DORA è il Regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario. Stabilisce un quadro normativo unico e direttamente applicabile in tutti gli Stati membri dell'Unione europea.
DORA (Digital Operational Resilience Act) è il Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, adottato il 14 dicembre 2022. Il suo scopo è rafforzare la resilienza operativa digitale degli enti finanziari, armonizzando i requisiti relativi alla sicurezza delle reti e dei sistemi informativi.
Prima di DORA, gli obblighi sulla gestione del rischio relativo alle TIC erano frammentati tra diverse direttive e orientamenti settoriali. DORA introduce un quadro unico, coerente e direttamente applicabile, eliminando le sovrapposizioni e le lacune normative.
L'Articolo 2 definisce un perimetro molto esteso. Rientrano nell'ambito di DORA, tra gli altri:
Si applica il principio di proporzionalità in funzione delle dimensioni e del profilo di rischio dell'ente.
DORA si fonda su cinque pilastri tra loro complementari:
Le scadenze fondamentali da ricordare sono:
La vigilanza su DORA è affidata alle autorità competenti di ciascun settore (per esempio, le banche centrali nazionali e le autorità di vigilanza assicurativa e dei mercati), coordinate a livello europeo dalle Autorità europee di vigilanza (ESA: EBA, ESMA ed EIOPA).
Per i fornitori terzi critici di servizi TIC è previsto un quadro di sorveglianza dell'Unione: un'autorità di sorveglianza capofila tra le ESA esercita poteri diretti, comprese ispezioni e richieste di informazioni.
DORA prevede che gli Stati membri stabiliscano sanzioni amministrative e misure correttive effettive, proporzionate e dissuasive. Le autorità competenti possono richiedere la cessazione di una condotta, imporre misure di rimedio e applicare sanzioni pecuniarie.
Per i fornitori terzi critici di servizi TIC, l'autorità di sorveglianza capofila può irrogare penalità di mora periodiche fino all'1% del fatturato medio giornaliero mondiale, per un periodo non superiore a sei mesi.
Prepara il registro delle informazioni →
DORA è l'acronimo di Digital Operational Resilience Act, ossia il Regolamento (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario europeo.
DORA è un regolamento dell'Unione europea. A differenza di una direttiva, è direttamente applicabile in tutti gli Stati membri senza necessità di recepimento nel diritto nazionale, garantendo l'armonizzazione massima.
DORA è entrato in vigore il 16 gennaio 2023 ed è applicabile a tutti gli enti finanziari interessati a partire dal 17 gennaio 2025.
I cinque pilastri sono: gestione del rischio relativo alle TIC; gestione e segnalazione degli incidenti; test di resilienza operativa digitale; gestione del rischio dei fornitori terzi di servizi TIC; condivisione delle informazioni sulle minacce.
Vigilano le autorità competenti nazionali per ciascun settore, coordinate dalle Autorità europee di vigilanza (EBA, ESMA ed EIOPA). I fornitori terzi critici di servizi TIC sono soggetti a una sorveglianza diretta dell'Unione.
Gli Stati membri stabiliscono sanzioni amministrative effettive, proporzionate e dissuasive. Per i fornitori terzi critici di servizi TIC sono previste penalità di mora fino all'1% del fatturato medio giornaliero mondiale.
Questa pagina è un supporto professionale, non una consulenza legale. · Versione inglese