Vendor Risk Management DORA: come governare fornitori ICT e concentrazione del rischio
Risposta rapida
Il Vendor Risk Management è uno dei punti più delicati di DORA. L’entità finanziaria deve conoscere quali servizi ICT utilizza, quali fornitori li erogano, quali funzioni supportano, quanto sono critici, quali subfornitori sono coinvolti e quali rischi di concentrazione esistono. Non basta una lista anagrafica dei fornitori: serve un modello operativo che colleghi contratti, servizi, funzioni, livelli di rischio, evidenze e azioni correttive.
Perimetro, cinque pilastri, gap analysis e report audit-ready.
Perché questo tema è importante
Il settore finanziario dipende in modo crescente da cloud provider, software house, outsourcer, piattaforme di pagamento, data provider, strumenti di cybersecurity, sistemi documentali e servizi gestiti. Questa dipendenza non è negativa in sé, ma diventa un rischio quando l’organizzazione non sa misurare l’impatto di un’interruzione o di una vulnerabilità del fornitore.
DORA rende centrale la gestione del rischio ICT di terze parti perché la resilienza dell’entità finanziaria dipende anche dalla resilienza dei suoi fornitori. Il Register of Information non è quindi un mero adempimento: è la base informativa per capire dipendenze, criticità, concentrazione, qualità contrattuale e priorità di remediation.
Quadro normativo e fonti ufficiali
DORA dedica una parte rilevante al rischio ICT derivante da terze parti. Le fonti EBA sugli ITS per il Register of Information chiariscono che i template riguardano gli accordi contrattuali con fornitori ICT terzi e sono utilizzati dalle autorità competenti e dalle ESA per vigilanza, compliance e individuazione dei fornitori ICT critici. Le comunicazioni di Banca d’Italia indicano inoltre che dal 2026 la trasmissione del registro avviene annualmente, con riferimento al 31 dicembre dell’anno precedente e termine al 15 marzo.
Le fonti ufficiali da mantenere come riferimento sono il testo del Regolamento (UE) 2022/2554 su EUR-Lex, le pagine delle Autorità europee di vigilanza e le comunicazioni operative nazionali. Per l’Italia, le pagine di Banca d’Italia su incident reporting e Register of Information sono particolarmente importanti per gli intermediari di competenza.
Cosa significa per l’azienda
Per l’azienda, il Vendor Risk DORA deve integrare procurement, legal, IT, security e risk management. Un contratto cloud non è solo un documento legale: può supportare funzioni importanti, trattare dati sensibili, creare dipendenza operativa e richiedere clausole di audit, exit strategy, livelli di servizio e gestione subfornitori.
La maturità del Vendor Risk si misura dalla capacità di rispondere rapidamente a domande operative: quali fornitori supportano funzioni critiche, quali contratti hanno clausole incomplete, quali provider sono concentrati su più processi, quali servizi non hanno piano di uscita e quali evidenze sono scadute.
Cosa deve fare concretamente l’organizzazione
- Censire tutti i fornitori ICT, distinguendo servizi ICT, outsourcing, software, cloud, cybersecurity e supporto tecnico.
- Collegare ogni fornitore a contratti, entità, funzioni supportate, servizi e owner interni.
- Classificare criticità e importanza in base all’impatto operativo, finanziario, reputazionale e regolamentare.
- Verificare clausole contrattuali, subcontracting, audit rights, SLA, exit strategy, data location e incident notification.
- Misurare il rischio di concentrazione per provider, gruppo, tecnologia, area geografica e funzione supportata.
- Aprire remediation su contratti, evidenze, due diligence, piani di uscita e test.
- Aggiornare il Register of Information e preparare controlli qualità prima della trasmissione.
Tabella operativa di lettura
| Area | Domanda operativa | Evidenza utile | Modulo GAPOFF collegato | |---|---|---|---| | Perimetro | Quali servizi, entità e funzioni sono coinvolti? | Mappa perimetro, owner, servizi ICT e funzioni supportate | DORA Compliance | | Fornitori ICT | Quali provider supportano processi critici o importanti? | Contratti, questionari, classificazione criticità, ROI | Vendor Risk Management | | Incidenti | Come viene gestito e documentato un evento ICT? | Timeline, classificazione, decisioni, report, post-mortem | Incident & Breach Ops | | Continuità | Il servizio può essere ripristinato entro obiettivi definiti? | BIA, RTO/RPO, test, lesson learned, remediation | Business Continuity | | Evidenze | Cosa si può mostrare ad audit, clienti o management? | Evidence pack, audit trail, policy, report periodici | Trust Center |
Esempio pratico
Una SIM utilizza lo stesso gruppo tecnologico per CRM, portale clienti, ticketing e document management. Ogni contratto, preso singolarmente, sembra a rischio medio. La vista aggregata mostra però una forte concentrazione: un problema del provider impatterebbe onboarding, assistenza e comunicazioni operative. Il progetto Vendor Risk DORA non si limita a chiedere documenti al fornitore, ma apre remediation su exit strategy, backup documentale, SLA, subfornitori, test di ripristino e reporting al management.
