Fondamenti

Guida completa a DORA 2026: obblighi, perimetro e percorso operativo

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

DORA, cioè il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario, è applicabile dal 17 gennaio 2025. Non è una semplice normativa cybersecurity: richiede governance, gestione del rischio ICT, classificazione e segnalazione degli incidenti, test di resilienza, controllo dei fornitori ICT e mantenimento del Register of Information. Per un’organizzazione finanziaria il percorso corretto è: definire il perimetro, valutare i gap, assegnare responsabilità, raccogliere evidenze, gestire remediation e mantenere monitoraggio continuo.

Verifica se la tua organizzazione rientra in DORA

Perimetro, cinque pilastri, gap analysis e report audit-ready.

Verifica gratis →

Perché questo tema è importante

DORA è importante perché sposta la compliance finanziaria dal controllo documentale alla capacità dimostrabile di resistere, rispondere e ripristinare servizi digitali in caso di crisi ICT. Banche, assicurazioni, istituti di pagamento, SGR, SIM, fintech e altri operatori vigilati dipendono sempre più da cloud, software, outsourcer, API, provider di pagamento e infrastrutture gestite da terzi. Un’interruzione non è più solo un problema tecnico: può diventare un rischio prudenziale, reputazionale, contrattuale e di continuità dei servizi verso clienti e mercato.

Il punto critico è che DORA non chiede soltanto “di avere sicurezza informatica”. Chiede processi documentati, ruoli approvati, registri aggiornati, reportistica pronta, test ripetibili e una capacità di dimostrare all’autorità competente che la resilienza non dipende da persone singole o file Excel isolati. Per questo un cluster editoriale DORA deve parlare sia al compliance officer sia al CISO, al risk manager, al procurement, al legal e all’organo di gestione.

Quadro normativo e fonti ufficiali

Il quadro di base è il Regolamento (UE) 2022/2554, integrato dagli atti delegati e di esecuzione pubblicati progressivamente dalla Commissione europea e dalle European Supervisory Authorities. Le fonti ufficiali distinguono cinque aree operative: gestione del rischio ICT, incident reporting, test di resilienza operativa digitale, rischio da terze parti ICT e accordi di condivisione delle informazioni.

La pagina della Banca d’Italia conferma che il regolamento mira all’armonizzazione dei requisiti di resilienza digitale nel settore finanziario europeo e richiama espressamente i profili di ICT risk management, incident reporting, test di resilienza, gestione del rischio dei service provider ICT e infosharing. Le pagine ESMA ed EBA mantengono inoltre un registro aggiornato dei Level 2 e Level 3: RTS sul framework di rischio ICT, ITS sul Register of Information, RTS sulla classificazione degli incidenti, ITS sui modelli di segnalazione, TLPT e oversight dei fornitori ICT critici.

Cosa significa per l'azienda

Per l’azienda, DORA significa costruire una catena di controllo che parte dal board e arriva fino al singolo contratto ICT. L’organo di gestione deve poter ricevere informazioni chiare sul rischio digitale, approvare policy e supervisionare l’esecuzione. L’IT deve identificare asset, sistemi, dipendenze, vulnerabilità, test e piani di recovery. Il procurement e il legal devono integrare clausole, exit strategy, livelli di servizio, audit rights e dati necessari al Register of Information. Il compliance officer deve mantenere un quadro tracciabile di requisiti, evidenze, gap e remediation.

La difficoltà concreta è l’interconnessione dei requisiti. Un fornitore cloud rilevante può entrare nel Register of Information, impattare il rischio di concentrazione, determinare scenari di business continuity, essere coinvolto in un incidente ICT e generare richieste di evidenza da parte dell’autorità. Se ogni funzione lavora su strumenti separati, l’azienda rischia incoerenze: contratti non aggiornati, evidenze non collegate al controllo, test non tracciati, incidenti classificati in ritardo.

