Preparati alla
normativa DORA

DORA (Digital Operational Resilience Act) è un regolamento dell’Unione Europea che mira a rafforzare la resilienza operativa digitale del settore finanziario.

Contattaci Scopri di più
12

Settori interessati

+40k

Stima aziende coinvolte

16.01.23

Data di entrata in vigore

17.01.25

Data entro cui recepire gli obblighi

Obblighi e requisiti tecnici di DORA

Predisponi fin da ora un piano di adeguamento al regolamento: allineati agli obblighi e agli standard normativi per evitare pesanti sanzioni e cogliere tutte le opportunità per la tua azienda.

  • Principali obblighi

    Per gestire il rischio ICT, le istituzioni finanziarie devono adottare un quadro chiaro con ruoli e responsabilità definiti.

    • - Gestione del rischio ICT: Identificazione, valutazione e mitigazione dei rischi delle tecnologie dell'informazione e della comunicazione (ICT).
      - Test di resilienza: Esecuzione di test avanzati, come i Threat-Led Penetration Test (TLPT), per valutare la resistenza a cyberattacchi.
      - Gestione degli incidenti ICT: Implementazione di processi per rispondere agli incidenti di sicurezza in modo tempestivo ed efficace.
      - Continuità operativa: Definizione di piani di continuità operativa per garantire la Business continuity in caso di interruzioni dei servizi ICT.
      - Terze parti: Gestione dei rischi legati all'utilizzo di fornitori terzi di servizi ICT.
      - Segnalazione degli incidenti: Notifica alle autorità competenti degli incidenti di sicurezza significativi.

  • RTS e ITS DORA

    Le Autorità Europee di Vigilanza (AEV) elaborano le Norme Tecniche di Regolamentazione (RTS) e le Norme Tecniche di Attuazione (ITS) per dettagliare il Regolamento DORA e dare riferimenti operativi alle entità finanziarie. Si tratta di technical standards relativi a:

    • - Il quadro di gestione del rischio ICT.
      - I criteri per la classificazione degli incidenti ICT significativi.
      - La gestione dei rischi derivanti da fornitori terzi di servizi ICT.
      - La modalità di segnalazione degli incidenti ICT significativi.
      - I modelli e le procedure standard per la notifica degli incidenti ICT alle autorità di vigilanza.
      - I test avanzati di resilienza operativa (TLPT, Threat-Led Penetration Testing).

Quali sono le entità finanziarie coinvolte?

Il regolamento DORA si applica a entità finanziarie e fornitori di servizi ICT e tiene conto delle differenze tra le organizzazioni finanziarie per dimensioni, profili aziendali ed esposizione ai rischi digitali. Le misure di conformità possono variare a seconda della complessità e dell’importanza dell’entità finanziaria coinvolta.

Settore finanziario

  • Banche
  • Fornitori servizi a pagamento e moneta elettronica
  • Agenzie rating del credito
  • Fornitori servizi crowdfunding
  • Fornitori terzi di servizi ICT
  • Piattaforme trading e depositari dati
  • Compagnie di assicurazione e riassicurazione
  • Gestori fondi di investimento alternativi e società di gestione
  • Depositi centrali di titoli
  • Fornitori servizi di criptovalute
  • Controparti centrali
  • Imprese di investimento
Cosa fare oggi

La tua azienda
è soggetta al regolamento?

Contattaci per verificare se rientri nell’ambito di applicazione di DORA.
Ti supporteremo nel percorso di adeguamento ai requisiti attraverso un approccio strategico e operativo su misura per il tuo business.

Richiedi una consulenza gratuita Scopri il percorso

Come possiamo aiutarti?

Preparati per DORA con i nostri servizi di cybersecurity.

01

Ambito di applicazione

Offriamo un servizio di advisory in sinergia con partner quali studi legali internazionali, esperti di cybersecurity e data privacy.
La consulenza definisce l’applicabilità del regolamento alla tua azienda, sia per le entità finanziarie sia per i fornitori ICT.

02

DORA Gap Analysis

Valutiamo la conformità rispetto ai requisiti del regolamento. Il servizio permette di identificare le aree in cui non si è conformi e sviluppare un piano d’azione per colmare le lacune. Comprende:

  • Cyber Risk Assessment, per identificare e mitigare i rischi operativi legati alla non conformità
  • Mappatura dei requisiti e analisi delle discrepanze attraverso la valutazione della capacità di reportistica e segnalazione degli incidenti
  • Roadmap di adeguamento sostenibile e proporzionale con ruoli, responsabilità e priorità definite
03

Test di resilienza operativa digitale

Mettiamo a disposizione un team certificato in ethical hacking per implementare il piano di test solido ed esaustivo. Sono inclusi test avanzati di cybersicurezza di tipo Threat-Led Penetration Testing (TLPT), da ripetersi almeno ogni tre anni per le entità finanziarie critiche.

04

Formazione sulla cybersecurity

Promuoviamo il piano di formazione sulla cybersecurity per garantire che tutto il personale, inclusi i dirigenti, sia preparato a gestire i rischi informatici e le minacce. Comprende:

  • Security Awareness per aumentare la consapevolezza sulla sicurezza ICT tra i dipendenti e il management
  • Moduli specifici relativi alle pratiche per la gestione delle crisi, la continuità operativa e la risposta agli incidenti​

Fai un passo verso un futuro più sicuro

Contattaci per una consulenza gratuita e scopri come raggiungere e mantenere la conformità a DORA.

    * campi obbligatori