Confronti e approfondimenti

DORA e ISO 27001: come riutilizzare controlli, evidenze e audit senza confondere gli standard

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

ISO 27001 può aiutare molto nell’adeguamento DORA, ma non lo sostituisce. ISO 27001 è uno standard per sistemi di gestione della sicurezza delle informazioni; DORA è un regolamento europeo specifico per la resilienza operativa digitale del settore finanziario. La strategia corretta è riutilizzare controlli, audit ed evidenze ISO quando pertinenti, mappandoli però sui requisiti DORA e integrandoli con fornitori ICT, incident reporting, Register of Information e testing di resilienza.

Verifica se la tua organizzazione rientra in DORA

Perimetro, cinque pilastri, gap analysis e report audit-ready.

Verifica gratis →

Perché questo tema è importante

Le organizzazioni certificate o già strutturate secondo ISO 27001 partono avvantaggiate: hanno risk assessment, controlli, policy, audit interni, gestione non conformità, miglioramento continuo e cultura documentale. Tuttavia, DORA richiede una lettura verticale sul settore finanziario, con requisiti specifici su ICT third-party risk, incidenti, test e Register of Information.

Il riuso non deve diventare scorciatoia. Dire “abbiamo ISO 27001” non dimostra automaticamente che i contratti ICT siano mappati, che le funzioni critiche siano collegate ai provider, che gli incidenti siano classificati secondo DORA o che il management riceva report adeguati.

Quadro normativo e fonti ufficiali

DORA stabilisce obblighi regolamentari per entità finanziarie e gestione del rischio ICT. ISO/IEC 27001 è uno standard internazionale certificabile per sistemi di gestione della sicurezza delle informazioni. I due framework possono essere mappati, ma hanno finalità, perimetro, linguaggio e conseguenze differenti. L’uso di ISO come base di controllo deve essere validato rispetto ai requisiti DORA applicabili e alle fonti ufficiali UE/ESA.

Le fonti ufficiali da mantenere come riferimento sono il testo del Regolamento (UE) 2022/2554 su EUR-Lex, le pagine delle Autorità europee di vigilanza e le comunicazioni operative nazionali. Per l’Italia, le pagine di Banca d’Italia su incident reporting e Register of Information sono particolarmente importanti per gli intermediari di competenza.

Cosa significa per l’azienda

Per l’azienda, il collegamento DORA-ISO riduce lavoro duplicato. Policy di access control, incident management, business continuity, supplier relationships, vulnerability management e audit possono essere usate come evidenze parziali. Ma occorre aggiungere contesto DORA: servizi finanziari impattati, funzioni critiche o importanti, fornitori ICT, Register of Information, classificazione incidenti e requisiti di reporting.

L’approccio più efficace è una matrice di mapping: requisito DORA, controllo ISO collegato, evidenza disponibile, copertura, gap residuo, remediation e owner. In questo modo l’audit ISO non viene confuso con la conformità DORA, ma diventa una fonte di evidenze.

Cosa deve fare concretamente l’organizzazione

Esportare controlli ISO 27001, SoA, risk assessment, policy e audit rilevanti.
Mappare ogni controllo ISO sui requisiti DORA pertinenti, evitando corrispondenze forzate.
Valutare la copertura: completa, parziale, non applicabile o da integrare.
Collegare evidenze ISO a servizi ICT, fornitori e funzioni DORA quando possibile.
Aprire gap specifici per incident reporting, ROI, third-party risk e resilience testing.
Allineare audit interni ISO e verifiche DORA dove utile.
Mantenere versioning e audit trail separati per standard e normativa.

Tabella operativa di lettura

| Area | Domanda operativa | Evidenza utile | Modulo GAPOFF collegato | |---|---|---|---| | Perimetro | Quali servizi, entità e funzioni sono coinvolti? | Mappa perimetro, owner, servizi ICT e funzioni supportate | DORA Compliance | | Fornitori ICT | Quali provider supportano processi critici o importanti? | Contratti, questionari, classificazione criticità, ROI | Vendor Risk Management | | Incidenti | Come viene gestito e documentato un evento ICT? | Timeline, classificazione, decisioni, report, post-mortem | Incident & Breach Ops | | Continuità | Il servizio può essere ripristinato entro obiettivi definiti? | BIA, RTO/RPO, test, lesson learned, remediation | Business Continuity | | Evidenze | Cosa si può mostrare ad audit, clienti o management? | Evidence pack, audit trail, policy, report periodici | Trust Center |

Esempio pratico

Una banca ha un ISMS ISO 27001 maturo e audit interni regolari. La matrice DORA mostra che molte evidenze sono riutilizzabili per controlli di sicurezza, change management, vulnerability management e business continuity. Tuttavia mancano dati strutturati per il Register of Information e un processo di classificazione DORA degli incidenti ICT. L’adeguamento non riparte da zero, ma aggiunge layer DORA sopra l’ISMS esistente.

Errori comuni da evitare

Affermare che ISO 27001 equivale a conformità DORA.
Mappare controlli in modo troppo generico senza verificare requisiti specifici.
Non collegare evidenze ISO ai servizi finanziari e fornitori ICT.
Trascurare Register of Information e incident reporting.
Duplicare audit senza coordinamento.
Non distinguere certificazione volontaria e obbligo regolamentare.

Come GAPOFF aiuta

GAPOFF può collegare il modulo ISO 27001 al modulo DORA tramite mapping controlli-evidenze. Le evidenze ISO possono essere riutilizzate dove pertinenti, mentre i gap DORA vengono gestiti con remediation specifiche. Incident & Breach Ops e Business Continuity completano la parte operativa, mentre Vendor Risk Management consente di aggiungere la dimensione dei fornitori ICT. Il risultato è un sistema coerente che evita sia duplicazione sia falsa equivalenza.

La DORA non si gestisce con Excel.

Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo DORA →

Checklist operativa

SoA e controlli ISO disponibili
Matrice mapping DORA-ISO creata
Copertura requisiti valutata
Evidenze riutilizzabili collegate
Gap DORA specifici aperti
Audit ISO e DORA coordinati
Vendor risk integrato
Incident reporting DORA verificato

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →

FAQ

ISO 27001 basta per essere conformi a DORA?

No. ISO 27001 può fornire molte evidenze utili, ma DORA ha requisiti specifici su resilienza digitale, incidenti, fornitori ICT, Register of Information e reporting.

Conviene partire da ISO 27001 se l’azienda è già certificata?

Sì, conviene usare ISO come base di controllo, ma serve una gap analysis DORA dedicata per verificare copertura e lacune.

Le evidenze ISO possono essere riusate in audit DORA?

Possono essere utili se pertinenti, aggiornate e collegate ai requisiti DORA. Non vanno però presentate come prova automatica di conformità totale.

Come evitare duplicazione tra audit ISO e DORA?

Con una matrice comune requisiti-controlli-evidenze, mantenendo però distinti obiettivi, perimetri, owner e riferimenti normativi.

Modulo GAPOFF DORA

Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.

Vai al modulo DORA →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