Gestione del rischio ICT
Framework documentato di gestione del rischio ICT approvato dall'organo di gestione: la responsabilità è del board, non solo dell'IT. Mappatura asset, protezione, detection, response e recovery.
Il regolamento DORA impone alle entità finanziarie una resilienza operativa digitale dimostrabile: rischio ICT governato dal board, incidenti gravi notificati in ore, test guidati dalla minaccia reale. Un attacco al comparto finanziario non è un evento di bilancio: è qualcuno, con un nome e delle TTP note.
DORA non chiede policy: chiede di rilevare, classificare, notificare, testare e vigilare. Ogni pilastro presuppone un presidio che funziona davvero, 24·7·365.
Framework documentato di gestione del rischio ICT approvato dall'organo di gestione: la responsabilità è del board, non solo dell'IT. Mappatura asset, protezione, detection, response e recovery.
Classificazione degli incidenti ICT e notifica dei gravi all'autorità di vigilanza: 4 ore dalla classificazione, report intermedio a 72 ore, finale entro 1 mese. Template armonizzati (RTS 2025/301).
Programma di test proporzionato al rischio, fino ai TLPT su base TIBER-EU almeno triennali per le entità significative: scenari costruiti sugli attori reali che colpiscono il comparto.
Registro dei contratti ICT, clausole obbligatorie, exit strategy, vigilanza diretta europea sui fornitori critici. La resilienza del fornitore diventa parte della vostra.
Scambio volontario di cyber threat intelligence tra entità finanziarie: IOC, TTP, alert di settore. La difesa del comparto è collettiva o non è.
Oltre 20 categorie di entità finanziarie: banche, imprese di investimento, assicurazioni e riassicurazioni, istituti di pagamento e di moneta elettronica, gestori di fondi, sedi di negoziazione, fornitori di servizi su cripto-attività, più i fornitori ICT critici designati dalle autorità europee. A differenza della NIS2, DORA è un regolamento: identico in tutta l'UE, senza recepimento nazionale, applicabile dal 17 gennaio 2025. Per il rapporto con la NIS2 e gli altri obblighi di notifica: hub normativa e confronto dei regimi di notifica.
Rilevazione e contenimento in minuti, evidenze e timeline pronte per la notifica in 4 ore. La classificazione dell'incidente si regge su fatti, non su stime.
Scopri MDR →Intelligence su 287 tra gruppi avversari e strumenti d'attacco: scenari threat-led per i test TIBER-EU e contributo allo scambio informativo di settore.
Scopri CTI →Il verticale Fortgale per il comparto finanziario: attori attivi contro le banche europee, casi documentati e architettura del servizio.
Vai al verticale →Le entità finanziarie dell'UE: banche, imprese di investimento, assicurazioni, istituti di pagamento e di moneta elettronica, gestori di fondi, sedi di negoziazione, fornitori di servizi su cripto-attività, più i fornitori ICT critici designati. In Italia la vigilanza è di Banca d'Italia, Consob e IVASS secondo il comparto.
Tre fasi (RTS 2025/301): notifica iniziale entro 4 ore dalla classificazione dell'incidente come grave, e comunque entro 24 ore dalla scoperta; report intermedio entro 72 ore; report finale entro 1 mese con root cause analysis completa.
DORA è lex specialis: sugli obblighi che copre (rischio ICT, notifica, test) prevale sulla NIS2 per le entità finanziarie. I fornitori non finanziari della filiera restano nel perimetro NIS2. Approfondimento: conformità NIS2.
Test di penetrazione guidati dalla minaccia su framework TIBER-EU: scenari costruiti sugli attori e sulle TTP che colpiscono davvero il vostro comparto. Obbligatori almeno ogni 3 anni per le entità significative. La loro qualità dipende dalla threat intelligence che li alimenta.
Sì, dal 17 gennaio 2025, in tutti gli Stati membri e senza recepimento nazionale. Anche gli standard tecnici su notifica, test e terze parti sono operativi.
Un assessment DORA chiarisce la distanza tra la vostra capacità operativa e quella che il regolamento presuppone. SOC di Milano, attivo dal 2017, 24·7·365: il team italiano risponde entro un giorno lavorativo.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.