Governance DORA: modello organizzativo e controllo del rischio ICT
Risposta rapida
La governance DORA è il sistema con cui l’organizzazione decide, controlla e dimostra la resilienza digitale. Non è un organigramma formale: è l’insieme di ruoli, policy, flussi informativi, risk appetite, escalation, reporting e riesami che permettono al management di governare il rischio ICT come rischio aziendale.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
DORA rende esplicito ciò che molte organizzazioni hanno già sperimentato: un incidente ICT grave può bloccare servizi finanziari, generare obblighi di comunicazione, coinvolgere fornitori esterni e produrre impatti reputazionali. Per questo la governance non può restare confinata nel reparto IT.
Un modello di governance maturo consente di prendere decisioni prima della crisi. Chi approva il livello di rischio? Chi decide una remediation costosa? Chi comunica al board? Chi coordina legal e procurement se un fornitore critico non rispetta le clausole? Senza risposte chiare, la resilienza dipende dall’improvvisazione.
Quadro normativo e fonti ufficiali
DORA attribuisce un ruolo centrale all’organo di gestione nella definizione, approvazione, sorveglianza e responsabilità del framework di gestione del rischio ICT. Gli atti tecnici integrano questo quadro con aspettative operative su politiche, controlli, incidenti, test e fornitori. La governance deve quindi tradurre obblighi normativi in flussi decisionali e controlli mantenuti nel tempo.
Le fonti da usare come base sono il Regolamento (UE) 2022/2554 su EUR-Lex, la pagina EBA dedicata a DORA, gli atti delegati e di esecuzione della Commissione europea e, per gli operatori vigilati in Italia, le comunicazioni della Banca d’Italia su incidenti ICT e Register of Information.
Cosa significa per l'azienda
Per l’azienda, governance significa stabilire una catena chiara: board o organo di gestione, comitato rischi o equivalente, funzioni di controllo, CISO/IT, business owner, procurement, legal e fornitori. Ogni livello riceve informazioni coerenti con il proprio ruolo.
Il board non deve leggere tutti i dettagli tecnici, ma deve poter comprendere esposizione, trend, incidenti rilevanti, fornitori critici, remediation in ritardo, rischi accettati e impatti sui servizi essenziali.
Metodo operativo per governance DORA
- Definire responsabilità del board e dei comitati coinvolti nella resilienza digitale.
- Stabilire risk appetite e soglie di escalation per rischio ICT, incidenti, fornitori e continuità.
- Formalizzare ruoli: CISO, IT owner, compliance, risk, procurement, legal, internal audit e business owner.
- Integrare DORA nelle policy aziendali e nei processi di change, incident, vendor e continuity management.
- Creare reporting periodico con KPI, KRI, incidenti, stato remediation e criticità fornitori.
- Prevedere riesami del framework dopo incidenti, audit, test o cambiamenti significativi.
- Documentare decisioni, accettazioni di rischio e investimenti approvati.
Mappa pratica: requisito, controllo, evidenza
| Area | Domanda di controllo | Evidenza utile | Rischio se manca | |---|---|---|---| | Governance | Chi approva e riesamina il presidio? | Verbali, policy approvate, dashboard | Decisioni non dimostrabili | | ICT risk | Il rischio ICT è valutato e aggiornato? | Risk register, assessment, remediation | Rischio residuo non governato | | Incidenti | L'incidente viene classificato ed escalato? | Ticket, timeline, report, post-mortem | Ritardi e segnalazioni incoerenti | | Fornitori ICT | Il servizio esterno è censito e valutato? | ROI, contratto, assessment, exit strategy | Dipendenze non presidiate | | Test e continuità | La resilienza è provata periodicamente? | Piano test, risultati, lesson learned | Piani teorici non verificati |
Esempio pratico
Un gruppo finanziario crea un comitato di resilienza digitale che si riunisce ogni trimestre. Il CISO porta indicatori su vulnerabilità e test, il procurement presenta criticità fornitori, la compliance aggiorna su requisiti DORA, il risk manager valuta impatti e il PMO mostra remediation. Il board riceve una sintesi con quattro indicatori: servizi critici esposti, incidenti maggiori o near miss, fornitori critici con rischio alto, remediation scadute. La governance diventa così un flusso decisionale, non una riunione formale.
