Audit DORA: controlli, verifiche interne e preparazione alle richieste dell’Autorità
Risposta rapida
Un audit DORA deve verificare se la resilienza digitale è governata, non solo se esistono documenti. L’auditor deve poter seguire la catena tra requisito, controllo, owner, evidenza, test, incidente, fornitore e remediation. La preparazione migliore è mantenere un audit trail continuo, così la verifica non diventa una corsa dell’ultimo minuto.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
L’audit è il momento in cui le dichiarazioni diventano verifiche. Una procedura può essere formalmente corretta ma non applicata; un registro può esistere ma non essere aggiornato; un test può essere stato eseguito ma senza risultati, lesson learned o remediation. DORA richiede una cultura di controllo che attraversa IT, risk, compliance e fornitori.
Prepararsi a un audit significa ragionare per evidenze campionabili. Se un controllo riguarda gli incidenti, l’auditor può chiedere un caso concreto. Se riguarda i fornitori, può chiedere un contratto, la valutazione del rischio, le clausole e l’exit strategy. Se riguarda la governance, può chiedere verbali e decisioni del management.
Quadro normativo e fonti ufficiali
Il Regolamento DORA e i documenti ESA rafforzano la necessità di controlli documentati sul rischio ICT, sui test di resilienza, sulla gestione degli incidenti e sulle terze parti. Le autorità competenti possono richiedere informazioni e, nel caso dei fornitori ICT critici, il quadro ESA prevede anche poteri di oversight coordinati a livello europeo. Per gli intermediari vigilati in Italia, le comunicazioni Banca d’Italia indicano canali e modalità operative per incident reporting e Register of Information.
Le fonti da usare come base sono il Regolamento (UE) 2022/2554 su EUR-Lex, la pagina EBA dedicata a DORA, gli atti delegati e di esecuzione della Commissione europea e, per gli operatori vigilati in Italia, le comunicazioni della Banca d’Italia su incidenti ICT e Register of Information.
Cosa significa per l'azienda
Per l’azienda, un audit DORA dovrebbe essere preparato con una audit universe specifica: governance, ICT risk, asset e servizi, incidenti, business continuity, test, fornitori, ROI, reporting e remediation.
Il lavoro dell’internal audit non dovrebbe sostituire la compliance operativa. Dovrebbe invece verificare l’efficacia del sistema e segnalare miglioramenti. Quando audit e compliance condividono una base dati comune, le verifiche sono più rapide e meno conflittuali.
Metodo operativo per audit DORA
- Definire obiettivi e scope dell’audit: entità, processi, servizi ICT, fornitori, periodo e criteri.
- Costruire una matrice controlli con riferimento a requisiti DORA, policy interne e standard applicabili.
- Selezionare campioni: incidenti, contratti ICT, test di resilienza, remediation, verbali e report.
- Verificare coerenza tra procedure dichiarate e casi reali.
- Attribuire finding per gravità, causa, impatto, owner e raccomandazione.
- Collegare ogni finding a una remediation tracciabile.
- Presentare report differenziato: dettagli tecnici ai team e sintesi rischio al management.
Mappa pratica: requisito, controllo, evidenza
| Area | Domanda di controllo | Evidenza utile | Rischio se manca | |---|---|---|---| | Governance | Chi approva e riesamina il presidio? | Verbali, policy approvate, dashboard | Decisioni non dimostrabili | | ICT risk | Il rischio ICT è valutato e aggiornato? | Risk register, assessment, remediation | Rischio residuo non governato | | Incidenti | L'incidente viene classificato ed escalato? | Ticket, timeline, report, post-mortem | Ritardi e segnalazioni incoerenti | | Fornitori ICT | Il servizio esterno è censito e valutato? | ROI, contratto, assessment, exit strategy | Dipendenze non presidiate | | Test e continuità | La resilienza è provata periodicamente? | Piano test, risultati, lesson learned | Piani teorici non verificati |
Esempio pratico
L’internal audit seleziona tre fornitori ICT dal Register of Information: un cloud provider, un software di core process e un servizio di monitoraggio. Per ciascuno controlla contratto, criticità, funzione supportata, clausole, valutazione rischio, exit strategy, subfornitori e continuità. Il finding principale non è che manchi un documento, ma che la classificazione del fornitore è diversa tra ROI, risk register e BIA. La remediation richiede riconciliazione dati e definizione di un owner unico per il dato fornitore.
