Cos’è la normativa DORA? È il regolamento “Digital Operational Resilience Act” dell’Unione Europea, introdotto per rafforzare la sicurezza complessiva del settore finanziario. Stabilisce standard omogenei di resilienza digitale operativa per il settore finanziario e per i fornitori ICT che operano con banche e istituzioni finanziarie.
Oggi il settore finanziario europeo è infatti profondamente interconnesso con servizi digitali, infrastrutture cloud e fornitori ICT. Tale dipendenza rende le imprese più efficienti ma anche più vulnerabili agli incidenti informatici.
1. Che cos’è la normativa DORA e da cosa deriva ↑
Il Digital Operational Resilience Act (Regolamento UE 2022/2554) è una normativa dell’Unione Europea pensata per creare un quadro unico e armonizzato per la gestione del rischio ICT nel settore finanziario. DORA nasce da tre esigenze principali:
- la crescente esposizione degli operatori finanziari a cyber attacchi e incidenti digitali;
- la frammentazione normativa precedente, con regole diverse da Paese a Paese;
- la dipendenza crescente da fornitori tecnologici esterni, spesso extra-UE.
Il regolamento definisce quindi regole specifiche, uniformi e obbligatorie, destinate a garantire la continuità operativa e la resilienza tecnologica dell’intero ecosistema finanziario europeo. La normativa DORA si inserisce nel più ampio quadro delle politiche europee sulla sicurezza digitale, insieme alla direttiva NIS2 e al regolamento sulla cybersecurity dell’Unione Europea.
Da quando è obbligatoria DORA
La normativa è:
- in vigore dal 16 gennaio 2023
- obbligatoria dal 17 gennaio 2025
Ciò significa che entro questa data tutte le organizzazioni coinvolte devono adeguare:
- governance e processi interni,
- sistemi di gestione della sicurezza digitale,
- rapporti contrattuali con fornitori ICT,
- procedure di reportistica degli incidenti.
2. Cosa comporta per le aziende ↑
Esaminiamo ora la normativa DORA cosa prevede per le imprese e quali obblighi concreti introduce in merito agli aspetti organizzativi e ai contratti di servizio. Le aziende devono implementare:
1. Governance e gestione del rischio ICT
- mappatura dei sistemi informativi,
- identificazione e classificazione dei rischi,
- definizione delle responsabilità interne,
- monitoraggio continuo.
2. Segnalazione degli incidenti informatici
- classificazione degli incidenti secondo criteri comuni,
- notifiche tempestive alle Autorità competenti,
- registrazione strutturata degli eventi.
3. Test periodici di resilienza operativa
- test annuali e simulazioni avanzate,
- analisi delle vulnerabilità,
- verifiche su continuità operativa e disaster recovery.
4. Gestione del rischio legato ai fornitori ICT
- due diligence preventiva,
- monitoraggio continuo del fornitore,
- valutazione anche della catena di subfornitura (subappalto tecnologico).
5. Contratti ICT conformi a DORA
Tutti i contratti con fornitori digitali devono includere:
- SLA chiari e misurabili,
- obblighi di notifica incidenti,
- diritti di audit e accesso alle informazioni,
- clausole di continuità operativa ed exit strategy,
- limitazioni e condizioni per il subappalto ICT.
3. Cosa si intende per resilienza operativa digitale? ↑
Nel contesto normativo descritto, la resilienza operativa digitale indica la capacità di un’organizzazione di prevenire, resistere, gestire e recuperare da incidenti informatici o disfunzioni dei sistemi tecnologici senza compromettere la continuità dei servizi finanziari. Non si tratta soltanto di proteggere le infrastrutture IT, ma di garantire che l’intera struttura aziendale sia in grado di reagire rapidamente a eventi critici. Alcuni esempi sono cyber attacchi, malfunzionamenti software, interruzioni dei servizi cloud o problemi legati ai fornitori ICT. La DORA richiede quindi alle imprese di adeguarsi in modo strutturato alla resilienza digitale, avvalendosi di processi di gestione del rischio, test periodici, monitoraggio continuo e piani di continuità operativa. L’obiettivo è assicurare che banche, istituti finanziari e fornitori tecnologici possano continuare a operare in modo affidabile anche in presenza di incidenti informatici, riducendo al minimo l’impatto sui clienti e sull’intero sistema finanziario europeo.
4. Il supporto di Caravati Pagani per l’adeguamento alla normativa DORA ↑
CARAVATI PAGANI attua un approccio integrato, combinando competenze legali e tecnico-informatiche al fine di accompagnare le aziende nel percorso di conformità. Il servizio di consulenza specialistica è rivolto sia a Banche ed Istituti Finanziari (soggetti destinatari degli obblighi DORA) sia ai fornitori ICT che sono tenuti ad adeguare i loro contratti agli standard DORA per poter operare nel settore finanziario.
Il nostro valore aggiunto
Disponiamo di un team composto da:
- Giovanni Garippa, Of Counsel per Caravati Pagani, specializzato in contrattualistica ICT e compliance normativa;
- IT Manager, Dott.ssa Elisabetta Pacitti, Dottore in Informatica Giuridica per la P.A. e le Imprese, esperta in Digital Forensics.
Questa sinergia ci permette di assistere i clienti in modo completo e altamente qualificato, sia dal punto di vista tecnico sia giuridico.
Cosa possiamo fare per le imprese
DORA rappresenta molto più di un adempimento normativo: è un vero e proprio cambio di paradigma che richiede alle aziende di strutturarsi per garantire continuità operativa e sicurezza lungo tutta la catena del valore tecnologico. Adeguarsi in modo corretto significa ridurre i rischi, evitare sanzioni, migliorare affidabilità e competitività e rafforzare la sicurezza interna e dei fornitori. Il nostro Studio si occupa in tal senso di:
- revisione dei contratti ICT esistenti per renderli DORA compliant,
- redazione di nuovi contratti conformi al regolamento europeo,
- analisi congiunta tecnica e giuridica dei rischi ICT,
- supporto alla governance ICT e ai processi di resilienza digitale,
- assistenza continuativa per adeguamenti e verifiche periodiche.
Grazie a un approccio combinato, CARAVATI PAGANI è un punto di riferimento per chi cerca un Commercialista esperto in normativa DORA o un avvocato per la redazione di contratti DORA.
FAQ su DORA
- Q. Chi deve rispettare la normativa DORA?
- Q. Quando diventa obbligatoria la normativa DORA?
- Q. Qual è l’obiettivo di DORA?
A. Banche, istituti finanziari, società di investimento, compagnie assicurative e fornitori ICT che offrono servizi al settore finanziario.
A. Il regolamento è in vigore dal 16 gennaio 2023 e diventa pienamente applicabile dal 17 gennaio 2025
A. Garantire la resilienza operativa digitale del sistema finanziario europeo, assicurando che le organizzazioni siano in grado di prevenire e gestire incidenti ICT.
