Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Cos'è il Regolamento DORA? Quadro di Resilienza Digitale dell'UE
Cybersecurity 101/Sicurezza informatica/Regolamento DORA

Cos'è il Regolamento DORA? Quadro di Resilienza Digitale dell'UE

Il Regolamento DORA impone la resilienza operativa digitale per le entità finanziarie dell'UE. Scopri i cinque pilastri, le scadenze di conformità, le sanzioni e le migliori pratiche di implementazione.

CS-101_Cybersecurity.svg
Indice dei contenuti
Che cos'è il Regolamento DORA?
Perché DORA è importante per le istituzioni finanziarie
Chi deve conformarsi a DORA?
Requisiti di cybersecurity di DORA
Come funziona DORA
Gestione del rischio ICT secondo DORA
Requisiti di segnalazione degli incidenti secondo DORA
Sanzioni e applicazione di DORA
Sfide nell'implementazione di DORA
Best practice per DORA
Timeline di conformità a DORA e scadenze chiave
DORA e regolamenti UE correlati
Punti chiave

Articoli correlati

  • Checklist CMMC: Guida alla preparazione dell’audit per i contractor DoD
  • Cos'è la Session Fixation? Come gli attaccanti dirottano le sessioni utente
  • Ethical Hacker: Metodi, Strumenti e Guida al Percorso Professionale
  • Cosa sono gli attacchi avversari? Minacce e difese
Autore: SentinelOne | Recensore: Arijeet Ghatak
Aggiornato: April 30, 2026

Che cos'è il Regolamento DORA?

Le istituzioni finanziarie nell'UE sono soggette a un quadro normativo obbligatorio entrato in vigore il 17 gennaio 2025, con sanzioni che possono raggiungere i 5-10 milioni di euro o il 5-10% del fatturato annuo in caso di mancata conformità. Il Digital Operational Resilience Act (DORA), ufficialmente Regolamento (UE) 2022/2554, stabilisce requisiti uniformi per la gestione del rischio ICT per tutte le entità finanziarie dell'UE. Secondo il testo ufficiale del regolamento, DORA impone alle entità finanziarie di raggiungere un elevato livello comune di resilienza operativa digitale, il che significa che è necessario dimostrare la capacità di resistere, rispondere e riprendersi da qualsiasi interruzione che coinvolga le tecnologie dell'informazione e della comunicazione.

DORA disciplina le entità finanziarie coperte, tra cui istituti di credito, prestatori di servizi di pagamento, imprese di investimento, fornitori di servizi di cripto-asset, compagnie assicurative e fornitori terzi di servizi ICT. Se operi nel settore finanziario dell'UE, DORA probabilmente disciplina le tue operazioni di sicurezza.

Le ricerche di settore rivelano che solo una piccola frazione delle istituzioni finanziarie dichiara la piena conformità ai requisiti di gestione del rischio dei terzi ICT [TKTK - need source], una delle aree con il più basso livello di conformità tra tutti i pilastri di DORA. La scadenza per la rendicontazione dei terzi, fissata al 30 aprile 2025, richiede azioni se non hai già affrontato queste lacune.

Comprendere il motivo dell'esistenza di questa regolamentazione aiuta a contestualizzare la portata dei suoi requisiti.

Perché DORA è importante per le istituzioni finanziarie

DORA stabilisce requisiti armonizzati di resilienza operativa digitale in tutto il settore finanziario dell'UE, eliminando la frammentazione che in precedenza creava complessità di conformità e lacune di sicurezza. I recenti attacchi informatici alle istituzioni finanziarie dimostrano esattamente perché questa regolamentazione esiste.

Nel 2016, gli attaccanti hanno sfruttato i sistemi di messaggistica SWIFT per sottrarre 81 milioni di dollari alla Bangladesh Bank, evidenziando gravi debolezze nella gestione del rischio dei terzi ICT che DORA ora affronta. La violazione di Capital One del 2019 ha compromesso oltre 100 milioni di dati di clienti a causa di un ambiente cloud mal configurato, sottolineando la necessità di quadri di rischio ICT unificati su infrastrutture ibride. Nel 2018, gli attaccanti hanno utilizzato malware distruttivo per distrarre il personale di Banco de Chile mentre contemporaneamente sottraevano 10 milioni di dollari tramite transazioni SWIFT fraudolente, dimostrando come le interruzioni operative possano mascherare furti finanziari.