Errori comuni da evitare
- Preparare evidenze solo quando l’audit è già iniziato.
- Limitare l’audit alla presenza di policy senza testare casi reali.
- Non campionare fornitori e incidenti concreti.
- Non distinguere finding documentali da finding di efficacia.
- Non collegare i finding a remediation monitorate.
- Inviare al board report troppo tecnici e poco decisionali.
Come GAPOFF aiuta
GAPOFF supporta la preparazione audit perché conserva la relazione tra requisito, controllo, evidenza, gap e remediation. Il modulo ISO 27001 può aiutare a strutturare audit interni e controlli ricorrenti, mentre il modulo DORA mantiene i riferimenti specifici a ROI, incident reporting, testing e fornitori ICT. Il Trust Center può semplificare la condivisione selettiva di evidenze non sensibili con clienti o stakeholder autorizzati.
Collegamenti interni consigliati per il coding agent: Modulo GAPOFF DORA, Vendor Risk Management, Incident & Breach Ops, Business Continuity, Trust Center.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Scope audit definito
- Matrice controlli pronta
- Campioni selezionati
- Evidenze collegate ai requisiti
- Finding classificati per gravità
- Remediation assegnate
- Report tecnico ed executive prodotti
- Audit trail conservato
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
Roadmap consigliata di mantenimento
| Frequenza | Attività | Output atteso | |---|---|---| | Settimanale | Verifica task aperti, incidenti e remediation scadute | Aggiornamento stato operativo | | Mensile | Riesame di gap, fornitori critici e qualità evidenze | Report per compliance e risk | | Trimestrale | Sintesi management su rischi, incidenti, test e budget | Dashboard executive e verbale | | Annuale | Riesame completo del framework e del Register of Information | Evidence pack e piano di miglioramento |
FAQ
Chi dovrebbe svolgere l’audit DORA?
Può essere svolto da internal audit, funzioni di controllo o consulenti qualificati, mantenendo indipendenza adeguata rispetto ai processi verificati.
Ogni controllo DORA deve essere verificato ogni anno?
La frequenza dipende da rischio, dimensione, criticità e piano di audit. I controlli su funzioni critiche, incidenti e fornitori rilevanti meritano maggiore attenzione.
Un audit ISO 27001 copre DORA?
Può fornire molte evidenze utili, ma DORA ha requisiti specifici su settore finanziario, incident reporting, ROI, fornitori ICT e resilienza operativa digitale.
Come gestire i finding DORA?
Ogni finding dovrebbe avere causa, impatto, owner, azione correttiva, scadenza, evidenza richiesta e stato di avanzamento.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- Commissione Europea - DORA implementing and delegated acts
- EBA - Digital Operational Resilience Act
- Banca d'Italia - Comunicazione di gravi incidenti ICT e minacce significative
- Banca d'Italia - Trasmissioni annuali Register of Information dal 2026
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Chi dovrebbe svolgere l’audit DORA?
Può essere svolto da internal audit, funzioni di controllo o consulenti qualificati, mantenendo indipendenza adeguata rispetto ai processi verificati.
Ogni controllo DORA deve essere verificato ogni anno?
La frequenza dipende da rischio, dimensione, criticità e piano di audit. I controlli su funzioni critiche, incidenti e fornitori rilevanti meritano maggiore attenzione.
Un audit ISO 27001 copre DORA?
Può fornire molte evidenze utili, ma DORA ha requisiti specifici su settore finanziario, incident reporting, ROI, fornitori ICT e resilienza operativa digitale.
Come gestire i finding DORA?
Ogni finding dovrebbe avere causa, impatto, owner, azione correttiva, scadenza, evidenza richiesta e stato di avanzamento.
Ultima revisione: 2026-05-19.