DORA (Digital Operational Resilience Act) impone agli enti finanziari dell'Unione europea un quadro armonizzato di resilienza operativa digitale. Qui trova strumenti, guide e modelli per raggiungere e mantenere la conformità.
Il Regolamento (UE) 2022/2554, noto come DORA, stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi a sostegno dei processi del settore finanziario. L'obiettivo è garantire che ogni ente possa resistere, rispondere e riprendersi da qualsiasi tipo di perturbazione e minaccia connessa alle tecnologie dell'informazione e della comunicazione (TIC).
Il regolamento è applicabile dal 17 gennaio 2025 e si rivolge direttamente a banche, imprese di assicurazione, imprese di investimento, istituti di pagamento, gestori di fondi e a molti altri soggetti vigilati. Per una panoramica completa consulti la guida Che cos'è DORA.
L'intero impianto normativo si articola in cinque aree fondamentali:
La piattaforma mette a disposizione strumenti interattivi gratuiti per accelerare il percorso di conformità:
L'ambito di applicazione (Articolo 2) è molto ampio e comprende, tra gli altri: enti creditizi, istituti di pagamento e di moneta elettronica, imprese di investimento, prestatori di servizi per le cripto-attività, imprese di assicurazione e riassicurazione, gestori di fondi di investimento alternativi, agenzie di rating del credito e i fornitori terzi critici di servizi TIC sottoposti a vigilanza diretta.
Vige il principio di proporzionalità: gli obblighi si applicano tenendo conto delle dimensioni, del profilo di rischio e della natura dell'attività di ciascun ente.
Un approccio strutturato consente di gestire la conformità in modo efficiente. Suggeriamo questi passaggi iniziali:
DORA è il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario. Stabilisce requisiti uniformi per la gestione del rischio relativo alle TIC, la segnalazione degli incidenti, i test di resilienza e la sorveglianza dei fornitori terzi di servizi TIC.
Il regolamento è applicabile a tutti gli enti finanziari interessati a partire dal 17 gennaio 2025. Le norme tecniche di regolamentazione e di attuazione che lo completano sono state adottate nel corso del 2024 e del 2025.
L'Articolo 2 elenca un'ampia gamma di soggetti vigilati: banche, assicurazioni, imprese di investimento, istituti di pagamento, gestori di fondi, prestatori di servizi per le cripto-attività e altri. Si applica anche ai fornitori terzi critici di servizi TIC.
Offriamo l'analisi delle lacune di conformità, il generatore del registro delle informazioni, il generatore di relazioni per gli incidenti e una decodifica completa delle norme RTS e ITS, tutti accessibili gratuitamente.
Le autorità competenti dispongono di poteri di vigilanza e sanzionatori. Le sanzioni amministrative e le misure correttive variano in funzione della normativa nazionale di recepimento e della gravità della violazione.
Questa pagina è un supporto professionale, non una consulenza legale. · Versione inglese