Risorse DORA

Guide pratiche e approfondimenti su obblighi, perimetro, rischio ICT, incidenti, Register of Information e resilienza operativa — pensati per entità finanziarie, fornitori ICT e consulenti.

Gestisci DORA con GAPOFF →

Fondamenti · 5 articoli

Guida completa a DORA 2026: obblighi, perimetro e percorso operativo Guida DORA 2026 per entità finanziarie: obblighi, perimetro, incidenti ICT, fornitori, evidenze e percorso operativo. Leggi → Che cos'è DORA e cosa cambia per il settore finanziario Cos'è DORA, perché cambia la resilienza digitale nel settore finanziario e quali processi devono essere rivisti dalle aziende. Leggi → Obblighi principali DORA: cosa deve implementare un'entità finanziaria Obblighi DORA spiegati in modo operativo: rischio ICT, incidenti, test, fornitori, Register of Information ed evidenze. Leggi → Scadenze DORA e roadmap degli adempimenti: cosa fare dopo l'entrata in applicazione Scadenze DORA, obblighi già applicabili e roadmap operativa per mantenere registri, incident reporting, test ed evidenze. Leggi → Sanzioni, rischi e responsabilità DORA: cosa rischiano management e organizzazione Sanzioni e rischi DORA: responsabilità del management, conseguenze operative, reputazionali e contrattuali per le entità finanziarie. Leggi →

Perimetro e soggetti coinvolti · 5 articoli

Chi deve adeguarsi a DORA: soggetti obbligati, casi limite e fornitori ICT Chi rientra nel perimetro DORA: entità finanziarie, fintech, assicurazioni, fornitori ICT, casi limite e verifiche operative. Leggi → DORA per PMI finanziarie, fintech e operatori minori: cosa cambia davvero DORA per PMI finanziarie e fintech: proporzionalità, regime semplificato, controlli minimi, fornitori ICT ed evidenze pratiche. Leggi → Fornitori ICT e Register of Information DORA: come gestire contratti, dati e rischio concentrazione Guida operativa al Register of Information DORA: fornitori ICT, contratti, clausole, subfornitori, concentrazione ed evidenze. Leggi → Settori coinvolti da DORA: banche, assicurazioni, pagamenti, fintech e intermediari Settori coinvolti da DORA e impatti operativi per banche, assicurazioni, pagamenti, fintech, gestori e intermediari finanziari. Leggi → Ruoli aziendali coinvolti in DORA: board, CISO, compliance, risk, procurement e legale Ruoli aziendali DORA: cosa devono fare board, CISO, compliance, risk, procurement, legal, audit e business owner. Leggi →

Adeguamento operativo · 5 articoli

Come adeguarsi a DORA in modo operativo: percorso in 7 fasi Guida operativa per adeguarsi a DORA: scoping, gap analysis, remediation, fornitori, incidenti, evidenze e reporting audit-ready. Leggi → Gap analysis DORA: metodo, evidenze e priorità di remediation Come eseguire una gap analysis DORA utile: requisiti, controlli, evidenze, score, priorità, owner e piano di remediation. Leggi → Piano di remediation DORA: come trasformare i gap in azioni tracciabili Come costruire un piano di remediation DORA con priorità, owner, scadenze, budget, evidenze di chiusura e reporting al management. Leggi → Documenti ed evidenze DORA: cosa preparare per audit e vigilanza Elenco ragionato delle evidenze DORA: policy, registri, contratti ICT, incidenti, test, remediation, reporting e audit trail. Leggi → Audit DORA: controlli, verifiche interne e preparazione alle richieste dell’Autorità Come preparare un audit DORA: controlli interni, verifiche, campionamenti, richieste dell’Autorità, remediation e audit trail. Leggi →

