo continuo, come richiesto esplicitamente dal Regolamento. In più, fornisce report e audit trail utili per la compliance e la gestione del rischio ICT.
vPenTest, piattaforma completa per penetration test integra le più recenti conoscenze, metodologie, tecniche e strumenti comunemente utilizzati da diversi consulenti in un’unica piattaforma. vPenTest è progettato per rendere i penetration test di rete più convenienti, accurati, rapidi, coerenti e non soggetti a errori umani. Soddisfa diversi requisiti chiave imposti dal regolamento europeo DORA per la resilienza operativa digitale nel settore finanziario. DORA richiede test periodici per valutare la resilienza dei sistemi IT.
vPenTest consente test di penetrazione automatizzati e ripetibili, sia interni che esterni, riducendo i costi e semplificando la pianificazione, genera report dettagliati entro 48 ore, con evidenze chiare delle vulnerabilità e delle misure correttive. Garantisce una valutazione continua del rischio ICT.
Il DORA Act richiede che tutto il personale sia adeguatamente formato in materia di rischi di sicurezza. SMARTFENSE aiuta banche, assicurazioni, fintech e MSP a rispettare questi obblighi attraverso programmi di CyberSecurity Awareness automatizzati e continuamente aggiornati, simulazioni di phishing e moduli formativi personalizzabili.
Una piattaforma semplice e al contempo potente, che punta tutto sul coinvolgimento diretto dei dipendenti creando una vera e propria cultura della cybersecurity all’interno delle aziende e favorendo velocemente adozione di misure preventive, tracciabilità delle attività e conformità agli obblighi formativi previsti dal DORA.
Syteca consente alle entità finanziarie di soddisfare i cinque pilastri chiave del Regolamento DORA grazie all’ access control, user activity monitoring, and incident response capabilities. I suoi controlli di accesso granulari, account discovery, password management e continuous monitoring, contribuiscono a gestire i rischi interni e di terze parti, supportando una solida gestione del rischio ICT. Per la gestione e il reporting degli incident, Syteca automatizza gli avvisi, le azioni di risposta e la raccolta di prove a prova di manomissione. Durante i test di resilienza, i team di sicurezza possono monitorare le sessioni utente in tempo reale. Infine, Syteca facilita la condivisione delle informazioni tramite l’esportazione sicura delle registrazioni delle sessioni utente e report dettagliati per la collaborazione con le autorità di regolamentazione e i partner finanziari.
Con Arcserve, proteggi i tuoi dati e garantisci la business continuity in linea con il DORA Act.
Grazie a soluzioni complete di backup, disaster recovery e cybersecurity integrata, Arcserve supporta banche, assicurazioni e MSP nel rafforzare la resilienza operativa, come esplicitamente richiesto dal regolamento. Archiviazione sicura, piani di ripristino testabili e protezione contro ransomware sono elementi chiave per garantire la continuità dei servizi critici anche in caso di incidenti, in piena conformità con le direttive europee.
Il focus primario del DORA Act sulla resilienza operativa digitale fa delle soluzioni UEMS di ManageEngine la suite ideale per raggiungere la conformità.
Con strumenti integrati per il monitoraggio IT, la gestione degli endpoint, il controllo degli accessi, la protezione dei dati e il log management, ManageEngine soddisfa i requisiti chiave del DORA, dalla gestione del rischio ICT alla risposta agli incidenti, passando per sicurezza delle infrastrutture IT, audit, e continuità operativa.
La sua suite è completa, scalabile e pensata per aziende moderne e soggette a regolamentazioni stringenti, rendendo in questo modo la resilienza digitale non più un obiettivo lontano, ma un traguardo concreto.
Ping Identity è una soluzione IAM pensata per rispondere alle esigenze complesse e regolamentate del settore finanziario.
La piattaforma consente di rafforzare la gestione del rischio ICT attraverso controlli granulari, autenticazione adattiva e protezione delle credenziali. Inoltre, facilita il rilevamento tempestivo degli incidenti grazie all’integrazione con sistemi di monitoraggio e alla tracciabilità delle attività. Le funzionalità di disaster recovery, come il failover multi-region e la replica automatizzata, assicurano continuità operativa anche in scenari critici. Ping supporta la produzione di report ed audit, semplificando la gestione normativa. In sintesi, Il percorso verso la conformità alla direttiva DORA è un “journey”, ed è un’opportunità per costruire un framework IAM a prova di futuro che promuova resilienza, fiducia e crescita.
ImmuniWeb aiuta le organizzazioni ad essere aderenti alla regolamentazione DORA con la sua piattaforma Application Security Testing (AST) e Attack Surface Management (ASM) basata sull’intelligenza artificiale. La piattaforma analizza e classifica asset digitali, vulnerabilità e superfici di attacco. Fornisce capacità tecniche essenziali che supportano direttamente le entità finanziarie nel raggiungimento e nel mantenimento della conformità con diversi aspetti chiave del DORA, in particolare per quanto riguarda la gestione e valutazione del rischio ICT, i test di resilienza operativa inclusi quelli guidati dalla minaccia (TLPT), analizza la sicurezza dei servizi ICT esternalizzati (Valutazione dei fornitori terzi), genera report dettagliati utili per le segnalazioni obbligatorie agli enti di vigilanza.
Muscope|Risk facilita l’adeguamento al Regolamento DORA, obbligatorio per tutte le realtà finanziarie dal gennaio 2025. Il tool esegue un monitoraggio continuo delle vulnerabilità esterne, sia dell’organizzazione che dei fornitori terzi, contribuendo a prevenire minacce informatiche che potrebbero compromettere la resilienza digitale. La piattaforma fornisce report dettagliati, suggerimenti di remediation e strumenti per una gestione efficace dei rischi lungo l’intera supply chain, in linea con quanto previsto dalla normativa. Muscope|Risk rende semplice e strutturato il percorso verso la compliance al DORA, riducendo il rischio operativo e migliorando la governance della sicurezza.