Errori comuni da evitare
- Limitare il Register of Information a una tabella fornitori senza collegamento ai servizi.
- Non classificare le funzioni supportate dal fornitore.
- Trascurare subfornitori e subcontracting.
- Non valutare il rischio di concentrazione aggregato.
- Non aggiornare il registro dopo rinnovi, modifiche contrattuali o nuovi servizi.
- Non collegare questionari, evidenze e remediation ai contratti effettivi.
Come GAPOFF aiuta
Con GAPOFF, il Vendor Risk Management può essere collegato direttamente al modulo DORA. Ogni fornitore ICT può essere censito con anagrafica, contratti, servizi, criticità, owner, evidenze, questionari, remediation e collegamento al Register of Information. Il modulo Trust Center può supportare la raccolta controllata di documenti dai fornitori e la condivisione verso clienti o auditor. In questo modo il vendor risk non resta una due diligence isolata, ma diventa parte della resilienza digitale complessiva.
Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.
Scopri il modulo DORA →Checklist operativa
- Fornitori ICT censiti
- Contratti collegati ai servizi
- Funzioni critiche o importanti mappate
- Subfornitori rilevanti identificati
- Clausole DORA verificate
- Rischio concentrazione valutato
- Remediation contrattuali assegnate
- Register of Information aggiornato e controllato
Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →
FAQ
Che differenza c’è tra vendor list e Register of Information?
La vendor list è un elenco anagrafico. Il Register of Information richiede una rappresentazione strutturata degli accordi ICT, con collegamenti a entità, funzioni, servizi, contratti e dati rilevanti per la vigilanza.
Tutti i fornitori ICT sono uguali ai fini DORA?
No. La criticità dipende da servizio, funzione supportata, impatto potenziale, sostituibilità, concentrazione e ruolo del fornitore nella continuità operativa.
Il rischio di concentrazione riguarda solo grandi cloud provider?
No. Può riguardare anche software house verticali, outsourcer, gruppi societari, tecnologie non sostituibili o provider che supportano molti processi aziendali contemporaneamente.
Cosa fare se un contratto ICT non ha clausole adeguate?
Occorre aprire una remediation contrattuale, coinvolgere legal e procurement, valutare rischio residuo e, se necessario, definire misure compensative o piano di uscita.
Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.
Vai al modulo DORA →Fonti ufficiali e riferimenti
- EUR-Lex - Regolamento (UE) 2022/2554 DORA
- EIOPA - Digital Operational Resilience Act
- EBA - Digital Operational Resilience Act
- EBA - ITS sul Register of Information
- Banca d'Italia - Comunicazione di gravi incidenti ICT e minacce significative
- Banca d'Italia - Trasmissioni annuali Register of Information dal 2026
Disclaimer legale
Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.
FAQ
Che differenza c’è tra vendor list e Register of Information?
La vendor list è un elenco anagrafico. Il Register of Information richiede una rappresentazione strutturata degli accordi ICT, con collegamenti a entità, funzioni, servizi, contratti e dati rilevanti per la vigilanza.
Tutti i fornitori ICT sono uguali ai fini DORA?
No. La criticità dipende da servizio, funzione supportata, impatto potenziale, sostituibilità, concentrazione e ruolo del fornitore nella continuità operativa.
Il rischio di concentrazione riguarda solo grandi cloud provider?
No. Può riguardare anche software house verticali, outsourcer, gruppi societari, tecnologie non sostituibili o provider che supportano molti processi aziendali contemporaneamente.
Cosa fare se un contratto ICT non ha clausole adeguate?
Occorre aprire una remediation contrattuale, coinvolgere legal e procurement, valutare rischio residuo e, se necessario, definire misure compensative o piano di uscita.
- Eur-Lex - Regolamento (Ue) 2022/2554 Dora
- Eiopa - Digital Operational Resilience Act
- Eba - Digital Operational Resilience Act
- Eba - Its Sul Register Of Information
- Banca D'italia - Comunicazione Di Gravi Incidenti Ict E Minacce Significative
- Banca D'italia - Trasmissioni Annuali Register Of Information Dal 2026
Ultima revisione: 2026-05-19.