  • Riduzione del rischio sistemico: Imponendo standard uniformi di gestione del rischio ICT, DORA riduce la probabilità che i guasti operativi di un'istituzione si propaghino nel sistema finanziario. Questo approccio uniforme garantisce che le entità finanziarie possano resistere, rispondere e riprendersi dalle interruzioni ICT.
  • Trasparenza del rischio dei terzi: Il quadro critico di supervisione dei fornitori terzi affronta il rischio di concentrazione che emerge quando il settore finanziario si affida a un numero limitato di fornitori ICT. Secondo il  quadro di supervisione EIOPA, gli articoli 31-44 stabiliscono la supervisione regolamentare diretta dei fornitori terzi critici di servizi ICT (CTPP), segnando la prima volta che l'UE istituisce una tale supervisione su questa scala.
  • Standardizzazione della risposta agli incidenti: Il requisito di notifica entro 4 ore crea coerenza nel modo in cui le entità finanziarie gestiscono gli incidenti di sicurezza. Quando incidenti ICT di rilievo hanno potenziale sistemico, le autorità coordinano le risposte tramite l'European Systemic Cyber Incident Coordination Framework (EU-SCICF).
  • Miglioramento della protezione dei clienti: DORA richiede alle entità finanziarie di segnalare incidenti ICT rilevanti e minacce informatiche significative alle autorità competenti, mentre eventuali obblighi di informare i clienti derivano, se del caso, da altre normative settoriali come GDPR o PSD2 e non da DORA stessa.

Questi benefici si applicano ampiamente al settore finanziario, ma il primo passo è determinare se la tua organizzazione rientra nell'ambito di applicazione di DORA.

Chi deve conformarsi a DORA?

DORA si applica a 21 categorie di entità finanziarie che operano nell'UE, creando uno degli ambiti regolatori più ampi nella cybersecurity dei servizi finanziari. L'articolo 2 definisce l'elenco completo delle entità coperte.

Le istituzioni finanziarie tradizionali costituiscono il nucleo dell'ambito: istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento e depositari centrali di titoli. Imprese di assicurazione e riassicurazione, intermediari assicurativi e istituti di previdenza professionale rientrano nei requisiti di DORA. Il regolamento copre anche fornitori di servizi di cripto-asset, fornitori di servizi di crowdfunding e repertori di cartolarizzazione.

Le entità di infrastruttura di mercato, tra cui sedi di negoziazione, repertori di dati sulle negoziazioni, controparti centrali e fornitori di servizi di segnalazione dati, devono conformarsi. Agenzie di rating del credito, amministratori di benchmark critici e fornitori di servizi di informazione sui conti completano le categorie di entità finanziarie.

I fornitori terzi di servizi ICT sono soggetti ai requisiti DORA quando servono entità finanziarie dell'UE, indipendentemente dalla sede legale del fornitore. Le aziende tecnologiche extra-UE che forniscono servizi cloud, software o servizi gestiti a banche UE devono rispettare i requisiti contrattuali di DORA. Le ESA designano alcuni fornitori come Critical Third-Party Providers (CTPP) in base all'importanza sistemica, sottoponendoli a supervisione regolamentare diretta.

Il principio di proporzionalità previsto dall'articolo 4 consente alle entità più piccole di applicare requisiti proporzionati a dimensione, profilo di rischio e complessità. Le microimprese possono adottare quadri semplificati di gestione del rischio ICT ai sensi dell'articolo 16(3), pur restando soggette agli obblighi di segnalazione degli incidenti e di supervisione dei terzi.

Una volta determinato che DORA si applica alla tua organizzazione, la domanda successiva riguarda gli obblighi specifici di sicurezza a cui sei soggetto.

Requisiti di cybersecurity di DORA

DORA affronta specificamente la sicurezza dei sistemi di rete e informativi che supportano i processi aziendali del settore finanziario. Le interruzioni e le minacce informatiche legate all'ICT rappresentano rischi significativi per la stabilità finanziaria, la continuità operativa e la protezione dei clienti.

L'articolo 15 stabilisce requisiti espliciti di cybersecurity: è necessario monitorare comportamenti anomali nei modelli di utilizzo della rete, negli orari, nelle attività IT e nei dispositivi sconosciuti. Secondo il testo ufficiale del regolamento, le entità finanziarie devono implementare il monitoraggio dei comportamenti anomali in relazione al rischio ICT tramite indicatori appropriati.