Il DORA impone controlli rigorosi sulla resilienza digitale, inclusa la sicurezza delle comunicazioni per entità finanziarie regolamentate e fornitori di servizi ICT critici. Red Sift protegge banche e MSP da minacce come phishing, spoofing e attacchi via email, grazie a soluzioni come OnDMARC e Domain Protect.
Implementa facilmente politiche DMARC, previene la compromissione dei domini e garantisce visibilità e controllo continuo, come richiesto esplicitamente dal Regolamento. In più, fornisce report e audit trail utili per la compliance e la gestione del rischio ICT.
Il DORA Act richiede che tutto il personale sia adeguatamente formato in materia di rischi di sicurezza. SMARTFENSE aiuta banche, assicurazioni, fintech e MSP a rispettare questi obblighi attraverso programmi di CyberSecurity Awareness automatizzati e continuamente aggiornati, simulazioni di phishing e moduli formativi personalizzabili.
Una piattaforma semplice e al contempo potente, che punta tutto sul coinvolgimento diretto dei dipendenti creando una vera e propria cultura della cybersecurity all’interno delle aziende e favorendo velocemente adozione di misure preventive, tracciabilità delle attività e conformità agli obblighi formativi previsti dal DORA.
vPenTest, piattaforma completa per penetration test integra le più recenti conoscenze, metodologie, tecniche e strumenti comunemente utilizzati da diversi consulenti in un’unica piattaforma. vPenTest è progettato per rendere i penetration test di rete più convenienti, accurati, rapidi, coerenti e non soggetti a errori umani. Soddisfa diversi requisiti chiave imposti dal regolamento europeo DORA per la resilienza operativa digitale nel settore finanziario. DORA richiede test periodici per valutare la resilienza dei sistemi IT.
vPenTest consente test di penetrazione automatizzati e ripetibili, sia interni che esterni, riducendo i costi e semplificando la pianificazione, genera report dettagliati entro 48 ore, con evidenze chiare delle vulnerabilità e delle misure correttive. Garantisce una valutazione continua del rischio ICT.
Syteca consente alle entità finanziarie di soddisfare i cinque pilastri chiave del Regolamento DORA grazie all’ access control, user activity monitoring, and incident response capabilities. I suoi controlli di accesso granulari, account discovery, password management e continuous monitoring, contribuiscono a gestire i rischi interni e di terze parti, supportando una solida gestione del rischio ICT. Per la gestione e il reporting degli incident, Syteca automatizza gli avvisi, le azioni di risposta e la raccolta di prove a prova di manomissione. Durante i test di resilienza, i team di sicurezza possono monitorare le sessioni utente in tempo reale. Infine, Syteca facilita la condivisione delle informazioni tramite l’esportazione sicura delle registrazioni delle sessioni utente e report dettagliati per la collaborazione con le autorità di regolamentazione e i partner finanziari.
Con Arcserve, proteggi i tuoi dati e garantisci la business continuity in linea con il DORA Act.
Grazie a soluzioni complete di backup, disaster recovery e cybersecurity integrata, Arcserve supporta banche, assicurazioni e MSP nel rafforzare la resilienza operativa, come esplicitamente richiesto dal regolamento. Archiviazione sicura, piani di ripristino testabili e protezione contro ransomware sono elementi chiave per garantire la continuità dei servizi critici anche in caso di incidenti, in piena conformità con le direttive europee.
Principali scadenze
Le principali scadenze relative all’applicazione di DORA sono le seguenti:
16 gennaio 2023
ENTRATA IN VIGORE
Da questa data, le entità finanziarie hanno iniziato a prepararsi per conformarsi ai nuovi requisiti
17 gennaio 2025
CONFORMITà
Data entro la quale tutte le entità finanziarie e i fornitori di servizi ICT critici devono essere conformi ai requisiti del DORA
10 marzo 2025
RECEPIMENTO
Recepimento del regolamento DORA nell'ordinamento giuridico italiano attraverso il decreto legislativo n.23. Anche se il regolamento è direttamente applicabile, l'Italia dovrà comunque recepire alcune disposizioni tramite il decreto legislativo.
11 aprile 2025
SCADENZA SEGNALAZIONE
Scadenza per la segnalazione del Registro delle Informazioni tramite il portale Infostat, come indicato dall'IVASS. Questo è un obbligo operativo derivante dal Regolamento
15 aprile 2025
SCADENZA TRASMISSIONE
Scadenza per la trasmissione del Registro delle Informazioni alla Banca d'Italia tramite Infostat. Questa è una parte degli obblighi di conformità operativa delle entità finanziarie ai requisiti del Regolamento
maggio 2025
CONTROLLI DELLE AUTORITà
Le autorità di vigilanza europee (EBA, ESMA, EIOPA) eseguiranno ulteriori controlli di qualità sui registri delle informazioni trasmessi dalle entità finanziarie. In caso di errori bloccanti, le entità dovranno procedere con una nuova trasmissione correttiva
30 giugno 2025
SCADENZA TRASMISSIONE RAPPORTO ANNUALE
Scadenza per la trasmissione del rapporto annuale sulla gestione del rischio ICT alle autorità competenti. Questo rapporto deve includere una valutazione dettagliata delle misure adottate per garantire la resilienza operativa digitale
31 dicembre 2025
COMPLETAMENTO RAPPORTO ANNUALE
Le entità finanziarie devono completare la revisione annuale dei loro protocolli di gestione del rischio ICT e aggiornare i registri delle informazioni in conformità con le nuove linee guida stabilite dalle autorità di vigilanza