Documenti ed evidenze DORA: cosa preparare per audit e vigilanza
Risposta rapida
In DORA l’evidenza è ciò che collega una dichiarazione di conformità a un fatto verificabile. Policy, registri, contratti, report di test, classificazioni di incidente, verbali e remediation devono essere reperibili, coerenti e aggiornati. Il problema non è solo avere documenti, ma poter dimostrare rapidamente perché un controllo è efficace e chi lo ha approvato.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
Una documentazione DORA debole produce due rischi: non riuscire a dimostrare ciò che l’organizzazione fa davvero, oppure mostrare documenti incoerenti tra loro. Ad esempio, un contratto ICT può indicare un fornitore critico, il Register of Information può classificarlo diversamente e il piano di continuità può non citarlo. Questa incoerenza è spesso più pericolosa della mancanza di un singolo documento.
Le evidenze devono essere pensate fin dall’inizio come materiali di audit e vigilanza: chiare, datate, approvate, collegate al requisito e mantenute nel tempo. Una cartella piena di PDF non è sufficiente se manca il rapporto tra documento, controllo e rischio.
Quadro normativo e fonti ufficiali
DORA richiede politiche, procedure, strumenti e controlli documentati per la gestione del rischio ICT, la gestione degli incidenti, la continuità, i test, i fornitori e il Register of Information. Le istruzioni della Banca d’Italia per i gravi incidenti ICT e per la trasmissione annuale del Register of Information confermano l’importanza della qualità dei dati e della capacità di fornire informazioni strutturate all’autorità competente.
Le fonti da usare come base sono il Regolamento (UE) 2022/2554 su EUR-Lex, la pagina EBA dedicata a DORA, gli atti delegati e di esecuzione della Commissione europea e, per gli operatori vigilati in Italia, le comunicazioni della Banca d’Italia su incidenti ICT e Register of Information.
Cosa significa per l'azienda
Per l’azienda, costruire un evidence pack significa organizzare le prove per domanda di controllo. Se il revisore chiede come viene classificato un incidente ICT maggiore, non basta mostrare una policy: servono criteri, workflow, casi di test, ticket, ruoli, escalation e report.
La stessa logica vale per i fornitori ICT. Un contratto caricato in archivio ha valore limitato se non è collegato al servizio ICT, alla funzione supportata, alla criticità, alla localizzazione dati, alle clausole rilevanti e alla valutazione del rischio.
Metodo operativo per evidenze DORA
- Creare un registro delle evidenze con requisito, owner, fonte, data, versione e ciclo di revisione.
- Distinguere evidenze di governance, rischio ICT, incidenti, test, fornitori, business continuity e reporting.
- Collegare ogni evidenza al requisito DORA o al controllo interno corrispondente.
- Controllare coerenza tra documenti: contratti, ROI, BIA, incident procedure, policy e remediation.
- Definire criteri di conservazione e aggiornamento, evitando duplicati non versionati.
- Preparare evidence pack per audit interni, richieste dell’autorità, clienti istituzionali e board.
- Usare un Trust Center o repository controllato per condividere solo ciò che è appropriato, evitando invii incontrollati via e-mail.
Mappa pratica: requisito, controllo, evidenza
| Area | Domanda di controllo | Evidenza utile | Rischio se manca | |---|---|---|---| | Governance | Chi approva e riesamina il presidio? | Verbali, policy approvate, dashboard | Decisioni non dimostrabili | | ICT risk | Il rischio ICT è valutato e aggiornato? | Risk register, assessment, remediation | Rischio residuo non governato | | Incidenti | L'incidente viene classificato ed escalato? | Ticket, timeline, report, post-mortem | Ritardi e segnalazioni incoerenti | | Fornitori ICT | Il servizio esterno è censito e valutato? | ROI, contratto, assessment, exit strategy | Dipendenze non presidiate | | Test e continuità | La resilienza è provata periodicamente? | Piano test, risultati, lesson learned | Piani teorici non verificati |
Esempio pratico
Durante un audit interno, l’auditor chiede prova della gestione del rischio di concentrazione cloud. Il team non si limita a mostrare una presentazione. Produce il Register of Information, l’elenco dei contratti cloud, la classificazione delle funzioni supportate, l’analisi dei subfornitori, la valutazione di sostituibilità, la decisione del management, la remediation per ridurre il lock-in e il test di ripristino. Il pacchetto è convincente perché le evidenze raccontano una sequenza logica.