I requisiti di segnalazione degli incidenti vanno oltre i tradizionali quadri di cybersecurity. Gli articoli 19 e 20 richiedono di includere l'attribuzione degli attori delle minacce nei rapporti su incidenti e minacce. È necessario classificare gli incidenti come maggiori o non maggiori entro 4 ore, quindi inviare la notifica iniziale all'autorità nazionale competente.

DORA funge da lex specialis per il settore finanziario, prevalendo su NIS2. Sebbene ISO 27001 fornisca una base, DORA estende i requisiti con l'obbligo di attribuzione degli attori delle minacce, obblighi di notifica ai clienti e meccanismi di supervisione dei terzi che affrontano il rischio di concentrazione sistemica.

Questi requisiti di cybersecurity fanno parte della più ampia struttura regolamentare di DORA, che organizza gli obblighi in cinque pilastri distinti.

Come funziona DORA

DORA opera tramite requisiti tecnici obbligatori applicati dalle autorità nazionali competenti coordinate dalle Autorità europee di vigilanza.

Il tuo quadro di gestione del rischio ICT richiede strategie, politiche e procedure. L'organo di gestione ha la responsabilità ultima della supervisione del rischio ICT, come stabilito in tutti i requisiti regolamentari di DORA, secondo il  briefing regolamentare di Citi.

Quando si verifica un incidente, è necessario classificare immediatamente gli incidenti al momento dell'identificazione utilizzando criteri predefiniti. Per gli incidenti maggiori, occorre inviare la notifica iniziale entro 4 ore dalla classificazione all'autorità nazionale competente, seguita da notifiche sequenziali man mano che la situazione evolve.

Il programma di test di resilienza opera su cicli definiti. Per la maggior parte delle entità, vengono condotte valutazioni regolari e test basati su scenari adeguati al profilo di rischio. Se le autorità di vigilanza identificano la tua istituzione come significativa, devi eseguire TLPT almeno ogni 3 anni. Al termine dei test, occorre documentare i risultati sintetici e i piani di rimedio con le relative tempistiche.

La supervisione dei terzi avviene tramite requisiti contrattuali e designazione regolamentare. Prima di ingaggiare fornitori di servizi ICT, è necessario verificare che rispettino gli standard di sicurezza delle informazioni previsti da DORA. Ai sensi dell' articolo 30, i contratti devono includere:

  • Accordi sui livelli di servizio con metriche di performance
  • Standard di sicurezza e requisiti di conformità
  • Diritti di audit e disposizioni di accesso
  • Strategie di uscita e pianificazione della transizione

Le ESA designano alcuni fornitori come critical third-party providers (CTPP) in base all'importanza sistemica. Questi CTPP sono soggetti a supervisione regolamentare diretta indipendentemente dalla loro sede.

Due dei cinque pilastri di DORA hanno il maggiore impatto operativo per i team di sicurezza: gestione del rischio ICT e segnalazione degli incidenti.

Gestione del rischio ICT secondo DORA

La gestione del rischio ICT costituisce la base del quadro regolamentare di DORA. L'articolo 6 richiede alle entità finanziarie di istituire quadri di gestione del rischio ICT come componente integrante del proprio  sistema di gestione del rischio, con responsabilità diretta assegnata all'organo di gestione.

L'organo di gestione deve definire, approvare, supervisionare ed essere responsabile degli accordi di gestione del rischio ICT. Ciò include la definizione dei livelli di tolleranza al rischio, l'approvazione delle politiche di continuità operativa ICT e l'allocazione di un budget adeguato per la resilienza operativa digitale. DORA chiarisce che il rischio ICT è una responsabilità a livello di consiglio di amministrazione, non una funzione del dipartimento IT.

L'articolo 8 impone l'identificazione di tutte le fonti di rischio ICT, inclusi i rischi derivanti da dipendenze da terzi ICT. È necessario mantenere un inventario completo degli asset ICT, mappare le interdipendenze tra i sistemi e documentare tutte le funzioni aziendali supportate dall'ICT. Questa attività di mappatura rivela rischi di concentrazione e punti di guasto singoli che potrebbero interrompere servizi finanziari critici.

