DORA e GDPR: differenze, sovrapposizioni e gestione integrata di incidenti e sicurezza
Risposta rapida
DORA e GDPR non sono la stessa cosa. Il GDPR protegge dati personali e diritti degli interessati; DORA disciplina la resilienza operativa digitale del settore finanziario. Le due normative però si incontrano su sicurezza, incidenti, fornitori, evidenze e governance. Un incidente ICT può essere rilevante per DORA, per GDPR, per entrambi o per nessuno dei due, a seconda di impatti, dati coinvolti e criteri applicabili.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
L’errore più frequente è pensare che la conformità GDPR copra automaticamente DORA. Un’organizzazione può avere informative, registro trattamenti, nomine e DPIA, ma non avere una mappa delle dipendenze ICT, un Register of Information DORA o un processo di classificazione dei major ICT-related incidents. Allo stesso tempo, DORA non sostituisce gli obblighi privacy quando sono coinvolti dati personali.
La gestione integrata è necessaria soprattutto negli incidenti. Un ransomware, un’interruzione cloud o una perdita di integrità dei dati può generare valutazioni parallele: impatto su servizi finanziari, disponibilità operativa, continuità, dati personali, notifica al Garante, comunicazione agli interessati, segnalazione DORA e obblighi contrattuali verso clienti o fornitori.
Quadro normativo e fonti ufficiali
Il GDPR, Regolamento (UE) 2016/679, impone misure tecniche e organizzative adeguate e disciplina la notifica delle violazioni dei dati personali. DORA, Regolamento (UE) 2022/2554, si concentra sulla resilienza digitale delle entità finanziarie, includendo incidenti ICT, testing, fornitori e gestione del rischio ICT. Le autorità e i criteri applicabili possono quindi essere diversi, ma le evidenze tecniche spesso sono condivisibili se correttamente classificate.
Le fonti ufficiali da mantenere come riferimento sono il testo del Regolamento (UE) 2022/2554 su EUR-Lex, le pagine delle Autorità europee di vigilanza e le comunicazioni operative nazionali. Per l’Italia, le pagine di Banca d’Italia su incident reporting e Register of Information sono particolarmente importanti per gli intermediari di competenza.
Cosa significa per l’azienda
Per l’azienda, l’integrazione DORA-GDPR deve evitare doppioni e buchi. Il DPO non può essere escluso dagli incidenti ICT che coinvolgono dati personali; il CISO non può limitarsi alla dimensione privacy se l’evento compromette servizi finanziari; la compliance deve mantenere una matrice che distingua obblighi, criteri, autorità, tempistiche, decisioni e comunicazioni.
Anche sui fornitori le due normative dialogano. Il GDPR guarda a responsabili del trattamento, sub- responsabili e garanzie privacy. DORA guarda a servizi ICT, funzioni supportate, contratti, subfornitura, criticità e concentrazione. Lo stesso provider può quindi essere rilevante in entrambi i registri, ma per motivi diversi.
Cosa deve fare concretamente l’organizzazione
- Mappare separatamente perimetro DORA e perimetro GDPR, evidenziando aree comuni.
- Collegare fornitori ICT DORA con responsabili del trattamento GDPR quando coincidono.
- Creare un workflow incidenti con decision tree DORA, GDPR e contrattuale.
- Separare data breach, incidente ICT, major ICT-related incident e operational disruption.
- Raccogliere evidenze tecniche una sola volta, ma classificarle per uso DORA e GDPR.
- Definire ruoli di CISO, DPO, compliance, legal, risk e management.
- Riesaminare periodicamente registri, DPIA, Register of Information e piani di continuità.
