NIS2 e DORA in vigore. EU AI Act in arrivo — prenota una demo
Tutti i framework
Framework normativo

Conformita DORA, completamente automatizzata

Il Digital Operational Resilience Act e ora obbligatorio per le entita finanziarie dell'UE. Matproof copre tutti e cinque i pilastri DORA — dalla gestione del rischio ICT al registro dei fornitori Art. 28.

Richieda una demo

Cos'e il Digital Operational Resilience Act (DORA)?

Il Digital Operational Resilience Act (DORA), formalmente noto come Regolamento UE 2022/2554, e un quadro normativo completo progettato per rafforzare la resilienza operativa digitale del settore finanziario europeo. Adottato dal Parlamento europeo nel novembre 2022 e obbligatorio dal 17 gennaio 2025, DORA stabilisce requisiti uniformi per garantire che le entita finanziarie possano resistere, rispondere e riprendersi da interruzioni e minacce legate alle ICT.

DORA e stato introdotto in risposta alla crescente dipendenza delle istituzioni finanziarie dalla tecnologia dell'informazione e della comunicazione (ICT). Con la progressiva digitalizzazione dei servizi finanziari, l'impatto potenziale di incidenti informatici, guasti di sistema e interruzioni tecnologiche sulla stabilita finanziaria e aumentato significativamente. Il regolamento affronta l'approccio frammentato alla gestione del rischio ICT che esisteva precedentemente tra gli Stati membri dell'UE, creando un quadro unico e armonizzato.

A differenza di molte direttive UE che richiedono il recepimento nazionale, DORA e un regolamento che si applica direttamente e uniformemente in tutti gli Stati membri dell'UE. Cio significa che le entita finanziarie in Germania, Francia, Paesi Bassi e in ogni altro Paese dell'UE devono soddisfare esattamente gli stessi requisiti. Il regolamento e completato da una serie di Standard Tecnici di Regolamentazione (RTS) e Standard Tecnici di Implementazione (ITS) sviluppati dalle Autorita Europee di Vigilanza (ESAs) - EBA, EIOPA e ESMA.

DORA e strutturato attorno a cinque pilastri fondamentali che insieme creano un approccio completo alla resilienza operativa digitale: gestione del rischio ICT, gestione e segnalazione degli incidenti ICT, test di resilienza operativa digitale, gestione del rischio ICT di terze parti e condivisione di informazioni e intelligence. Ogni pilastro contiene obblighi specifici che le entita finanziarie devono implementare, con proporzionalita applicata in base alla dimensione dell'entita, al profilo di rischio e alla complessita dei suoi servizi ICT.

Chi necessita della conformita DORA?

DORA si applica a circa 22.000 entita finanziarie nell'Unione Europea. L'ambito di applicazione e deliberatamente ampio per garantire una copertura completa dell'ecosistema finanziario e delle sue dipendenze ICT. I seguenti tipi di entita rientrano nell'ambito di applicazione di DORA:

Entita finanziarie

  • Enti creditizi (banche)
  • Istituti di pagamento e istituti di moneta elettronica
  • Imprese di investimento e gestori di fondi
  • Imprese di assicurazione e riassicurazione
  • Prestatori di servizi per le cripto-attivita
  • Depositari centrali di titoli

Fornitori di servizi ICT

  • Fornitori di servizi di cloud computing
  • Fornitori Software-as-a-Service (SaaS)
  • Fornitori di analisi dei dati e data center
  • Fornitori ICT terzi critici (CTPPs)
  • Fornitori di servizi di sicurezza gestiti
  • Fornitori di infrastrutture IT e reti

In Germania, l'Autorita federale di vigilanza finanziaria (BaFin) e la principale autorita nazionale competente responsabile della supervisione della conformita DORA. La BaFin opera all'interno del piu ampio quadro di vigilanza europeo insieme alla BCE/SSM per le istituzioni significative e alle ESAs per gli standard tecnici di regolamentazione. Le entita finanziarie tedesche gia soggette ai requisiti BaFin come BAIT, VAIT e KAIT troveranno significative sovrapposizioni con DORA, sebbene il regolamento UE introduca requisiti aggiuntivi - in particolare riguardo ai test di resilienza e alla supervisione del rischio di terze parti.

Not sure if you're compliant?

Take the free DORA readiness assessment — 10 questions, 3 minutes.

