Fondamenti

Obblighi principali DORA: cosa deve implementare un'entità finanziaria

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

Gli obblighi DORA si concentrano su cinque aree: framework di gestione del rischio ICT, gestione e segnalazione degli incidenti ICT, test di resilienza operativa digitale, gestione del rischio dei fornitori ICT terzi e accordi di condivisione delle informazioni. Ogni obbligo deve essere tradotto in policy, procedure, controlli, owner, evidenze, registri e report. La conformità non si dimostra con una sola policy, ma con un sistema operativo mantenuto nel tempo.

Verifica se la tua organizzazione rientra in DORA

Perimetro, cinque pilastri, gap analysis e report audit-ready.

Verifica gratis →

Perché questo tema è importante

Capire gli obblighi principali è il passaggio più importante per evitare un errore frequente: trasformare DORA in una lista di documenti da produrre. Gli obblighi sono invece processi aziendali. Una policy di incident management non basta se il team non sa classificare un incidente, se i timer non sono chiari, se le funzioni da coinvolgere non sono definite o se il report finale non ricostruisce impatto, cause e azioni correttive.

Lo stesso vale per i fornitori: avere un contratto firmato non basta se non sono documentate criticità del servizio, funzione supportata, localizzazione, subfornitura, exit strategy, concentrazione e monitoraggio continuo. DORA vuole resilienza dimostrabile, non documentazione decorativa.

Quadro normativo e fonti ufficiali

Il testo DORA dedica capitoli specifici a ICT risk management, incident management e reporting, digital operational resilience testing, gestione del rischio derivante da terze parti ICT e condivisione delle informazioni. Gli atti tecnici collegati precisano elementi operativi: il Regolamento delegato (UE) 2024/1774 specifica strumenti, metodi, processi e policy per il framework di rischio ICT; il Regolamento delegato (UE) 2024/1772 riguarda la classificazione degli incidenti ICT; il Regolamento di esecuzione (UE) 2024/2956 definisce template standard per il Register of Information; il Regolamento di esecuzione (UE) 2025/302 riguarda modelli e procedure per segnalare incidenti ICT maggiori e notificare minacce cyber significative.

Cosa significa per l'azienda

Per l’azienda, gli obblighi DORA diventano una mappa di responsabilità. Il primo livello è la governance: chi approva, chi supervisiona, chi riceve reporting. Il secondo livello è il controllo operativo: quali asset e servizi ICT supportano processi critici, quali rischi sono presenti, quali misure sono state adottate. Il terzo livello è la prova: ogni controllo deve essere accompagnato da evidenza, data, owner, stato e collegamento al requisito.

Questo approccio è particolarmente utile per l’audit interno. L’auditor non deve cercare prove in cartelle diverse, ma verificare la catena requisito-controllo-evidenza-remediation. Se un controllo è carente, deve essere chiaro chi lo risolve, entro quando e con quali priorità.

Cosa deve fare concretamente l'organizzazione

ICT risk management: inventariare asset, servizi, minacce, vulnerabilità, impatti e controlli, collegandoli al risk appetite e alla governance.
Incident management e reporting: creare un workflow per rilevazione, classificazione, escalation, notifica, report intermedio, report finale e lessons learned.
Testing di resilienza: pianificare test periodici, vulnerability assessment, scenario test, esercitazioni e, quando applicabile, threat-led penetration testing.
ICT third-party risk: mantenere registro fornitori, valutazioni, contratti, clausole, exit strategy, subfornitura e rischio di concentrazione.
Information sharing: valutare se e come partecipare ad accordi di condivisione informazioni su minacce, in modo coerente con governance e riservatezza.
Reporting e miglioramento continuo: mantenere dashboard, metriche, remediation e approvazioni direzionali.

Esempio pratico

Una società di gestione del risparmio identifica tre obblighi ad alto impatto: Register of Information incompleto, assenza di procedura di classificazione incidenti e test di continuità non collegati alle funzioni importanti. La risposta corretta non è creare tre documenti separati. È costruire un piano unico: aggiornare il registro fornitori, classificare i servizi ICT per funzione supportata, definire un workflow incidenti, pianificare test sui processi prioritari e collegare ogni attività a evidenze.

In sede di audit, la società potrà mostrare non solo il documento di policy, ma lo stato di attuazione: contratti mappati, incidenti simulati, test eseguiti, finding aperti, remediation assegnate e reporting al management.

Errori comuni da evitare

Elencare obblighi senza tradurli in controlli misurabili.
Non distinguere tra requisiti applicabili a tutte le entità e requisiti soggetti a proporzionalità o casistiche specifiche.
Dimenticare l’aggiornamento continuo del Register of Information.
Gestire incidenti e minacce cyber senza criteri di classificazione coerenti.
Non collegare i test di resilienza ai servizi e fornitori che supportano funzioni critiche o importanti.

Come GAPOFF aiuta

Nel modulo DORA di GAPOFF gli obblighi possono essere trasformati in controlli, checklist, owner ed evidenze. La parte fornitori viene gestita in Vendor Risk Management; gli incidenti nel modulo Incident & Breach Ops; i piani e test nel modulo Business Continuity; le sovrapposizioni con ISO 27001 e GDPR tramite cross-mapping. Questo approccio consente di sapere in ogni momento quali obblighi sono coperti, quali evidenze mancano e quali remediation sono aperte.

La DORA non si gestisce con Excel.

Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo DORA →

Checklist operativa

Mappa obblighi DORA aggiornata.
Owner assegnato per ciascun pilastro.
Controlli documentati e collegati a evidenze.
Workflow incidenti testato.
Register of Information coerente con template ufficiali.
Piano di test di resilienza attivo.
Fornitori ICT valutati e monitorati.
Reporting periodico al management.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →

FAQ

Quali sono i principali obblighi DORA?

I principali obblighi riguardano gestione del rischio ICT, incident reporting, test di resilienza, gestione dei fornitori ICT e information sharing.

Gli obblighi sono uguali per tutte le entità?

No. La valutazione dipende dal tipo di entità, dimensione, complessità, servizi prestati, criticità delle funzioni e regimi applicabili.

Il Register of Information è un obbligo autonomo?

È una componente centrale della gestione del rischio dei fornitori ICT. Deve contenere informazioni sugli accordi contrattuali per l’uso di servizi ICT forniti da terzi.

Come si dimostra la conformità agli obblighi?

Con evidenze aggiornate: policy, procedure, registri, contratti, log decisionali, test, report incidenti, remediation, dashboard e verbali del management.

Modulo GAPOFF DORA

Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.

Vai al modulo DORA →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