Processi e governance · 5 articoli

Governance DORA: modello organizzativo e controllo del rischio ICT Come impostare la governance DORA: board, risk appetite, ruoli, comitati, reporting, policy e controllo del rischio ICT. Leggi → Responsabilità del management in DORA: decisioni, budget e reporting al board Cosa deve fare il management in DORA: governance, approvazione framework ICT, budget, risk appetite, escalation e report al board. Leggi → Policy e procedure DORA: quali servono e come mantenerle aggiornate Quali policy e procedure servono per DORA: ICT risk, incidenti, test, fornitori, change, continuità, evidenze e riesame. Leggi → Formazione DORA: come preparare personale, IT e funzioni di controllo Come progettare la formazione DORA per board, IT, compliance, risk, procurement, legal, utenti e fornitori con evidenze tracciabili. Leggi → Monitoraggio continuo e reporting DORA: dashboard, KPI e audit trail Come impostare monitoraggio continuo DORA: KPI, KRI, dashboard, incidenti, fornitori, remediation, ROI e report per management. Leggi →

Moduli GAPOFF e casi d’uso · 5 articoli

Gestire DORA in piattaforma: dal requisito normativo al controllo operativo Come gestire DORA in una piattaforma unica: requisiti, controlli, evidenze, fornitori, incidenti, remediation e reporting audit-ready. Leggi → Vendor Risk Management DORA: come governare fornitori ICT e concentrazione del rischio Guida al Vendor Risk Management DORA: fornitori ICT, contratti, Register of Information, concentrazione, subcontracting e remediation. Leggi → Incident Management DORA: classificazione, segnalazione e audit trail degli incidenti ICT Come gestire gli incidenti ICT secondo DORA: classificazione, escalation, report, comunicazioni, timeline, evidenze e lesson learned. Leggi → Business Continuity DORA: BIA, RTO, RPO, test e resilienza dei servizi ICT Come integrare Business Continuity e DORA: BIA, servizi ICT, funzioni critiche, RTO/RPO, piani, test, evidenze e remediation. Leggi → Trust Center DORA: come condividere evidenze di resilienza con clienti, audit e stakeholder Come usare un Trust Center per DORA: evidence pack, controlli, fornitori ICT, incidenti, continuità, audit, clienti e stakeholder. Leggi →

Confronti e approfondimenti · 5 articoli

DORA e GDPR: differenze, sovrapposizioni e gestione integrata di incidenti e sicurezza Confronto operativo DORA e GDPR: sicurezza ICT, data breach, incidenti, fornitori, evidenze, ruoli e gestione integrata della compliance. Leggi → DORA e ISO 27001: come riutilizzare controlli, evidenze e audit senza confondere gli standard Come collegare DORA e ISO 27001: controlli di sicurezza, SoA, risk assessment, audit, evidenze, remediation e limiti del riuso. Leggi → DORA, NIS2 e AI Act: come coordinare cyber resilience, supply chain e governance AI Confronto tra DORA, NIS2 e AI Act: cyber resilience, supply chain, incidenti, governance, fornitori, AI e gestione integrata. Leggi → DORA per banche, fintech e payment institution: priorità operative e differenze pratiche Guida verticale DORA per banche, fintech e payment institution: servizi ICT, fornitori, incidenti, continuità, Register of Information e priorità. Leggi → DORA per consulenti, software house e MSP: come offrire servizi compliance ai clienti finanziari Guida DORA per consulenti, software house e MSP: servizi, evidence pack, vendor due diligence, Trust Center, clienti finanziari e GAPOFF. Leggi →

Non sai se la tua organizzazione rientra in DORA?

Scoping guidato, perimetro, cinque pilastri e gap analysis con GAPOFF.

Verifica ora il perimetro →

Domande frequenti su DORA

Che cos'è DORA?

Il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario, applicabile dal 17 gennaio 2025. Impone governance e gestione del rischio ICT, segnalazione incidenti, test di resilienza e controllo dei fornitori ICT.

La mia azienda è coinvolta?

Banche, assicurazioni, istituti di pagamento, SGR, SIM, fintech e molti fornitori ICT rientrano nel perimetro. Anche un fornitore di entità vigilate può essere coinvolto: serve uno scoping documentato.

Da dove inizio?

Dallo scoping del perimetro, poi gap analysis e remediation. Parti dal modulo GAPOFF DORA.

Inizia il percorso DORA con GAPOFF →