Errori comuni da evitare
- Archiviare documenti senza collegarli a requisiti e controlli.
- Mantenere versioni diverse della stessa policy in cartelle diverse.
- Non aggiornare evidenze dopo cambiamenti di fornitore o sistema.
- Confondere una dichiarazione del fornitore con una valutazione interna del rischio.
- Non conservare verbali e decisioni del management.
- Condividere indiscriminatamente evidenze sensibili con clienti o partner.
Come GAPOFF aiuta
GAPOFF consente di costruire un archivio DORA audit-ready collegando evidenze a requisiti, gap, fornitori, incidenti e remediation. Il modulo Trust Center può essere usato per condividere evidenze selezionate con interlocutori autorizzati, mentre il modulo DORA mantiene la relazione tra controllo, documento e stato di conformità. Questo approccio riduce il rischio di “documentazione senza contesto”.
Collegamenti interni consigliati per il coding agent: Modulo GAPOFF DORA, Vendor Risk Management, Incident & Breach Ops, Business Continuity, Trust Center.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Registro evidenze creato
- Policy e procedure versionate
- Contratti ICT collegati al ROI
- Incidenti e report conservati
- Risultati test e remediation tracciati
- Verbali board/risk committee disponibili
- Evidence pack per audit preparato
- Condivisione controllata tramite Trust Center
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
Roadmap consigliata di mantenimento
| Frequenza | Attività | Output atteso | |---|---|---| | Settimanale | Verifica task aperti, incidenti e remediation scadute | Aggiornamento stato operativo | | Mensile | Riesame di gap, fornitori critici e qualità evidenze | Report per compliance e risk | | Trimestrale | Sintesi management su rischi, incidenti, test e budget | Dashboard executive e verbale | | Annuale | Riesame completo del framework e del Register of Information | Evidence pack e piano di miglioramento |
FAQ
Quali documenti DORA sono più importanti?
Dipende dal perimetro, ma in generale sono centrali framework ICT risk, policy incidenti, Register of Information, contratti ICT, piani di continuità, risultati test, remediation e reporting al management.
Le evidenze devono essere tutte in PDF?
No. Possono essere documenti, registri, log, dashboard, ticket, verbali o screenshot. L’importante è che siano autentiche, reperibili, datate e collegate al controllo.
Un Trust Center può aiutare per DORA?
Sì, soprattutto per fornitori ICT e organizzazioni che devono dimostrare controlli a clienti finanziari. Deve però condividere solo informazioni appropriate e controllate.
Come evitare duplicazioni documentali?
Usando una matrice requisito-controllo-evidenza e una repository unica con versioning, owner e ciclo di revisione.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- Commissione Europea - DORA implementing and delegated acts
- EBA - Digital Operational Resilience Act
- Banca d'Italia - Comunicazione di gravi incidenti ICT e minacce significative
- Banca d'Italia - Trasmissioni annuali Register of Information dal 2026
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Quali documenti DORA sono più importanti?
Dipende dal perimetro, ma in generale sono centrali framework ICT risk, policy incidenti, Register of Information, contratti ICT, piani di continuità, risultati test, remediation e reporting al management.
Le evidenze devono essere tutte in PDF?
No. Possono essere documenti, registri, log, dashboard, ticket, verbali o screenshot. L’importante è che siano autentiche, reperibili, datate e collegate al controllo.
Un Trust Center può aiutare per DORA?
Sì, soprattutto per fornitori ICT e organizzazioni che devono dimostrare controlli a clienti finanziari. Deve però condividere solo informazioni appropriate e controllate.
Come evitare duplicazioni documentali?
Usando una matrice requisito-controllo-evidenza e una repository unica con versioning, owner e ciclo di revisione.
Ultima revisione: 2026-05-19.