I requisiti di protezione e prevenzione previsti dall'articolo 9 specificano che le entità finanziarie devono implementare politiche di sicurezza ICT in diversi ambiti:

  • Sicurezza delle informazioni per i dati in transito e a riposo
  • Gestione e segmentazione della sicurezza di rete
  • Politiche di controllo degli accessi e meccanismi di autenticazione
  • Procedure di gestione delle patch e degli aggiornamenti
  • Sicurezza fisica e ambientale per gli asset ICT

Questi controlli devono operare come un sistema integrato, non come misure isolate applicate indipendentemente.

Le capacità di rilevamento sono altrettanto critiche. L'articolo 10 richiede meccanismi per individuare tempestivamente attività anomale, inclusi problemi di performance della rete ICT e incidenti ICT. L'infrastruttura di rilevamento deve monitorare comportamenti anomali tramite indicatori appropriati e abilitare più livelli di controllo.

Le procedure di risposta e ripristino previste dagli articoli 11 e 12 completano il quadro. È necessario implementare politiche di continuità operativa ICT, piani di disaster recovery e politiche di backup. Questi devono essere testati regolarmente e aggiornati sulla base delle lezioni apprese da interruzioni, test di resilienza e risultati di audit.

Il rispetto di questi obblighi di gestione del rischio ICT crea la base per i parimenti stringenti requisiti di segnalazione degli incidenti previsti da DORA.

Requisiti di segnalazione degli incidenti secondo DORA

DORA stabilisce un quadro strutturato e vincolato nel tempo per la segnalazione degli incidenti che va oltre quanto la maggior parte delle entità finanziarie ha implementato in precedenza. Gli articoli da 17 a 23 definiscono i criteri di classificazione, le tempistiche di segnalazione e gli obblighi di notifica per gli incidenti ICT.

È necessario innanzitutto classificare ogni incidente ICT utilizzando i criteri definiti nell'articolo 18. I fattori di classificazione includono il numero di clienti interessati, la durata e la diffusione geografica dell'incidente, le perdite di dati coinvolte, la criticità dei servizi interessati e l'impatto economico. In base a questa valutazione, si determina se l'incidente è "maggiore" secondo le soglie di DORA.

Per gli incidenti maggiori, la tempistica di segnalazione è rigorosa:

  • Notifica iniziale: Entro 4 ore dalla classificazione dell'incidente
  • Rapporto intermedio: Entro 72 ore dalla notifica iniziale, con aggiornamenti sui progressi, analisi preliminare delle cause e misure temporanee adottate
  • Rapporto finale: Entro un mese dal rapporto intermedio, con analisi confermata delle cause, valutazione dell'impatto effettivo e azioni di rimedio adottate

Processi efficaci di  incident response diventano essenziali per rispettare queste tempistiche. Gli articoli 19 e 20 richiedono inoltre l'attribuzione degli attori delle minacce nei rapporti su incidenti e minacce, creando la necessità di  integrazione di threat intelligence nei flussi di lavoro di reporting.

Oltre agli incidenti maggiori, DORA introduce la segnalazione volontaria di minacce informatiche significative ai sensi dell'articolo 19. Le entità finanziarie possono notificare all'autorità competente quando identificano una minaccia informatica ritenuta rilevante per il sistema finanziario, anche se la minaccia non ha ancora causato un incidente.

Questi obblighi di segnalazione comportano conseguenze sanzionatorie, che ci portano al quadro delle sanzioni di DORA.

Sanzioni e applicazione di DORA

L'applicazione di DORA avviene tramite le autorità nazionali competenti coordinate dalle Autorità europee di vigilanza (EBA, ESMA ed EIOPA). Ogni Stato membro dell'UE implementa il proprio quadro sanzionatorio nei parametri di DORA, creando variazioni nei massimali delle multe e negli approcci di enforcement.

Le strutture sanzionatorie variano sensibilmente tra gli Stati membri. Secondo l' analisi di DLA Piper, il Belgio prevede sanzioni massime di 5 milioni di euro o il 10% del fatturato netto annuo. La Svezia calcola le sanzioni come il maggiore tra 1 milione di euro, il 10% del fatturato netto annuo totale o tre volte il beneficio derivante dalla violazione. Il quadro tedesco consente sanzioni fino a 5 milioni di euro per le persone giuridiche e 500.000 euro per le persone fisiche in posizioni di gestione.

