Dal gennaio 2025, gli enti finanziari e i fornitori di servizi ICT sono tenuti a rispettare il Digital Operational Resilience Act (DORA). Scoprite come implementare in modo efficiente la gestione delle vulnerabilità, i test di resilienza e la documentazione di conformità pronta per gli audit.
Consulenza iniziale gratuita su DORATempo di lettura: 8 minuti
Il Digital Operational Resilience Act (DORA) è il Regolamento (UE) 2022/2554 ed è pienamente applicabile dal 17 gennaio 2025. Impone agli enti finanziari e ai loro fornitori critici di servizi ICT di sviluppare e dimostrare in modo sistematico la propria resilienza agli attacchi informatici e alle interruzioni dei sistemi ICT. Per la prima volta, DORA armonizza i requisiti di gestione del rischio ICT in tutto il settore finanziario europeo e sostituisce quadri normativi nazionali come BAIT, VAIT e KAIT quale principale riferimento normativo.
Il regolamento si applica direttamente in tutti gli Stati membri dell’Unione Europea senza necessità di recepimento tramite legislazione nazionale. In Germania, BaFin svolge il ruolo di punto centrale per la segnalazione degli incidenti ICT e, dal 2025, conduce attivamente ispezioni speciali ai sensi dell’articolo 44 della Legge bancaria tedesca (KWG) per verificare l’attuazione di DORA.
DORA integra altri quadri normativi europei in materia di cybersicurezza, come la Direttiva NIS2 e il Cyber Resilience Act, ponendo tuttavia un’attenzione particolare sulla gestione del rischio ICT, sui test di resilienza e sul funzionamento sicuro dei servizi finanziari digitali.
DORA si applica agli enti finanziari e ai fornitori critici di servizi ICT che erogano servizi digitali al settore finanziario.
DORA si applica a oltre 22.000 enti finanziari e fornitori di servizi ICT in tutta l’Unione Europea. Il regolamento segue il principio di proporzionalità: le organizzazioni di minori dimensioni sono soggette a un quadro semplificato di gestione del rischio ICT, mentre gli istituti di maggiore rilevanza, come le grandi banche e le compagnie assicurative di importanza sistemica, devono soddisfare requisiti più rigorosi, inclusi i test obbligatori Threat-Led Penetration Testing (TLPT).
DORA interessa enti finanziari come banche, assicurazioni e fornitori di servizi di pagamento, nonché fornitori critici di servizi ICT lungo l'intera catena di fornitura digitale.
DORA struttura i propri requisiti in cinque aree fondamentali. Gli enti finanziari devono dimostrare la conformità a tutti e cinque i pilastri. Di seguito sono evidenziati gli ambiti in cui la gestione delle vulnerabilità svolge un ruolo diretto.
DORA organizza i requisiti di resilienza operativa digitale in cinque pilastri che insieme costituiscono un quadro completo di gestione del rischio ICT.
DORA è pienamente applicabile dal 17 gennaio 2025. BaFin sta verificando attivamente l’attuazione del regolamento: entro la fine del 2025 erano già stati segnalati oltre 600 incidenti ICT e avviate numerose ispezioni speciali. A partire dal 2026, le autorità di vigilanza richiedono sempre più prove concrete e basate sui dati della resilienza operativa, e non soltanto documentazione normativa.
DORA è pienamente applicabile da gennaio 2025. Le autorità di vigilanza richiedono sempre più prove affidabili della resilienza digitale.
La gestione delle vulnerabilità è un elemento centrale dei requisiti DORA relativi alla gestione del rischio ICT e ai test di resilienza. Greenbone supporta direttamente gli Articoli 9, 10 e 28 grazie a un’infrastruttura di scansione certificata ISO e a reportistica pronta per gli audit.
Una gestione continua delle vulnerabilità supporta requisiti DORA fondamentali come la gestione del rischio, i test di resilienza e la disponibilità di evidenze per gli audit.
Che cos’è DORA e a chi si applica il regolamento?
