Fornitori ICT e Register of Information DORA: come gestire contratti, dati e rischio concentrazione
Risposta rapida
Il Register of Information DORA è il registro degli accordi contrattuali con fornitori ICT terzi. Non è un semplice elenco fornitori: deve collegare provider, contratti, servizi ICT, funzione supportata, criticità, subfornitura, localizzazione, dati, sostituibilità e informazioni richieste dai template ufficiali. È uno dei punti più operativi e delicati di DORA perché un registro incompleto rende difficile gestire rischio di concentrazione, continuità e richieste dell’autorità.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
La gestione dei fornitori ICT è il punto in cui DORA incontra la realtà dell’azienda. Quasi nessuna entità finanziaria opera senza terze parti: cloud provider, software house, core banking, pagamenti, KYC, help desk, monitoraggio, cybersecurity, data center, comunicazioni e servizi specialistici. Ogni fornitore può supportare una funzione diversa e generare rischi differenti.
Il Register of Information serve a rendere visibile questa dipendenza. Se il registro è compilato una volta e poi dimenticato, non serve. Se invece è collegato ai processi di acquisto, rinnovo, assessment, incident management e business continuity, diventa uno strumento di governo. Il registro aiuta anche a rispondere a domande difficili: da chi dipendiamo davvero? Quali servizi sono sostituibili? Quali provider sono concentrati su più funzioni importanti? Quali contratti non contengono clausole adeguate?
Quadro normativo e fonti ufficiali
DORA disciplina la gestione del rischio ICT da terze parti, inclusi accordi contrattuali e mantenimento del registro delle informazioni. Il Regolamento di esecuzione (UE) 2024/2956 stabilisce template standard per il Register of Information. La comunicazione Banca d’Italia ha ricordato che le entità finanziarie devono mantenere e aggiornare il registro a livello di entità, sub-consolidato e consolidato, e renderlo disponibile all’autorità competente secondo le richieste.
Gli standard ESMA indicano anche atti collegati su policy per servizi ICT a supporto di funzioni critiche o importanti, subcontracting e oversight. Per questo il registro non va isolato: è parte del framework di terze parti e del modello di resilienza digitale.
Cosa significa per l'azienda
Per l’azienda, il Register of Information richiede collaborazione tra procurement, legal, IT, compliance e risk. Il procurement conosce fornitori e rinnovi; il legal conosce clausole e contratti; l’IT conosce servizi e architetture; il risk valuta criticità e concentrazione; il compliance governa requisiti, evidenze e aggiornamento. Se manca una di queste funzioni, il registro rischia di essere formalmente compilato ma sostanzialmente debole.
Il registro deve anche essere coerente con la vita reale. Se un provider cambia subfornitore, se un servizio passa da non critico a importante, se cambia localizzazione dei dati o se un contratto viene rinnovato, il registro deve rifletterlo. La qualità del dato è un tema centrale: campi incompleti, classificazioni incoerenti o riferimenti contrattuali sbagliati possono generare richieste di correzione o problemi in sede di vigilanza.
Cosa deve fare concretamente l'organizzazione
- Creare inventario contratti ICT: partire da contratti, ordini, licenze, SaaS, outsourcing e servizi gestiti.
- Classificare servizi e funzioni supportate: distinguere servizi ICT marginali da servizi che supportano funzioni critiche o importanti.
- Raccogliere dati richiesti dai template: anagrafiche, identificativi, contratti, servizi, criticità, localizzazione, gruppo, subfornitori, date e referenti.
- Valutare rischio di concentrazione: identificare dipendenze da singoli provider, tecnologie, cloud region o catene di subfornitura.
- Verificare clausole contrattuali: audit, accesso, sicurezza, continuità, exit, suboutsourcing, incidenti, reporting e cooperazione.
- Integrare aggiornamento nel procurement: ogni nuovo contratto o rinnovo deve aggiornare il registro.