Errori comuni da evitare
- Delegare integralmente DORA all’IT senza coinvolgimento del management.
- Non definire soglie di rischio ed escalation.
- Non collegare la governance ai contratti ICT e ai fornitori.
- Mantenere reporting troppo tecnico o troppo generico.
- Non verbalizzare decisioni e accettazioni di rischio.
- Non riesaminare il framework dopo incidenti o test falliti.
Come GAPOFF aiuta
GAPOFF può trasformare la governance DORA in dashboard e workflow. Il modulo DORA aggrega requisiti, gap, remediation, incidenti, fornitori e test; le viste executive permettono di presentare al management uno stato sintetico ma tracciabile; i moduli Vendor Risk e Business Continuity completano la vista su dipendenze esterne e capacità di ripristino. Il valore è portare il rischio ICT fuori dai silos tecnici e dentro il governo aziendale.
Collegamenti interni consigliati per il coding agent: Modulo GAPOFF DORA, Vendor Risk Management, Incident & Breach Ops, Business Continuity, Trust Center.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Ruolo del board definito
- Comitato o flusso governance operativo
- Risk appetite ICT approvato
- Owner per processi DORA assegnati
- Reporting periodico attivo
- Decisioni e accettazioni rischio verbalizzate
- Fornitori critici inclusi nella governance
- Riesame del framework pianificato
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
Roadmap consigliata di mantenimento
| Frequenza | Attività | Output atteso | |---|---|---| | Settimanale | Verifica task aperti, incidenti e remediation scadute | Aggiornamento stato operativo | | Mensile | Riesame di gap, fornitori critici e qualità evidenze | Report per compliance e risk | | Trimestrale | Sintesi management su rischi, incidenti, test e budget | Dashboard executive e verbale | | Annuale | Riesame completo del framework e del Register of Information | Evidence pack e piano di miglioramento |
FAQ
La governance DORA coincide con la governance IT?
No. La governance IT è una componente. DORA richiede governo aziendale della resilienza digitale, con coinvolgimento di risk, compliance, procurement, legal, business e board.
Cosa deve vedere il board?
Il board dovrebbe ricevere indicatori su rischio ICT, incidenti, fornitori critici, remediation, test, continuità e decisioni che richiedono budget o accettazione del rischio.
Serve un comitato DORA dedicato?
Non sempre è necessario creare un nuovo comitato. Può essere sufficiente integrare DORA in comitati rischi, sicurezza o continuità già esistenti, purché ruoli e reporting siano chiari.
Come si dimostra una governance efficace?
Con policy approvate, verbali, dashboard, decisioni documentate, remediation monitorate, escalation e riesami periodici collegati a evidenze reali.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- Commissione Europea - DORA implementing and delegated acts
- EBA - Digital Operational Resilience Act
- Banca d'Italia - Comunicazione di gravi incidenti ICT e minacce significative
- Banca d'Italia - Trasmissioni annuali Register of Information dal 2026
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
La governance DORA coincide con la governance IT?
No. La governance IT è una componente. DORA richiede governo aziendale della resilienza digitale, con coinvolgimento di risk, compliance, procurement, legal, business e board.
Cosa deve vedere il board?
Il board dovrebbe ricevere indicatori su rischio ICT, incidenti, fornitori critici, remediation, test, continuità e decisioni che richiedono budget o accettazione del rischio.
Serve un comitato DORA dedicato?
Non sempre è necessario creare un nuovo comitato. Può essere sufficiente integrare DORA in comitati rischi, sicurezza o continuità già esistenti, purché ruoli e reporting siano chiari.
Come si dimostra una governance efficace?
Con policy approvate, verbali, dashboard, decisioni documentate, remediation monitorate, escalation e riesami periodici collegati a evidenze reali.
Ultima revisione: 2026-05-19.