Tieni aggiornato il registro delle informazioni, esegui test di penetrazione guidati dalle minacce, gestisci il rischio TIC di terze parti e segnala i gravi incidenti TIC — la resilienza operativa digitale che DORA richiede, in un unico spazio di lavoro.
In vigore dal
Si applica dal 17 gennaio 2025
Chi deve conformarsi
Banche, assicurazioni, imprese di investimento e altre entità finanziarie dell'UE — più i loro fornitori TIC
Sanzioni massime
Fino al 2% del fatturato annuo mondiale totale (art. 50)
DORA si applica a un'ampia gamma di entità finanziarie ai sensi dell'articolo 2 e include nel suo ambito i fornitori terzi di servizi TIC, compresi quelli designati come critici. Per le microimprese si applica il principio di proporzionalità. È un orientamento, non una consulenza legale.
DORA unifica la resilienza operativa digitale del settore finanziario dell'UE attorno a cinque pilastri:
Gestire un quadro di gestione del rischio TIC sotto un organo di gestione responsabile, che copra protezione, rilevamento, risposta e ripristino.
Classificare gli incidenti connessi alle TIC per gravità e segnalare quelli gravi all'autorità competente con una relazione iniziale, intermedia e finale.
Mantenere un programma di test; le entità significative eseguono test di penetrazione guidati dalle minacce (TLPT) almeno ogni tre anni.
Gestire il rischio TIC di terze parti lungo tutto il ciclo di vita, prevedere le clausole contrattuali obbligatorie e tenere un registro delle informazioni su ogni accordo per servizi TIC.
Trasforma i cinque pilastri in registri e programmi tracciati e documentati — senza fogli di calcolo.
Costruisci e mantieni il registro delle informazioni dell'articolo 28 su tutti gli accordi contrattuali TIC, pronto da trasmettere alla tua autorità.
Pianifica e monitora i test di penetrazione guidati dalle minacce lungo il ciclo pluriennale, con ambito, fasi ed esiti in un unico posto.
Classifica gli incidenti connessi alle TIC per gravità e prepara le notifiche di incidente grave attese dalla tua autorità competente.
Riutilizza i controlli TIC su NIS2, AI Act dell'UE e ISO 42001 grazie al motore di mappatura dei framework.
DORA si applica a un'ampia gamma di entità finanziarie dell'UE — tra cui banche, istituti di pagamento e di moneta elettronica, imprese di investimento, assicurazioni e riassicurazioni, gestori di fondi, depositari centrali di titoli, sedi di negoziazione e fornitori di servizi per le cripto-attività — e ai fornitori terzi di servizi TIC che le supportano, con un regime di vigilanza diretta dell'UE per quelli designati come critici.
DORA è entrato in vigore il 16 gennaio 2023 e si applica dal 17 gennaio 2025.
Ai sensi dell'articolo 28, ogni entità finanziaria deve tenere un registro delle informazioni che documenta tutti gli accordi contrattuali per l'uso di servizi TIC forniti da terzi. Le autorità competenti possono richiederlo e le entità lo trasmettono loro annualmente.
Il TLPT (articoli 24–27) è un test avanzato, guidato dall'intelligence, che simula attaccanti reali su sistemi in produzione. Le entità finanziarie significative devono eseguirlo almeno una volta ogni tre anni, seguendo gli standard allineati a TIBER-EU.
Gli Stati membri stabiliscono sanzioni amministrative effettive, proporzionate e dissuasive (articolo 50); la non conformità sostanziale può arrivare fino al 2% del fatturato annuo mondiale totale. Per un fornitore terzo di servizi TIC critico, l'Overseer capofila può imporre penalità di mora fino all'1% del fatturato medio giornaliero mondiale (articolo 35, paragrafo 6).
Fai l'autovalutazione gratuita per valutare in pochi minuti la tua preparazione a DORA — senza bisogno di un account.