- Controllare qualità dati: definire regole, validazioni, owner e revisioni periodiche.
Esempio pratico
Una banca locale utilizza Microsoft 365, un core banking provider, un servizio KYC, un SOC esterno e un software documentale. In un file Excel tutti risultano semplicemente “fornitori IT”. In ottica DORA questa classificazione è insufficiente. Il core banking supporta funzioni essenziali; il SOC è collegato a rilevazione incidenti; il KYC impatta onboarding clienti; Microsoft 365 può sostenere comunicazioni interne e documenti critici.
La banca deve descrivere accordi, servizi, funzioni, criticità, dati, localizzazioni, subfornitori e sostituibilità. Solo così può capire dove è esposta a concentrazione e quali contratti richiedono remediation.
Errori comuni da evitare
- Usare il registro fornitori amministrativo come se fosse il Register of Information DORA.
- Non collegare il contratto alla funzione supportata.
- Non aggiornare il registro dopo rinnovi o modifiche SaaS.
- Non considerare subfornitori e catene cloud.
- Concentrarsi solo sui grandi provider e ignorare servizi verticali critici.
- Non validare qualità e coerenza dei dati prima di invii o audit.
Come GAPOFF aiuta
Il modulo Vendor Risk Management di GAPOFF è naturalmente collegato a DORA perché consente di mantenere un registro centralizzato dei fornitori, inviare assessment, attribuire scoring, collegare remediation e integrare dati con il modulo DORA. Il Register of Information può essere gestito come oggetto vivo, non come file statico. La concentration risk analysis aiuta a vedere dipendenze ricorrenti e il Trust Center può raccogliere evidenze fornite dai vendor o da condividere con clienti e auditor.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Inventario contratti ICT completo.
- Servizi ICT collegati a funzioni aziendali.
- Criticità del servizio valutata.
- Template Register of Information presidiato.
- Subfornitori e localizzazioni documentati.
- Clausole contrattuali DORA verificate.
- Rischio di concentrazione analizzato.
- Processo di aggiornamento collegato a procurement e rinnovi.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
FAQ
Il Register of Information è solo un elenco fornitori?
No. È un registro strutturato degli accordi contrattuali ICT e delle informazioni rilevanti su servizi, funzioni, criticità e dipendenze.
Chi deve gestire il registro?
Serve collaborazione tra compliance, procurement, legal, IT e risk. Un solo ufficio difficilmente possiede tutte le informazioni.
Cosa succede se il registro è incompleto?
Può diventare un problema in caso di richiesta dell’autorità, audit interno, controllo qualità dati o incidente che coinvolge un fornitore.
GAPOFF può sostituire il template ESA?
GAPOFF può aiutare a gestire dati, processi, evidenze e aggiornamenti. Il formato finale e gli invii devono essere verificati rispetto ai template e canali ufficiali applicabili.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- ESMA - Digital Operational Resilience Act DORA
- Banca d'Italia - Comunicazione Regolamento DORA
- EUR-Lex - Regolamento di esecuzione (UE) 2024/2956 Register of Information
- ESMA - Digital Operational Resilience Act DORA
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Il Register of Information è solo un elenco fornitori?
No. È un registro strutturato degli accordi contrattuali ICT e delle informazioni rilevanti su servizi, funzioni, criticità e dipendenze.
Chi deve gestire il registro?
Serve collaborazione tra compliance, procurement, legal, IT e risk. Un solo ufficio difficilmente possiede tutte le informazioni.
Cosa succede se il registro è incompleto?
Può diventare un problema in caso di richiesta dell’autorità, audit interno, controllo qualità dati o incidente che coinvolge un fornitore.
GAPOFF può sostituire il template ESA?
GAPOFF può aiutare a gestire dati, processi, evidenze e aggiornamenti. Il formato finale e gli invii devono essere verificati rispetto ai template e canali ufficiali applicabili.
Ultima revisione: 2026-05-19.