Ruoli aziendali coinvolti in DORA: board, CISO, compliance, risk, procurement e legale
Risposta rapida
DORA coinvolge molte funzioni aziendali: organo di gestione, compliance, CISO/IT, risk management, procurement, legal, business owner, internal audit, privacy/DPO e comunicazione. Il board supervisiona e decide; IT e CISO gestiscono controlli e incidenti; compliance coordina requisiti ed evidenze; risk valuta impatti; procurement e legal governano fornitori e contratti; audit verifica. Senza una matrice RACI, la compliance DORA resta frammentata.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
DORA fallisce quando viene assegnata a una sola funzione. Se resta solo all’IT, mancano contratti, governance e reporting. Se resta solo al compliance, mancano dettagli tecnici e test reali. Se resta solo al procurement, manca la visione di rischio. La resilienza digitale è trasversale per natura: dipende da decisioni direzionali, architetture tecniche, fornitori, persone, budget, processi e prove.
Una matrice dei ruoli serve a evitare zone grigie. Chi classifica un incidente? Chi decide se notificare? Chi aggiorna il Register of Information? Chi approva un fornitore che supporta una funzione importante? Chi verifica l’exit strategy? Chi presenta rischi al board? Se queste domande non hanno risposta prima di una crisi, l’organizzazione perde tempo nel momento peggiore.
Quadro normativo e fonti ufficiali
DORA attribuisce all’organo di gestione un ruolo centrale nella governance del rischio ICT e richiede un framework interno coerente. Le fonti ufficiali evidenziano le aree operative del regolamento: ICT risk management, incident reporting, resilience testing, terze parti e information sharing. Ciascuna area richiede ruoli e responsabilità. Gli standard tecnici e le comunicazioni delle autorità rafforzano l’esigenza di processi documentati, aggiornati e verificabili.
Cosa significa per l'azienda
Per l’azienda, definire ruoli DORA significa creare una RACI per i processi principali. Il board approva policy, riceve report, decide risorse e accetta rischi residui. Il CISO/IT mantiene inventario tecnico, controlli, vulnerability management, test e incident response. Compliance interpreta requisiti e coordina evidenze. Risk integra rischio ICT nel framework enterprise. Legal e procurement presidiano clausole, contratti, exit e subfornitori. Business owner valutano impatto sui servizi. Internal audit verifica indipendentemente.
La privacy può essere coinvolta quando incidenti o servizi ICT impattano dati personali; il DPO o privacy officer dovrà coordinarsi con GDPR, data breach e fornitori responsabili del trattamento. Anche comunicazione e customer care possono essere rilevanti in caso di incidenti con impatto su clienti.
Cosa deve fare concretamente l'organizzazione
- Disegnare RACI DORA: per ogni processo indicare accountable, responsible, consulted e informed.
- Creare comitato operativo: riunire compliance, IT, risk, legal, procurement e business owner.
- Definire escalation incidenti: ruoli decisionali, contatti, sostituti e tempi.
- Assegnare owner ai fornitori ICT: non solo buyer, ma responsabile del rischio e del servizio supportato.
- Formalizzare reporting al board: frequenza, KPI, gap, incidenti, test, remediation e decisioni.
- Integrare audit: verifiche periodiche su qualità evidenze, coerenza registri e stato remediation.
- Formare le funzioni: ogni ruolo deve conoscere cosa fare, non solo l’esistenza del regolamento.
Esempio pratico
Durante un incidente ICT su un servizio di onboarding digitale, il SOC rileva anomalie, l’IT valuta impatto tecnico, il business owner stima clienti coinvolti, compliance verifica criteri DORA, privacy valuta eventuale data breach, legal controlla comunicazioni contrattuali, procurement contatta il fornitore, il management decide priorità e messaggi.
Se questa catena non è definita, ogni minuto viene perso a capire chi deve autorizzare cosa. Una matrice RACI e un workflow in piattaforma riducono ambiguità e producono audit trail delle decisioni.
Errori comuni da evitare
- Nominare un “responsabile DORA” senza responsabilità operative distribuite.
- Non coinvolgere procurement e legal nei requisiti terze parti.
- Lasciare al CISO decisioni che richiedono accettazione del rischio del management.
- Non definire sostituti per ruoli critici.
- Non formare business owner su impatto e classificazione dei servizi.
- Non collegare audit interno al miglioramento continuo.
Come GAPOFF aiuta
GAPOFF consente di assegnare owner, scadenze, stati e responsabilità sui controlli DORA. Incident & Breach Ops aiuta a gestire ruoli ed escalation durante un evento; Vendor Risk collega fornitori a owner e remediation; Business Continuity collega processi e business owner; Trust Center organizza evidenze per stakeholder esterni. La piattaforma può diventare il punto operativo in cui la RACI DORA non resta un organigramma statico ma si traduce in attività, prove e decisioni.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- RACI DORA formalizzata.
- Board informato con reporting periodico.
- Owner assegnati per ICT risk, incidenti, test e fornitori.
- Procurement e legal integrati nel processo.
- Business owner coinvolti nella valutazione impatti.
- Privacy/DPO collegati ai casi con dati personali.
- Internal audit pianificato.
- Sostituti e contatti di escalation aggiornati.
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
FAQ
DORA è responsabilità del CISO?
Il CISO è centrale, ma DORA non può essere gestita solo dall’IT. Coinvolge board, compliance, risk, legal, procurement, audit e business owner.
Serve una matrice RACI?
Sì, è fortemente consigliata per evitare ambiguità su controlli, incidenti, fornitori, test, evidenze e decisioni.
Il board deve ricevere report DORA?
Sì, il management deve poter supervisionare il rischio ICT e prendere decisioni informate su risorse, remediation e rischio residuo.
Come GAPOFF aiuta sui ruoli?
Permette di collegare owner, scadenze, evidenze e remediation ai requisiti, rendendo visibile chi deve fare cosa e quando.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- EBA - Digital Operational Resilience Act
- Banca d'Italia - Comunicazione Regolamento DORA
- EUR-Lex - Regolamento delegato (UE) 2024/1774 ICT risk management framework
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
DORA è responsabilità del CISO?
Il CISO è centrale, ma DORA non può essere gestita solo dall’IT. Coinvolge board, compliance, risk, legal, procurement, audit e business owner.
Serve una matrice RACI?
Sì, è fortemente consigliata per evitare ambiguità su controlli, incidenti, fornitori, test, evidenze e decisioni.
Il board deve ricevere report DORA?
Sì, il management deve poter supervisionare il rischio ICT e prendere decisioni informate su risorse, remediation e rischio residuo.
Come GAPOFF aiuta sui ruoli?
Permette di collegare owner, scadenze, evidenze e remediation ai requisiti, rendendo visibile chi deve fare cosa e quando.
Ultima revisione: 2026-05-19.