Cosa deve fare concretamente l'organizzazione

Definire il perimetro DORA: identificare entità, servizi finanziari, sistemi ICT, sedi, società del gruppo e funzioni critiche o importanti.
Mappare i cinque pilastri: ICT risk management, incident reporting, digital operational resilience testing, ICT third-party risk e information sharing.
Costruire il Register of Information: raccogliere accordi contrattuali ICT, fornitori, servizi, subfornitori rilevanti, funzione supportata, criticità, localizzazione dati, sostituibilità e riferimenti contrattuali.
Eseguire una gap analysis: confrontare policy, procedure, controlli, evidenze e strumenti attuali con i requisiti DORA e gli atti tecnici applicabili.
Prioritizzare la remediation: distinguere gap bloccanti, gap ad alto rischio, miglioramenti organizzativi e attività di mantenimento.
Integrare incident management e business continuity: collegare rilevazione, classificazione, escalation, comunicazioni, report, post-mortem e test di ripristino.
Preparare evidenze audit-ready: versionare policy, verbali, report, dashboard, registri, questionari fornitori, risultati dei test e decisioni del management.

Esempio pratico

Una SIM utilizza un provider cloud per il portale clienti, un outsourcer per il monitoraggio infrastrutturale e un software SaaS per la gestione documentale. Prima di DORA, i contratti erano conservati dal legal, le vulnerabilità dall’IT, le valutazioni fornitori dal procurement e gli incidenti in ticket separati. Durante una verifica interna emerge che il portale clienti supporta una funzione importante, ma il contratto non contiene tutte le informazioni necessarie per il Register of Information e non esiste una exit strategy documentata.

Il percorso corretto non è “scrivere una policy DORA” e archiviarla. La SIM deve collegare il servizio cloud alla funzione supportata, attribuire criticità, valutare il rischio di concentrazione, aggiornare le clausole contrattuali, definire RTO/RPO, pianificare test, preparare scenario di incidente e mantenere evidenze aggiornate. Il valore di una piattaforma sta nel rendere questa relazione visibile e tracciabile.

Errori comuni da evitare

Trattare DORA come un progetto IT invece che come un modello di governance della resilienza digitale.
Limitarsi a una checklist iniziale senza mantenere aggiornato il Register of Information.
Separare incident management, business continuity e vendor risk in tre flussi senza collegamento.
Confondere la presenza di una certificazione ISO 27001 con la piena copertura dei requisiti DORA.
Non coinvolgere procurement e legal nella gestione dei fornitori ICT.
Preparare documenti non collegati a evidenze, responsabili, date, decisioni e remediation.

Come GAPOFF aiuta

GAPOFF posiziona il modulo DORA come centro operativo dei cinque pilastri. Il modulo consente di strutturare il perimetro, mantenere il Register of Information, gestire i fornitori ICT tramite Vendor Risk Management, collegare incidenti ICT al modulo Incident & Breach Ops, pianificare test e remediation, e produrre report audit-ready. Il vantaggio rispetto a una gestione manuale è il cross-mapping: una singola evidenza può supportare DORA, ISO 27001, NIS2 e GDPR quando il controllo è realmente sovrapponibile.

Per il team compliance, questo riduce duplicazioni e rischio di disallineamento. Per il CISO, crea una vista operativa sui controlli. Per il management, trasforma DORA in dashboard, priorità, scadenze e decisioni documentabili.

La DORA non si gestisce con Excel.

Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo DORA →

Checklist operativa

Perimetro DORA approvato e documentato.
Cinque pilastri mappati su controlli, owner ed evidenze.
Register of Information creato e aggiornato.
Fornitori ICT classificati per criticità e funzione supportata.
Incident workflow DORA definito con criteri di classificazione.
Piani di continuità e disaster recovery collegati ai servizi critici.
Test di resilienza pianificati e documentati.
Reporting verso management e audit trail disponibili.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →

FAQ

DORA è già applicabile?

Sì. DORA è applicabile dal 17 gennaio 2025. Nel 2026 il tema non è più “prepararsi entro la scadenza”, ma mantenere processi, registri, evidenze e controlli in modo continuativo.

DORA riguarda solo la cybersecurity?

No. La cybersecurity è una componente, ma DORA copre governance, rischio ICT, incidenti, test di resilienza, fornitori ICT, contratti, reporting e condivisione delle informazioni.

Una certificazione ISO 27001 basta per DORA?

No. ISO 27001 può aiutare molto perché fornisce un sistema di gestione della sicurezza, ma DORA richiede elementi specifici come Register of Information, incident reporting DORA, requisiti contrattuali ICT e possibili test avanzati.

GAPOFF sostituisce la consulenza legale?

No. GAPOFF aiuta a rendere operativo, tracciabile e documentabile il percorso di compliance. La qualificazione giuridica del caso concreto deve essere verificata con professionisti qualificati.

Modulo GAPOFF DORA

Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.

Vai al modulo DORA →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