Con l’entrata in vigore del Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA), l’Unione Europea ha introdotto un quadro normativo innovativo volto a rafforzare la resilienza operativa digitale nel settore finanziario. Il DORA rappresenta una pietra miliare nella regolamentazione ICT per banche, assicurazioni, imprese di investimento, fornitori terzi critici e altre entità finanziarie, obbligandole a rivedere profondamente le proprie strategie di gestione del rischio IT.

Con scadenze ormai imminenti (il regolamento sarà pienamente applicabile dal 17 gennaio 2025), le istituzioni devono affrontare numerose sfide operative e organizzative, oltre a definire strategie efficaci di adeguamento. Di seguito, un’analisi dettagliata del contesto normativo, delle principali criticità e delle soluzioni implementabili per una transizione efficace.

1.     Il quadro normativo del DORA

Il DORA nasce con l’obiettivo di armonizzare i requisiti di resilienza operativa digitale in tutta l’UE, superando la frammentazione normativa tra stati membri. Il regolamento si applica a oltre 20 categorie di entità finanziarie, tra cui banche, assicurazioni, gestori di fondi, imprese di pagamento, fintech e fornitori terzi di servizi ICT critici.

Il cuore del DORA si articola in cinque pilastri fondamentali:

1. Gestione del rischio ICT: introduzione di un quadro solido di governance, ruoli e responsabilità chiare, e valutazione continua dei rischi tecnologici.

2. Reporting degli incidenti ICT: obbligo di segnalazione tempestiva e strutturata degli incidenti gravi alle autorità competenti.

3. Test di resilienza operativa digitale: simulazioni di scenari di crisi, inclusi i penetration test avanzati su sistemi critici.

4. Gestione del rischio dei terzi fornitori ICT: obbligo di due diligence, monitoraggio continuo e clausole contrattuali standardizzate.

5. Condivisione delle informazioni: promozione di pratiche cooperative tra le entità finanziarie per la condivisione di minacce e best practice.

2.     Le principali sfide per le organizzazioni

a. Scadenze ravvicinate 

Il termine del 17 gennaio 2025 impone un’accelerazione nei piani di conformità. A differenza di altre normative, il DORA non prevede margini di flessibilità nella scadenza. Molti operatori, soprattutto le realtà medio-piccole, non hanno ancora avviato un assessment strutturato della compliance, rischiando sanzioni e impatti reputazionali.

b. Complessità organizzativa

La natura trasversale del DORA coinvolge funzioni diverse: ICT, risk management, compliance, procurement, audit e legale. Coordinare queste aree richiede una governance interna forte e integrata, capace di rompere i silos operativi tradizionali.

c. Dipendenza da fornitori terzi

Molte organizzazioni affidano servizi critici a provider esterni (es. cloud provider, società di cybersecurity, software house). Il DORA impone una responsabilizzazione diretta delle entità finanziarie anche rispetto ai fornitori, richiedendo una revisione dei contratti in essere, monitoraggio continuo e talvolta la necessità di cambiare partner.

d. Adeguamento dei processi ICT

Le organizzazioni devono mappare e classificare i propri asset digitali, strutturare processi di gestione incidenti, rafforzare il backup e il disaster recovery, ed eseguire test avanzati. Queste attività implicano investimenti significativi in risorse, tecnologia e formazione.

e. Maturità cyber ancora disomogenea

La maturità in materia di cybersecurity varia notevolmente tra gli operatori. Il DORA non accetta livelli minimi: è richiesto un approccio risk-based avanzato, in linea con le best practice internazionali (es. NIST, ISO/IEC 27001, ENISA).

3.     Strategie di adeguamento

I. Assessment iniziale e gap analysis

Il primo passo essenziale è la conduzione di una gap analysis rispetto ai requisiti DORA, per identificare le aree di criticità e definire le priorità. È importante coinvolgere esperti legali e tecnici per valutare la copertura rispetto a ogni pilastro del regolamento.

II. Definizione di un piano di conformità

Sulla base della gap analysis, è necessario redigere un piano strutturato di adeguamento, con milestone, risorse assegnate e KPI di avanzamento. Il piano deve essere approvato e monitorato dal top management, come richiesto dal regolamento.

III. Revisione contrattuale con fornitori ICT

Le aziende devono aggiornare i contratti con i fornitori ICT critici per includere clausole previste dal DORA, come:

• Obblighi di cooperazione e audit;

• Requisiti minimi di sicurezza;

• Tempi di risposta agli incidenti;

• Localizzazione e protezione dei dati.

IV. Sviluppo di un framework di gestione del rischio ICT

Occorre implementare un Enterprise Risk Management ICT integrato, che copra:

• Politiche di sicurezza informatica;

• Analisi del rischio con metodologia quantitativa/qualitativa;

• Piani di continuità operativa (BCP/DRP);

• Reportistica regolare verso gli organi di controllo.

  
  

V. Test e simulazioni

Il DORA impone l’esecuzione di Threat-Led Penetration Testing (TLPT) almeno ogni tre anni su entità ICT critiche. Le aziende devono avviare percorsi per ottenere le certificazioni richieste e predisporre ambienti di test isolati e controllati.

VI. Formazione e cultura della resilienza

Il cambiamento culturale è fondamentale. Occorre investire in formazione continua per i dipendenti, simulazioni di crisi per il management e iniziative per aumentare la consapevolezza del rischio.

Conclusioni

L’implementazione del DORA rappresenta un’opportunità per rafforzare la resilienza operativa e aumentare la fiducia dei clienti e del mercato. Tuttavia, il percorso richiede visione strategica, risorse adeguate e un approccio integrato tra tecnologia, governance e compliance.

Con la scadenza del gennaio 2025 alle porte, le organizzazioni devono agire subito, evitando approcci frammentati e reattivi. Il DORA non è solo una normativa: è un catalizzatore per l’evoluzione digitale sicura e sostenibile dell’intero ecosistema finanziario europeo.

Approfondiremo queste tematiche il prossimo 06 giugno nella seconda edizione del Data Protection Forum presso l'Auditorium Fondazione Cassamarca di Treviso dalle ore 09:00 (accredito dalle 08:00). Non perdere l'occasione e iscriviti subito cliccando sul pulsante qui sotto!

Beatrice Zamuner

Redazione LexTech Hub