Gap analysis DORA: metodo, evidenze e priorità di remediation
Risposta rapida
Una gap analysis DORA efficace non è un questionario generico. Deve collegare ogni requisito a controlli reali, evidenze disponibili, livello di maturità, rischio residuo e azioni di remediation. Il valore dell’assessment sta nella capacità di distinguere ciò che manca davvero da ciò che esiste ma non è documentato, non è aggiornato o non è collegato ai processi corretti.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
La gap analysis è il momento in cui la normativa entra nella struttura reale dell’organizzazione. Senza una valutazione metodica, il progetto DORA tende a produrre documenti uguali per tutti e poco utili in audit. Con una gap analysis ben fatta, invece, la direzione vede le priorità, il CISO comprende gli interventi tecnici, il procurement sa quali fornitori gestire e la compliance può dimostrare un percorso logico.
Il punto più delicato è la qualità delle evidenze. Un controllo dichiarato come “presente” ma privo di verbali, log, report, policy approvate o tracciabilità decisionale può non reggere una verifica. Per questo la gap analysis deve pesare non solo l’esistenza del controllo, ma anche la sua dimostrabilità.
Quadro normativo e fonti ufficiali
DORA richiede un framework di gestione del rischio ICT proporzionato, documentato e integrato nella governance. Gli atti tecnici ESA specificano ulteriormente elementi di risk management, classificazione degli incidenti, Register of Information, politiche sui servizi ICT di terze parti e test di resilienza. La gap analysis deve quindi usare il Regolamento come fonte primaria e gli standard tecnici come riferimento operativo aggiornabile.
Le fonti da usare come base sono il Regolamento (UE) 2022/2554 su EUR-Lex, la pagina EBA dedicata a DORA, gli atti delegati e di esecuzione della Commissione europea e, per gli operatori vigilati in Italia, le comunicazioni della Banca d’Italia su incidenti ICT e Register of Information.
Cosa significa per l'azienda
Per l’azienda, una gap analysis DORA dovrebbe produrre una vista per pilastro: governance e ICT risk management, incident reporting, resilience testing, third-party risk, information sharing. Ogni area deve indicare requisiti applicabili, stato attuale, documenti disponibili, evidenze mancanti e impatto di business.
Una buona analisi evita due estremi: dichiarare tutto non conforme perché manca un formalismo, oppure dichiarare tutto conforme perché “qualcosa si fa già”. La valutazione corretta distingue processi realmente operativi, controlli parziali, controlli non documentati e controlli assenti.
Metodo operativo per gap analysis DORA
- Preparare una matrice requisiti DORA con riferimento ad articolo, pilastro, processo e owner.
- Raccogliere evidenze esistenti: policy, procedure, contratti, registri, report incidenti, risultati test, verbali e dashboard.
- Attribuire uno stato per ogni requisito: conforme, parzialmente conforme, non conforme, non applicabile da motivare.
- Valutare la qualità dell’evidenza: aggiornata, approvata, versionata, collegata al controllo, reperibile.
- Assegnare un livello di rischio e una priorità di remediation.
- Definire azioni correttive con owner, data target, dipendenze, budget e criteri di chiusura.
- Produrre report executive e report tecnico, evitando che il board riceva solo una tabella incomprensibile.
Mappa pratica: requisito, controllo, evidenza
| Area | Domanda di controllo | Evidenza utile | Rischio se manca | |---|---|---|---| | Governance | Chi approva e riesamina il presidio? | Verbali, policy approvate, dashboard | Decisioni non dimostrabili | | ICT risk | Il rischio ICT è valutato e aggiornato? | Risk register, assessment, remediation | Rischio residuo non governato | | Incidenti | L'incidente viene classificato ed escalato? | Ticket, timeline, report, post-mortem | Ritardi e segnalazioni incoerenti | | Fornitori ICT | Il servizio esterno è censito e valutato? | ROI, contratto, assessment, exit strategy | Dipendenze non presidiate | | Test e continuità | La resilienza è provata periodicamente? | Piano test, risultati, lesson learned | Piani teorici non verificati |
Esempio pratico
Un istituto di pagamento dichiara di avere un processo di incident management perché usa un sistema di ticketing. La gap analysis evidenzia però che i ticket non distinguono incidenti ICT maggiori, non contengono criteri DORA, non attivano escalation compliance e non generano un report finale strutturato. Il requisito non viene quindi classificato come “assente”, perché esiste una base operativa, ma come “parzialmente conforme”. La remediation prevede criteri di classificazione, workflow di escalation, template di report, ruoli e test periodici sul processo.