Tabella operativa di lettura
| Area | Domanda operativa | Evidenza utile | Modulo GAPOFF collegato | |---|---|---|---| | Perimetro | Quali servizi, entità e funzioni sono coinvolti? | Mappa perimetro, owner, servizi ICT e funzioni supportate | DORA Compliance | | Fornitori ICT | Quali provider supportano processi critici o importanti? | Contratti, questionari, classificazione criticità, ROI | Vendor Risk Management | | Incidenti | Come viene gestito e documentato un evento ICT? | Timeline, classificazione, decisioni, report, post-mortem | Incident & Breach Ops | | Continuità | Il servizio può essere ripristinato entro obiettivi definiti? | BIA, RTO/RPO, test, lesson learned, remediation | Business Continuity | | Evidenze | Cosa si può mostrare ad audit, clienti o management? | Evidence pack, audit trail, policy, report periodici | Trust Center |
Esempio pratico
Un attacco compromette temporaneamente l’accesso a un portale clienti e potrebbe aver esposto dati personali. L’evento viene aperto nel workflow incidenti. Il team tecnico documenta disponibilità e confidenzialità; il DPO valuta rischio per gli interessati; la compliance valuta criteri DORA; il legal verifica obblighi contrattuali; il business owner stima impatto sui servizi. La stessa evidenza tecnica alimenta due valutazioni distinte: data breach GDPR e incidente ICT DORA.
Errori comuni da evitare
- Pensare che GDPR e DORA siano intercambiabili.
- Gestire data breach e incidenti ICT in workflow separati e non comunicanti.
- Non coinvolgere il DPO quando l’incidente riguarda dati personali.
- Non collegare fornitori privacy e fornitori ICT.
- Confondere registro trattamenti e Register of Information.
- Duplicare evidenze senza governance, creando versioni incoerenti.
Come GAPOFF aiuta
GAPOFF permette di gestire DORA e GDPR come moduli distinti ma collegabili. Il modulo GDPR governa trattamenti, DPIA, nomine e data breach; il modulo DORA gestisce rischio ICT, fornitori, incidenti e continuità; Incident & Breach Ops consente di aprire un evento e valutarne le implicazioni su più normative. Vendor Risk Management aiuta a vedere quando lo stesso fornitore è responsabile privacy e provider ICT critico o importante.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Perimetri DORA e GDPR distinti
- Fornitori comuni identificati
- Decision tree incidenti integrato
- Ruoli DPO/CISO/compliance definiti
- Evidenze tecniche riutilizzabili
- Registro trattamenti e ROI riconciliati quando utile
- Data breach e major incident valutati separatamente
- Report e audit trail conservati
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
FAQ
DORA sostituisce il GDPR per le entità finanziarie?
No. DORA disciplina la resilienza operativa digitale; il GDPR continua ad applicarsi alla protezione dei dati personali.
Un data breach è sempre un incidente DORA?
Non sempre. Dipende dall’impatto ICT e dai criteri DORA. Allo stesso modo, un incidente DORA può non coinvolgere dati personali.
Posso usare le stesse evidenze per DORA e GDPR?
Spesso sì, ma devono essere classificate correttamente. Log, timeline, misure di contenimento e analisi tecnica possono supportare valutazioni diverse.
Il DPO deve occuparsi di DORA?
Non necessariamente come owner DORA, ma deve essere coinvolto quando eventi, fornitori o controlli impattano dati personali e obblighi GDPR.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- EIOPA - Digital Operational Resilience Act
- EBA - Digital Operational Resilience Act
- EBA - ITS sul Register of Information
- Banca d'Italia - Comunicazione di gravi incidenti ICT e minacce significative
- Banca d'Italia - Trasmissioni annuali Register of Information dal 2026
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
DORA sostituisce il GDPR per le entità finanziarie?
No. DORA disciplina la resilienza operativa digitale; il GDPR continua ad applicarsi alla protezione dei dati personali.
Un data breach è sempre un incidente DORA?
Non sempre. Dipende dall’impatto ICT e dai criteri DORA. Allo stesso modo, un incidente DORA può non coinvolgere dati personali.
Posso usare le stesse evidenze per DORA e GDPR?
Spesso sì, ma devono essere classificate correttamente. Log, timeline, misure di contenimento e analisi tecnica possono supportare valutazioni diverse.
Il DPO deve occuparsi di DORA?
Non necessariamente come owner DORA, ma deve essere coinvolto quando eventi, fornitori o controlli impattano dati personali e obblighi GDPR.
- Eur-Lex - Regolamento (Ue) 2022/2554 Dora
- Eiopa - Digital Operational Resilience Act
- Eba - Digital Operational Resilience Act
- Eba - Its Sul Register Of Information
- Banca D'italia - Comunicazione Di Gravi Incidenti Ict E Minacce Significative
- Banca D'italia - Trasmissioni Annuali Register Of Information Dal 2026
Ultima revisione: 2026-05-19.