Fondamenti

Scadenze DORA e roadmap degli adempimenti: cosa fare dopo l'entrata in applicazione

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

La data chiave di DORA è il 17 gennaio 2025, giorno di applicazione del Regolamento. Nel 2026 le aziende non sono più in una fase preparatoria: devono mantenere registri, policy, test, incident workflow e reporting in modo continuativo. In Italia, la prima trasmissione dei Register of Information alla Banca d’Italia era stata fissata al 15 aprile 2025 con dati al 31 marzo 2025; oggi il focus operativo è qualità dei dati, aggiornamento e capacità di rispondere a richieste dell’autorità.

Verifica se la tua organizzazione rientra in DORA

Perimetro, cinque pilastri, gap analysis e report audit-ready.

Verifica gratis →

Perché questo tema è importante

Le scadenze DORA non vanno lette come un calendario concluso. Il rischio più forte è pensare che, una volta superata la data di applicazione o inviata una prima versione del registro, l’obbligo sia archiviato. In realtà DORA richiede un modello vivo: nuovi contratti, nuovi fornitori, nuove funzioni, incidenti, test, subforniture, modifiche architetturali e decisioni di management devono aggiornare il quadro.

Per un’organizzazione finanziaria, la roadmap deve quindi distinguere tre livelli: scadenze normative già maturate, attività ricorrenti e trigger straordinari. Un incidente maggiore, una migrazione cloud, un cambio di outsourcer o una richiesta dell’autorità possono creare obblighi immediati di verifica, aggiornamento e produzione documentale.

Quadro normativo e fonti ufficiali

Il Regolamento DORA è entrato in vigore il 16 gennaio 2023 ed è applicabile dal 17 gennaio 2025. La comunicazione Banca d’Italia sulla trasmissione dei registri delle informazioni ha indicato, in sede di prima applicazione, il termine del 15 aprile 2025 per l’invio dei dati alla Banca d’Italia, con data di riferimento al 31 marzo 2025, e controlli di qualità con possibili correzioni successive. Le pagine ESMA indicano inoltre il quadro degli standard attuativi, inclusi i template del Register of Information e gli standard per incident reporting, TLPT, outsourcing e oversight.

Cosa significa per l'azienda

Per l’azienda, una roadmap DORA efficace non è un Gantt statico. È un sistema di gestione delle scadenze legato agli oggetti di compliance: fornitore, contratto, servizio ICT, funzione supportata, test, incidente, remediation, evidenza e decisione. Ogni oggetto ha una data di revisione, un owner e un criterio di aggiornamento.

Una banca che firma un nuovo contratto SaaS per una funzione importante deve aggiornare il Register of Information, valutare la criticità del servizio, rivedere il rischio di concentrazione, verificare clausole contrattuali, eventualmente aggiornare piani di exit e continuità. Queste azioni non dipendono da una scadenza annuale astratta, ma dal trigger operativo.

Cosa deve fare concretamente l'organizzazione

Ricostruire la baseline DORA: verificare lo stato al 17 gennaio 2025 e le evidenze prodotte nella prima fase applicativa.
Valutare la qualità del Register of Information: controllare completezza, coerenza, codifiche, riferimenti contrattuali, funzioni supportate e dati su fornitori/subfornitori.
Creare calendario ricorrente: revisioni policy, riesame rischi, test, assessment fornitori, reporting management e audit interni.
Definire trigger straordinari: nuovi contratti ICT, incidenti, cambi infrastrutturali, suboutsourcing, acquisizioni, nuove funzioni o richieste dell’autorità.
Storicizzare ogni aggiornamento: mantenere versioni, motivazioni, owner, approvazioni e prove documentali.
Monitorare remediation: ogni gap deve avere priorità, scadenza, responsabile e stato.

Esempio pratico

Una fintech ha consegnato un primo registro informazioni nel 2025. Nel 2026 introduce un nuovo provider per verifica identità e onboarding digitale. Anche se non esiste una “nuova scadenza DORA” uguale per tutti, l’evento richiede aggiornamenti: valutazione fornitore, classificazione del servizio, mappatura della funzione supportata, verifica clausole, analisi del rischio di concentrazione e aggiornamento dei piani di continuità.

Se questi passaggi non sono inseriti in un workflow, il registro resta formalmente presente ma sostanzialmente superato. In caso di richiesta dell’autorità o audit interno, l’organizzazione potrebbe non essere in grado di spiegare perché il nuovo servizio non sia stato correttamente integrato nel framework.

Errori comuni da evitare

Considerare il 17 gennaio 2025 come una data di chiusura invece che di piena operatività.
Non distinguere tra scadenze normative, attività ricorrenti e trigger di aggiornamento.
Mantenere un Register of Information non aggiornato dopo nuovi contratti o modifiche ai servizi.
Non documentare controlli di qualità dei dati.
Gestire remediation senza scadenza o senza responsabile.

Come GAPOFF aiuta

GAPOFF permette di trasformare la roadmap DORA in attività assegnate, scadenze, evidenze e dashboard. Il modulo DORA centralizza i requisiti; Vendor Risk collega aggiornamenti contrattuali e fornitori; Business Continuity pianifica test; Incident Management attiva timer e workflow; Trust Center può raccogliere documenti e prove da condividere in modo controllato. In questo modo il team non lavora su un calendario separato, ma su una roadmap collegata agli oggetti reali della compliance.

La DORA non si gestisce con Excel.

Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo DORA →

Checklist operativa

Baseline DORA post 17 gennaio 2025 verificata.
Registro informazioni sottoposto a controllo qualità.
Calendario revisioni periodiche definito.
Trigger per nuovi contratti ICT formalizzati.
Trigger per incidenti e cambi infrastrutturali formalizzati.
Remediation con owner, priorità e data.
Reporting periodico al management attivo.
Evidenze storicizzate e versionate.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →

FAQ

Qual è la scadenza principale DORA?

La data principale è il 17 gennaio 2025, da cui DORA è applicabile. Nel 2026 la priorità è il mantenimento operativo.

La prima trasmissione del Register of Information è ancora rilevante?

Sì come riferimento storico e di qualità del dato. In Italia la prima applicazione prevedeva invio alla Banca d’Italia entro il 15 aprile 2025 con dati al 31 marzo 2025. Oggi va mantenuto aggiornato e pronto a richieste.

Ogni quanto va aggiornata la documentazione DORA?

Dipende da policy interne, richieste dell’autorità e cambiamenti operativi. In pratica ogni modifica rilevante a fornitori, servizi, incidenti, test, funzioni o rischi deve generare aggiornamento.

Una roadmap DORA deve essere approvata dal management?

È opportuno che la roadmap, le priorità e i principali rischi siano portati a livello direzionale, soprattutto quando implicano budget, fornitori critici, tempi di remediation o accettazione del rischio.

Modulo GAPOFF DORA

Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.

Vai al modulo DORA →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