I poteri di enforcement vanno oltre le sanzioni pecuniarie. Le autorità competenti possono:

  • Emettere ordini di cessazione e desistenza che richiedono rimedio immediato
  • Pubblicare avvisi pubblici identificando per nome le entità non conformi
  • Rimuovere membri del consiglio responsabili di carenze nella supervisione del rischio ICT

Queste conseguenze reputazionali spesso superano l'impatto economico diretto delle sanzioni nel lungo termine.

L'articolo 54 richiede alle autorità competenti di pubblicare le decisioni che impongono sanzioni amministrative sui propri siti ufficiali, includendo informazioni sul tipo e la natura della violazione e sull'identità dei responsabili. Questo meccanismo di divulgazione pubblica crea trasparenza ma anche un rischio reputazionale significativo per le organizzazioni non conformi.

I Critical Third-Party Providers sono soggetti a supervisione diretta da parte del Lead Overseer designato dalle ESA. I CTPP che non rispettano le raccomandazioni di supervisione sono soggetti a pagamenti periodici di penalità fino al raggiungimento della conformità, separatamente dalle sanzioni imposte alle entità finanziarie che servono.

Con queste poste in gioco in termini di enforcement, diventa essenziale comprendere le barriere pratiche alla conformità.

Sfide nell'implementazione di DORA

Le ricerche di settore rivelano barriere sistematiche all'implementazione in tutto il settore finanziario, con la gestione del rischio dei terzi ICT e i test di resilienza operativa digitale che mostrano i livelli di conformità più bassi.

  1. Complessità della gestione del rischio dei terzi: La gestione del rischio dei terzi ICT rappresenta l'area con il più basso livello di conformità tra tutti i pilastri di DORA. Le organizzazioni si trovano di fronte alla prospettiva di revisioni legali tecnologicamente assistite di migliaia di contratti, ciascuno dei quali richiede la verifica della conformità dei fornitori agli standard di sicurezza di DORA.
  2. Carenze nei programmi di test: I test di resilienza operativa digitale mostrano livelli di conformità altrettanto preoccupanti. Ciò indica che le organizzazioni faticano a implementare i quadri di penetration testing guidati dalle minacce richiesti da DORA.
  3. Lacune di visibilità multi-cloud: Creare una panoramica centrale di sistemi ICT complessi, segregati e segmentati rappresenta una sfida importante. È necessario acquisire metadati da ambienti multi-cloud, integrare infrastrutture on-premise e mantenere inventari completi degli asset. Piattaforme di visibilità unificata che consolidano il monitoraggio su ambienti multi-cloud e on-premise aiutano ad affrontare questa sfida.
  4. Requisiti di attribuzione degli incidenti: L'obbligo di includere  attribuzione degli attori delle minacce nei rapporti sugli incidenti crea un onere operativo superiore rispetto alla tradizionale risposta agli incidenti. Questo requisito richiede accesso a feed di threat intelligence e analisti con competenze di attribuzione, oltre a flussi di lavoro di reporting autonomi per supportare la notifica a più stakeholder, inclusa la comunicazione ai clienti.
  5. Pressione sulle tempistiche: Il requisito di notifica entro 4 ore dalla classificazione dell'incidente crea una pressione operativa significativa. Le piattaforme di sicurezza con capacità autonome riducono i tempi di risposta individuando e classificando le minacce senza intervento manuale. Quando un incidente si verifica alle 2 di notte, hai quattro ore per classificare la gravità, valutare l'impatto, determinare gli attori delle minacce e inviare la notifica iniziale.

Evitare queste barriere richiede strategie deliberate che affrontino i requisiti più stringenti di DORA.

Best practice per DORA

Un'implementazione efficace di DORA richiede approcci strutturati su governance, operazioni e tecnologia.

Dare priorità alla gestione del rischio dei terzi: Poiché la gestione del rischio dei terzi mostra i tassi di conformità più bassi, esegui revisioni legali tecnologicamente assistite di tutti i contratti con fornitori di servizi ICT. Implementa approcci individualizzati per i fornitori critici. Stabilisci un monitoraggio continuo della conformità dei terzi e affronta il rischio di concentrazione tramite strategie di diversificazione.