Errori comuni da evitare
- Usare domande sì/no senza valutare evidenze e maturità.
- Valutare solo l’IT ignorando procurement, legal, risk e compliance.
- Non separare gap documentali da gap di processo.
- Non attribuire priorità: tutti i gap finiscono nello stesso elenco.
- Non definire criteri oggettivi per chiudere una remediation.
- Non riesaminare la gap analysis dopo cambiamenti rilevanti o nuovi atti tecnici.
Come GAPOFF aiuta
GAPOFF può strutturare la gap analysis DORA come matrice viva. Ogni requisito viene collegato a un controllo, a un owner, a evidenze caricate o mancanti e a una remediation. La piattaforma permette inoltre di riusare evidenze già presenti in ISO 27001, NIS2 o GDPR quando il controllo è sostanzialmente sovrapponibile. Questo riduce duplicazioni e rende più semplice dimostrare perché un requisito è stato valutato conforme, parzialmente conforme o da trattare.
Collegamenti interni consigliati per il coding agent: Modulo GAPOFF DORA, Vendor Risk Management, Incident & Breach Ops, Business Continuity, Trust Center.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Matrice requisiti DORA completa
- Evidenze raccolte e versionate
- Stato di conformità motivato
- Score di maturità per pilastro
- Priorità basate su rischio e criticità funzione
- Remediation con owner e scadenze
- Report executive disponibile
- Riesame programmato della gap analysis
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
Roadmap consigliata di mantenimento
| Frequenza | Attività | Output atteso | |---|---|---| | Settimanale | Verifica task aperti, incidenti e remediation scadute | Aggiornamento stato operativo | | Mensile | Riesame di gap, fornitori critici e qualità evidenze | Report per compliance e risk | | Trimestrale | Sintesi management su rischi, incidenti, test e budget | Dashboard executive e verbale | | Annuale | Riesame completo del framework e del Register of Information | Evidence pack e piano di miglioramento |
FAQ
Che differenza c’è tra gap analysis DORA e audit DORA?
La gap analysis serve a identificare scostamenti e priorità di adeguamento. L’audit verifica invece se controlli, processi ed evidenze sono effettivamente funzionanti e coerenti rispetto al modello dichiarato.
Un controllo presente ma non documentato è conforme?
Dipende dal requisito e dal contesto, ma in ottica DORA la dimostrabilità è centrale. Un controllo operativo ma non documentato va normalmente trattato come gap documentale o di evidenza.
La gap analysis deve essere rifatta ogni anno?
Non esiste una regola unica valida per tutti i casi, ma è prudente aggiornarla periodicamente e dopo cambiamenti rilevanti: nuovi fornitori, nuovi sistemi, incidenti, audit o aggiornamenti normativi.
Si possono riusare controlli ISO 27001?
Sì, se sono realmente applicabili e supportati da evidenze. ISO 27001 può accelerare il lavoro, ma non sostituisce automaticamente la valutazione DORA.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- Commissione Europea - DORA implementing and delegated acts
- EBA - Digital Operational Resilience Act
- Banca d'Italia - Comunicazione di gravi incidenti ICT e minacce significative
- Banca d'Italia - Trasmissioni annuali Register of Information dal 2026
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Che differenza c’è tra gap analysis DORA e audit DORA?
La gap analysis serve a identificare scostamenti e priorità di adeguamento. L’audit verifica invece se controlli, processi ed evidenze sono effettivamente funzionanti e coerenti rispetto al modello dichiarato.
Un controllo presente ma non documentato è conforme?
Dipende dal requisito e dal contesto, ma in ottica DORA la dimostrabilità è centrale. Un controllo operativo ma non documentato va normalmente trattato come gap documentale o di evidenza.
La gap analysis deve essere rifatta ogni anno?
Non esiste una regola unica valida per tutti i casi, ma è prudente aggiornarla periodicamente e dopo cambiamenti rilevanti: nuovi fornitori, nuovi sistemi, incidenti, audit o aggiornamenti normativi.
Si possono riusare controlli ISO 27001?
Sì, se sono realmente applicabili e supportati da evidenze. ISO 27001 può accelerare il lavoro, ma non sostituisce automaticamente la valutazione DORA.
Ultima revisione: 2026-05-19.