Check your readiness

Requisiti chiave di DORA: i 5 pilastri nel dettaglio

1. Quadro di gestione del rischio ICT (Articoli 5-16)

Le entita finanziarie devono stabilire e mantenere un quadro completo di gestione del rischio ICT come parte del loro sistema complessivo di gestione dei rischi. Cio include l'identificazione di tutte le funzioni aziendali supportate da ICT, la classificazione degli asset informativi, le valutazioni continue dei rischi e l'implementazione di misure di protezione, rilevamento e risposta. L'organo di gestione ha la responsabilita ultima e deve approvare e riesaminare regolarmente il quadro di gestione del rischio ICT, allocare un budget adeguato e mantenersi informato sui rischi ICT.

2. Gestione e segnalazione degli incidenti ICT (Articoli 17-23)

DORA introduce un quadro standardizzato per la classificazione, la gestione e la segnalazione degli incidenti relativi alle ICT. Le entita finanziarie devono implementare processi per rilevare, gestire e registrare gli incidenti utilizzando criteri quali il numero di clienti interessati, la durata, la diffusione geografica e la criticita dei servizi impattati. Gli incidenti gravi devono essere segnalati all'autorita competente utilizzando modelli prescritti - una notifica iniziale entro 4 ore dalla classificazione, un rapporto intermedio entro 72 ore e un rapporto finale entro un mese.

3. Test di resilienza operativa digitale (Articoli 24-27)

Tutte le entita finanziarie rientranti nell'ambito di applicazione devono condurre test regolari dei loro sistemi e strumenti ICT. I test di base (valutazioni delle vulnerabilita, revisioni della sicurezza di rete, analisi delle lacune) devono essere eseguiti almeno annualmente. Le entita finanziarie significative devono inoltre sottoporsi a test avanzati attraverso test di penetrazione basati sulle minacce (TLPT) almeno ogni tre anni, condotti da tester esterni qualificati seguendo il framework TIBER-EU. I test TLPT devono coprire le funzioni e i servizi critici, e i risultati devono essere condivisi con l'autorita competente.

4. Gestione del rischio ICT di terze parti (Articoli 28-44)

DORA impone obblighi estesi per la gestione dei rischi derivanti da fornitori di servizi ICT terzi. Le entita finanziarie devono mantenere un registro di tutti gli accordi contrattuali con i fornitori ICT (il Registro delle informazioni ai sensi dell'Articolo 28(3)), condurre un'approfondita due diligence prima dell'onboarding e includere specifiche disposizioni contrattuali riguardanti sicurezza, diritti di audit, localizzazione dei dati e strategie di uscita. I fornitori ICT terzi critici (CTPPs) saranno direttamente supervisionati dalle ESAs attraverso un quadro di sorveglianza dedicato.

5. Condivisione di informazioni e intelligence (Articolo 45)

DORA incoraggia le entita finanziarie a scambiare volontariamente informazioni e intelligence sulle minacce informatiche tra di loro. Cio include indicatori di compromissione (IoC), tattiche, tecniche e procedure (TTP) e avvisi di cybersicurezza. La condivisione delle informazioni deve rispettare le normative sulla protezione dei dati e deve essere condotta attraverso comunita fidate. Sebbene volontaria, la partecipazione ad accordi di condivisione delle informazioni e considerata una best practice e puo essere vista favorevolmente dalle autorita di vigilanza.

6. Gestione della continuita operativa ICT

Le entita finanziarie devono sviluppare e mantenere una politica completa di continuita operativa ICT e piani di ripristino in caso di disastro correlati. Questi devono essere testati almeno annualmente e coprire tutte le funzioni critiche e i sistemi ICT di supporto. I piani devono includere gli Obiettivi di tempo di ripristino (RTO) e gli Obiettivi di punto di ripristino (RPO), e le entita devono garantire di poter passare ai sistemi di backup e ripristinare le operazioni entro i tempi definiti. Sono richieste regolari esercitazioni basate su scenari.

7. Governance e responsabilita dell'organo di gestione

DORA attribuisce una responsabilita esplicita all'organo di gestione (consiglio di amministrazione o equivalente) per la gestione del rischio ICT. I membri devono possedere adeguate conoscenze dei rischi ICT, impegnarsi attivamente nella definizione del quadro di gestione del rischio ICT e sottoporsi a formazione specifica. L'organo di gestione deve definire, approvare e supervisionare l'implementazione della strategia di rischio ICT, compresi i livelli di tolleranza al rischio. Il mancato adempimento di questi obblighi puo comportare responsabilita personale.

