DORA · Reg. (UE) 2022/2554 · applicabile dal 2025-01-17

DORA: la resilienza si misura, non si dichiara.

Il regolamento DORA impone alle entità finanziarie una resilienza operativa digitale dimostrabile: rischio ICT governato dal board, incidenti gravi notificati in ore, test guidati dalla minaccia reale. Un attacco al comparto finanziario non è un evento di bilancio: è qualcuno, con un nome e delle TTP note.

4hNotifica iniziale
72hReport intermedio
30ggReport finale
Quadro normativo
Reg. (UE) 2022/2554
RTS 2025/301
TIBER-EU
ESAs · EBA · ESMA · EIOPA
Vigilanza Italia
Banca d'Italia
Consob
IVASS
I cinque pilastri DORA

Cinque obblighi, un solo requisito implicito: capacità operativa.

DORA non chiede policy: chiede di rilevare, classificare, notificare, testare e vigilare. Ogni pilastro presuppone un presidio che funziona davvero, 24·7·365.

01 ·

Gestione del rischio ICT

Framework documentato di gestione del rischio ICT approvato dall'organo di gestione: la responsabilità è del board, non solo dell'IT. Mappatura asset, protezione, detection, response e recovery.

02 ·

Notifica degli incidenti

Classificazione degli incidenti ICT e notifica dei gravi all'autorità di vigilanza: 4 ore dalla classificazione, report intermedio a 72 ore, finale entro 1 mese. Template armonizzati (RTS 2025/301).

03 ·

Test di resilienza

Programma di test proporzionato al rischio, fino ai TLPT su base TIBER-EU almeno triennali per le entità significative: scenari costruiti sugli attori reali che colpiscono il comparto.

04 ·

Rischio ICT di terze parti

Registro dei contratti ICT, clausole obbligatorie, exit strategy, vigilanza diretta europea sui fornitori critici. La resilienza del fornitore diventa parte della vostra.

05 ·

Condivisione di informazioni

Scambio volontario di cyber threat intelligence tra entità finanziarie: IOC, TTP, alert di settore. La difesa del comparto è collettiva o non è.

Proof · i tempi che DORA presuppone

Notificare in 4 ore richiede rilevare in minuti.

4h
notifica iniziale
dalla classificazione (≤24h dalla scoperta)
<15 min
TTD mediano Fortgale
dalla telemetria all'alert
<30 min
TTC mediano Fortgale
dalla detection all'azione
287
tra gruppi avversari e strumenti
d'attacco tracciati dalla CTI
Perimetro

Chi è soggetto a DORA.

Oltre 20 categorie di entità finanziarie: banche, imprese di investimento, assicurazioni e riassicurazioni, istituti di pagamento e di moneta elettronica, gestori di fondi, sedi di negoziazione, fornitori di servizi su cripto-attività, più i fornitori ICT critici designati dalle autorità europee. A differenza della NIS2, DORA è un regolamento: identico in tutta l'UE, senza recepimento nazionale, applicabile dal 17 gennaio 2025. Per il rapporto con la NIS2 e gli altri obblighi di notifica: hub normativa e confronto dei regimi di notifica.

FAQ

Domande frequenti su DORA.

Chi è soggetto al regolamento DORA?

Le entità finanziarie dell'UE: banche, imprese di investimento, assicurazioni, istituti di pagamento e di moneta elettronica, gestori di fondi, sedi di negoziazione, fornitori di servizi su cripto-attività, più i fornitori ICT critici designati. In Italia la vigilanza è di Banca d'Italia, Consob e IVASS secondo il comparto.

Quali sono le scadenze di notifica degli incidenti?

Tre fasi (RTS 2025/301): notifica iniziale entro 4 ore dalla classificazione dell'incidente come grave, e comunque entro 24 ore dalla scoperta; report intermedio entro 72 ore; report finale entro 1 mese con root cause analysis completa.

DORA sostituisce la NIS2 per le banche?

DORA è lex specialis: sugli obblighi che copre (rischio ICT, notifica, test) prevale sulla NIS2 per le entità finanziarie. I fornitori non finanziari della filiera restano nel perimetro NIS2. Approfondimento: conformità NIS2.

Cosa sono i TLPT?

Test di penetrazione guidati dalla minaccia su framework TIBER-EU: scenari costruiti sugli attori e sulle TTP che colpiscono davvero il vostro comparto. Obbligatori almeno ogni 3 anni per le entità significative. La loro qualità dipende dalla threat intelligence che li alimenta.

DORA è già in vigore?

Sì, dal 17 gennaio 2025, in tutti gli Stati membri e senza recepimento nazionale. Anche gli standard tecnici su notifica, test e terze parti sono operativi.

Da dove partire

Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo.

Un assessment DORA chiarisce la distanza tra la vostra capacità operativa e quella che il regolamento presuppone. SOC di Milano, attivo dal 2017, 24·7·365: il team italiano risponde entro un giorno lavorativo.

Tempo di risposta: < 1 giorno lavorativo.