Implementare una risposta autonoma agli incidenti: Le piattaforme di sicurezza che utilizzano AI comportamentale per monitorare comportamenti anomali nei modelli di rete, negli orari, nelle attività IT e nei dispositivi sconosciuti, come richiesto dall'articolo 15, consentono una risposta rapida agli incidenti. Sono necessarie  piattaforme di sicurezza che offrano capacità autonome per individuare e classificare le minacce, aiutando a rispettare la tempistica di notifica di 4 ore. Assicurati che l'infrastruttura includa l'integrazione della threat intelligence per supportare l'analisi di attribuzione degli attori delle minacce richiesta dagli articoli 19-20.

Costruire programmi di test su tutti i profili di rischio: Implementa penetration testing guidato dalle minacce (TLPT) per i sistemi critici identificati almeno ogni 3 anni. Il programma di test dovrebbe includere:

  • Esercitazioni regolari di resilienza basate su scenari
  • Risultati dei test documentati con sintesi dei risultati
  • Piani di rimedio con tempistiche specifiche
  • Integrazione con la pianificazione della continuità operativa

Implementare piattaforme di visibilità unificata: Stabilisci una visibilità centralizzata su ambienti multi-cloud e on-premise. Mantieni inventari completi degli asset ICT. Implementa una gestione continua della postura. Crea una fonte unica di verità per le dipendenze ICT sulla base delle raccomandazioni di settore che affrontano le sfide di visibilità su infrastrutture multi-cloud e ibride.

Stabilire la conformità continua: Crea programmi di  monitoraggio della conformità continua invece di valutazioni puntuali. Costruisci cicli di feedback dai test alla gestione del rischio. Mantieni la consapevolezza delle aspettative di vigilanza in evoluzione. Pianifica gli aggiornamenti degli standard tecnici regolamentari. Monitora le designazioni di fornitori terzi critici da parte delle autorità.

Oltre a queste pratiche operative, comprendere la timeline di conformità a DORA aiuta a dare priorità agli sforzi di implementazione.

Timeline di conformità a DORA e scadenze chiave

DORA segue una timeline di implementazione a fasi iniziata con la sua pubblicazione e proseguita con aggiornamenti continui degli standard tecnici regolamentari. Rispettare queste scadenze è essenziale per mantenere la conformità.

DORA è stato pubblicato nella  Gazzetta ufficiale dell'UE il 27 dicembre 2022 ed è entrato in vigore il 16 gennaio 2023. Le entità finanziarie e i fornitori terzi di servizi ICT hanno avuto un periodo di transizione di due anni per implementare i requisiti del regolamento.

La data principale di applicazione è stata il 17 gennaio 2025. Da questa data, tutte le entità finanziarie coperte devono dimostrare la conformità ai requisiti fondamentali di DORA: quadri di gestione del rischio ICT, procedure di segnalazione degli incidenti, programmi di test di resilienza e obblighi di gestione del rischio dei terzi.

Le scadenze chiave successive all'applicazione includono:

  • 17 gennaio 2025: Conformità completa richiesta per tutte le entità coperte
  • 30 aprile 2025: Prima scadenza per la presentazione del registro delle informazioni sugli accordi ICT con terzi alle autorità competenti
  • Continuativo (ogni 3 anni): Penetration testing guidato dalle minacce (TLPT) per le entità identificate come significative
  • Continuativo: Aggiornamenti annuali del registro dei terzi ICT e monitoraggio continuo della conformità dei terzi

Le Autorità europee di vigilanza continuano a pubblicare Regulatory Technical Standards (RTS) e Implementing Technical Standards (ITS) che forniscono indicazioni dettagliate su specifici obblighi DORA. La  prima serie di RTS su gestione del rischio ICT, classificazione degli incidenti e rischio dei terzi è stata finalizzata all'inizio del 2024. Una seconda serie relativa ai requisiti TLPT e ai quadri di test avanzati è seguita.

Le entità finanziarie dovrebbero monitorare le pubblicazioni delle ESA per aggiornamenti sugli standard tecnici e sulle linee guida di vigilanza che potrebbero affinare le aspettative di conformità nel tempo. DORA si interseca inoltre con altri quadri regolamentari UE che le entità finanziarie devono gestire contemporaneamente.

DORA e regolamenti UE correlati

DORA opera insieme a diversi regolamenti UE che nel complesso definiscono il panorama della cybersecurity e della resilienza operativa per le istituzioni finanziarie. Comprendere come questi quadri interagiscono previene la duplicazione degli sforzi e garantisce una copertura regolamentare completa.