Sanzioni per la non conformita a DORA

DORA stabilisce un robusto regime sanzionatorio con conseguenze finanziarie e personali significative per la non conformita. Le autorita nazionali competenti - come la BaFin in Germania - dispongono di ampi poteri di supervisione e indagine, inclusa la possibilita di condurre ispezioni in loco, richiedere informazioni e emettere ordini vincolanti.

Fino a EUR 10M

o il 5% del fatturato annuo totale per le entita finanziarie (il valore piu elevato tra i due)

Fino a EUR 5M

per le persone fisiche in posizioni dirigenziali che non garantiscono la conformita

Sanzioni periodiche

I CTPPs sono soggetti a penalita giornaliere fino all'1% del fatturato medio giornaliero mondiale fino al ripristino della conformita

Responsabilita personale

I membri del consiglio di amministrazione sono soggetti a responsabilita individuale per le carenze di conformita, inclusa la potenziale interdizione

Oltre alle sanzioni finanziarie, la non conformita a DORA puo comportare danni reputazionali, perdita delle licenze operative, maggiore scrutinio da parte delle autorita di vigilanza e restrizioni sulle attivita commerciali. Le autorita competenti possono anche pubblicare le risultanze di non conformita, creando conseguenze significative sul mercato.

Come iniziare con la conformita DORA

Poiche DORA e diventato obbligatorio il 17 gennaio 2025, le entita finanziarie dovrebbero lavorare attivamente verso la piena conformita. Di seguito un approccio strutturato per raggiungere e mantenere la conformita DORA:

  1. 1

    Analisi delle lacune e definizione dell'ambito

    Valuti le Sue attuali pratiche di gestione del rischio ICT rispetto a tutti i requisiti DORA. Identifichi le lacune nei cinque pilastri e dia priorita agli sforzi di rimedio in base al rischio e alle aspettative normative. Mappi i controlli esistenti da BAIT, ISO 27001 o altri framework ai requisiti DORA.

  2. 2

    Quadro di gestione del rischio ICT

    Stabilisca o aggiorni il Suo quadro di gestione del rischio ICT con politiche, procedure e controlli documentati. Definisca la propensione al rischio, i criteri di classificazione e assegni ruoli e responsabilita chiari. Si assicuri che l'approvazione e i meccanismi di supervisione dell'organo di gestione siano in essere.

  3. 3

    Registro delle terze parti e gestione dei fornitori

    Costruisca e mantenga il Registro delle informazioni (RoI) per tutti gli accordi con terze parti ICT. Riveda e aggiorni i contratti per includere le disposizioni richieste da DORA. Implementi processi di monitoraggio continuo e due diligence per i fornitori ICT critici e importanti.

  4. 4

    Gestione e segnalazione degli incidenti

    Implementi procedure di classificazione, escalation e segnalazione degli incidenti allineate ai requisiti DORA. Stabilisca canali di comunicazione con le autorita competenti e testi i workflow di segnalazione. Si assicuri di poter rispettare il termine di notifica iniziale di 4 ore per gli incidenti gravi.

  5. 5

    Programma di test di resilienza

    Progetti e implementi un programma di test che copra i test di base annuali e - per le entita significative - i TLPT ogni tre anni. Selezioni fornitori di test qualificati e definisca scenari di test che coprano le funzioni critiche. Documenti i risultati e monitori la risoluzione delle vulnerabilita identificate.

  6. 6

    Monitoraggio e miglioramento continuo

    Implementi il monitoraggio continuo dei rischi ICT, dei controlli e dei fornitori terzi. Riveda e aggiorni regolarmente il Suo quadro di gestione del rischio ICT in base ai cambiamenti nel panorama delle minacce, alle lezioni apprese dagli incidenti e agli aggiornamenti delle linee guida normative. Si prepari per gli obblighi di supervisione e segnalazione continui.

Domande frequenti su DORA

Cos'e il Digital Operational Resilience Act (DORA)?

DORA (Regolamento UE 2022/2554) e un regolamento vincolante dell'UE che stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi nel settore finanziario. Copre la gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza operativa digitale, la gestione del rischio ICT di terze parti e la condivisione delle informazioni. DORA e obbligatorio dal 17 gennaio 2025.

Chi deve conformarsi a DORA?

DORA si applica a circa 22.000 entita finanziarie nell'UE, incluse banche, compagnie di assicurazione, imprese di investimento, istituti di pagamento, prestatori di servizi per le cripto-attivita e fornitori di servizi ICT terzi critici. Copre anche i fornitori di servizi cloud, le societa di analisi dei dati e i fornitori di software che servono queste entita finanziarie.

