TomatoBlue
Torna ai Servizi
Regolamento (UE) 2022/2554

Regolamento DORA: Cos'è, cosa impone e come adeguarsi

Il Regolamento (UE) 2022/2554 – DORA (Digital Operational Resilience Act) definisce un quadro normativo unico e direttamente applicabile per la resilienza operativa digitale del settore finanziario europeo. DORA è pienamente applicabile dal 17 gennaio 2025 e introduce obblighi stringenti in materia di gestione del rischio ICT, continuità operativa, incident management, testing e controllo dei fornitori tecnologici critici.

L'obiettivo del regolamento è garantire che gli operatori finanziari siano in grado di resistere, rispondere e riprendersi da incidenti ICT gravi, inclusi attacchi cyber, malfunzionamenti sistemici e interruzioni dei servizi digitali.

Ambito di applicazione

DORA si applica a un perimetro molto ampio di soggetti finanziari e tecnologici, tra cui:

Entità finanziarie

  • Banche e istituti di credito
  • Istituti di pagamento e IMEL
  • Imprese di investimento
  • Gestori di fondi e OICR
  • Assicurazioni e riassicurazioni
  • Intermediari crypto e operatori regolamentati

Fornitori ICT critici e rilevanti

  • Cloud service provider
  • Software house e fornitori SaaS core
  • Provider di servizi di cybersecurity
  • Outsourcer ICT e data center

Il regolamento introduce obblighi diretti anche per i fornitori ICT, con possibilità di supervisione europea centralizzata.

Principali obblighi normativi

Le organizzazioni soggette a DORA devono:

1

Definire e mantenere un framework di gestione del rischio ICT integrato nella governance aziendale

2

Identificare, classificare e gestire incidenti ICT secondo criteri armonizzati

3

Implementare piani di continuità operativa e disaster recovery testati periodicamente

4

Condurre test di resilienza operativa digitale, inclusi test avanzati (TLPT) per soggetti rilevanti

5

Garantire il controllo della supply chain ICT, inclusi diritti di audit e requisiti contrattuali

6

Assicurare il coinvolgimento attivo del management e del CdA

7

Mantenere evidenze, log, report e documentazione pronti per ispezioni delle autorità competenti

Sanzioni e responsabilità

Sanzioni amministrative significative

Possibili misure correttive vincolanti da parte delle autorità

Responsabilità diretta degli organi di gestione

Rischio di limitazioni operative in caso di gravi non conformità

I nostri servizi di consulenza DORA

Supportiamo enti finanziari e fornitori ICT nell'adeguamento completo al Regolamento DORA con un approccio integrato su compliance e tecnologia, strutturato in pacchetti scalabili.

Contattaci