Il Digital Operational Resilience Act (DORA) è il Regolamento (UE) 2022/2554 ed è pienamente applicabile dal 17 gennaio 2025. Impone a oltre 22.000 enti finanziari e fornitori critici di servizi ICT nell’Unione Europea di sviluppare e dimostrare in modo sistematico la propria resilienza agli attacchi informatici e alle interruzioni dei sistemi ICT. Rientrano nel campo di applicazione banche, compagnie assicurative, imprese di investimento, fornitori di servizi di pagamento, fornitori di servizi per cripto-attività e i relativi fornitori ICT.
DORA si applica anche ai fornitori di servizi ICT che operano per istituzioni finanziarie?
Sì. DORA include esplicitamente i fornitori ICT terzi critici e non soltanto gli enti finanziari. Se la vostra organizzazione gestisce sistemi, software o servizi per banche, compagnie assicurative o imprese di investimento, è molto probabile che rientri nell’ambito di applicazione del regolamento. La classificazione come fornitore ICT terzo critico è determinata dalle autorità di vigilanza competenti.
Un penetration test annuale è sufficiente per soddisfare i requisiti DORA?
No. DORA richiede valutazioni continue delle vulnerabilità e non semplici verifiche periodiche. I Threat-Led Penetration Test (TLPT) rappresentano un requisito aggiuntivo per gli istituti significativi e devono essere eseguiti almeno ogni tre anni in conformità al framework TIBER-EU. Tuttavia, non sostituiscono una gestione continua delle vulnerabilità, necessaria per soddisfare i requisiti di base previsti dagli Articoli 9 e 10.
Qual è la differenza tra DORA e NIS2?
La NIS2 è una direttiva generale sulla cybersicurezza destinata ai settori critici e deve essere recepita nella legislazione nazionale. DORA è invece un regolamento direttamente applicabile e dedicato esclusivamente al settore finanziario, con requisiti molto più dettagliati in materia di gestione del rischio ICT, segnalazione degli incidenti, test di resilienza e gestione dei fornitori terzi. Per le organizzazioni finanziarie soggette a entrambe le normative, DORA prevale nell’ambito del proprio campo di applicazione specifico.
Quali sanzioni sono previste in caso di mancata conformità a DORA?
Le autorità di vigilanza possono imporre sanzioni fino a 10 milioni di euro o al 5% del fatturato annuo globale. Per i fornitori ICT terzi critici, la sanzione massima è pari a 5 milioni di euro o al 2% del fatturato annuo mondiale. Ulteriori conseguenze possono includere restrizioni operative e danni reputazionali. Dal 2025 BaFin ha già avviato attività di vigilanza e ispezioni speciali.
Quanto rapidamente è possibile integrare OPENVAS SCAN negli ambienti ICT esistenti?
L’implementazione richiede generalmente solo poche ore. OPENVAS SCAN supporta topologie di rete standard, ambienti segmentati e architetture cloud ibride. Greenbone offre soluzioni sia on-premises sia cloud, garantendo in ogni caso la piena sovranità dei dati e l’indipendenza da infrastrutture cloud statunitensi.
Qual è il rapporto tra DORA e il Cyber Resilience Act (CRA)?
Il Cyber Resilience Act si applica ai produttori, importatori e distributori di prodotti digitali in diversi settori. DORA è invece una normativa specifica per il settore finanziario e disciplina l’esercizio e la gestione del rischio dei sistemi ICT. Le due normative si completano a vicenda: le organizzazioni finanziarie che sviluppano o commercializzano prodotti digitali possono rientrare nel campo di applicazione di entrambe. → Scoprite di più sul Cyber Resilience Act.
DORA è in vigore da gennaio 2025 e BaFin sta verificando attivamente l’attuazione dei requisiti. Parlate oggi stesso con i nostri esperti e scoprite come OPENVAS SCAN e OPENVAS SECURITY INTELLIGENCE possono rafforzare il vostro programma di gestione delle vulnerabilità in conformità a DORA, sia in ambienti on-premises che nel cloud.