Quali sono le sanzioni per la non conformita a DORA?

Le entita finanziarie sono soggette a sanzioni amministrative fino a EUR 10 milioni o al 5% del fatturato annuo totale, a seconda di quale importo sia maggiore. Per le persone fisiche, le sanzioni possono raggiungere EUR 5 milioni. I fornitori ICT terzi critici possono essere multati fino a EUR 5 milioni, o EUR 500.000 per le persone fisiche. Inoltre, i membri del consiglio di amministrazione sono soggetti a responsabilita personale per le carenze di conformita.

Qual e la differenza tra DORA e NIS2?

Sebbene sia DORA che NIS2 affrontino la cybersicurezza, DORA e specifico per il settore finanziario e prevede requisiti piu dettagliati per la gestione del rischio ICT, i test di resilienza e la gestione del rischio di terze parti. NIS2 e piu ampio e copre 18 settori. Per le entita finanziarie, DORA prevale come regolamento settoriale specifico (lex specialis).

Quanto tempo ci vuole per diventare conformi a DORA?

I tempi variano in base al livello di maturita della Sua organizzazione. Con un ISMS e un quadro di conformita esistenti, la prontezza DORA puo essere raggiunta in 3-6 mesi. Per le organizzazioni che partono da zero, si prevedano 6-12 mesi. La piattaforma di automazione di Matproof puo ridurre questi tempi del 50-70% attraverso la mappatura automatica dei controlli, la raccolta delle evidenze e l'analisi delle lacune.

Quali sono i 5 pilastri di DORA?

DORA si basa su cinque pilastri: (1) Gestione del rischio ICT - creazione di un quadro completo per l'identificazione e la mitigazione dei rischi ICT; (2) Segnalazione degli incidenti ICT - classificazione e segnalazione standardizzate alle autorita di regolamentazione; (3) Test di resilienza operativa digitale - compresi test di penetrazione basati sulle minacce (TLPT); (4) Gestione del rischio ICT di terze parti - supervisione di tutti i fornitori di servizi ICT; e (5) Condivisione delle informazioni - scambio volontario di intelligence sulle minacce informatiche tra entita finanziarie.

DORA Readiness Assessment

Check your digital operational resilience in 3 minutes

Take the free assessment

Funzionalita principali

Gestione del rischio ICT (Art. 5-16)

Registri dei rischi automatizzati con punteggio di probabilita e impatto. Monitoraggio continuo e tracciamento della mitigazione allineati ai requisiti DORA.

Segnalazione degli incidenti (Art. 17-23)

Registri, classifichi e segnali gli incidenti ICT alla BaFin nel formato richiesto. Generazione automatica di valutazioni di gravita e report cronologici.

Test di resilienza (Art. 24-27)

Tracci i programmi TLPT e di test di resilienza. Gestisca calendari dei test, risultati e piani di rimedio in un unico luogo.

Rischio di terze parti (Art. 28-44)

Mantenga il registro Art. 28 di tutti i fornitori ICT. Valutazioni dei fornitori basate sull'IA, tracciamento dei contratti e strategie di uscita.

Condivisione delle informazioni (Art. 45)

Documenti gli accordi di condivisione dell'intelligence sulle minacce e rispetti i requisiti di scambio di informazioni tra entita finanziarie.

Reportistica pronta per BaFin

Generi report normativi nel formato esatto richiesto dalla BaFin. Un clic, nessuna formattazione manuale.

Perche Matproof

Copre tutti e 5 i pilastri DORA in un'unica piattaforma
Formato di reportistica BaFin integrato
Policy DORA generate dall'IA in tedesco e inglese
Residenza dei dati 100% UE (ospitato in Germania)

Conformita compliance in tutta la Germania

Trovi una guida alla compliance specifica per citta per il Suo istituto finanziario.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Visualizzi tutte le citta e i framework

DORA Readiness Assessment

Check your digital operational resilience in 3 minutes

Take the free assessment

Storie di clienti

Team che non temono più la stagione degli audit.

85%tempo di preparazione in meno

Matproof ci ha risparmiato mesi di preparazione all'audit. Abbiamo collegato i nostri strumenti il lunedì e venerdì avevamo già le evidenze mappate su DORA. Il nostro revisore è rimasto colpito dalla profondità della pista di audit.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Pronto per iniziare?

Pronto per iniziare?

Scopra come Matproof automatizza la compliance per la Sua organizzazione.

Richieda una demo