  • DORA e NIS2: DORA funge da lex specialis per il settore finanziario, il che significa che prevale sulla Direttiva Network and Information Security (NIS2) per le entità nel suo ambito. Dove entrambe le normative potrebbero applicarsi, i requisiti specifici di DORA per il settore finanziario prevalgono sulle disposizioni generali di cybersecurity di NIS2. Tuttavia, i fornitori di servizi ICT non classificati come CTPP possono comunque rientrare negli obblighi NIS2 se qualificati come entità essenziali o importanti ai sensi di tale direttiva.
  • DORA e GDPR: Il Regolamento generale sulla protezione dei dati continua ad applicarsi insieme a DORA, in particolare per quanto riguarda la notifica delle violazioni dei dati personali. Quando un incidente ICT coinvolge dati personali, è necessario rispettare sia la tempistica di segnalazione di DORA (notifica iniziale entro 4 ore alle autorità competenti) sia quella del GDPR (notifica entro 72 ore alle autorità di protezione dei dati). I due flussi di segnalazione operano in parallelo con tempistiche, destinatari e requisiti di contenuto diversi.
  • DORA e Cyber Resilience Act (CRA): Il CRA si concentra sui requisiti di cybersecurity per i prodotti con elementi digitali immessi sul mercato UE. Mentre DORA disciplina come le entità finanziarie gestiscono operativamente i rischi ICT, il CRA riguarda la sicurezza dei prodotti hardware e software acquistati da tali entità. Insieme, creano un quadro di sicurezza della supply chain in cui i produttori devono rispettare gli standard CRA e le entità finanziarie devono verificare la conformità dei fornitori secondo DORA.
  • DORA e ISO 27001: ISO 27001 fornisce un quadro volontario per i sistemi di gestione della sicurezza delle informazioni, mentre DORA impone requisiti obbligatori. ENISA fornisce tabelle di mappatura ufficiali che correlano i requisiti DORA ai controlli ISO 27001. Le entità finanziarie certificate ISO 27001 partono avvantaggiate, ma devono comunque colmare lacune su attribuzione degli attori delle minacce, protocolli di notifica ai clienti, gestione del rischio di concentrazione dei terzi e requisiti TLPT specificamente previsti da DORA.

L'implementazione di queste best practice e la gestione delle sovrapposizioni regolamentari richiedono infrastrutture di sicurezza progettate per il monitoraggio continuo e la risposta rapida.

Liberate la cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Punti chiave

DORA impone la resilienza operativa digitale a tutte le entità finanziarie dell'UE con applicazione a partire dal 17 gennaio 2025. Il regolamento richiede quadri di gestione del rischio ICT con responsabilità a livello di consiglio di amministrazione, classificazione e segnalazione degli incidenti entro 4 ore per gli incidenti maggiori inclusa l'attribuzione degli attori delle minacce, test di resilienza con TLPT almeno ogni tre anni per le entità significative, supervisione dei terzi con obbligo di reporting dei fornitori ICT a partire dal 30 aprile 2025 e meccanismi di condivisione delle informazioni per lo scambio di cyber threat intelligence.

La gestione del rischio dei terzi e i test di resilienza mostrano i tassi di conformità più bassi nel settore finanziario, creando una significativa esposizione regolamentare. Le piattaforme di sicurezza che monitorano comportamenti anomali, integrano threat intelligence e consentono una risposta rapida agli incidenti aiutano le organizzazioni a soddisfare i rigorosi requisiti di DORA.

Domande frequenti

DORA (Digital Operational Resilience Act) è il Regolamento UE 2022/2554 che stabilisce requisiti uniformi per la gestione dei rischi ICT tra le entità finanziarie dell'UE. Il regolamento impone alle istituzioni finanziarie di raggiungere la resilienza operativa digitale implementando quadri di gestione dei rischi ICT, procedure di segnalazione degli incidenti, programmi di test di resilienza e supervisione dei rischi dei terzi. 

DORA è entrato in vigore il 17 gennaio 2025 e si applica a 21 tipologie di entità finanziarie, tra cui banche, società di investimento, compagnie assicurative e i loro fornitori di servizi ICT.

DORA si applica a 21 categorie di entità finanziarie che operano all'interno dell'UE, tra cui istituti di credito, imprese di investimento, compagnie di assicurazione, prestatori di servizi di pagamento, fornitori di servizi di cripto-asset e sedi di negoziazione. 

I fornitori terzi di servizi ICT che servono queste entità finanziarie devono anch'essi conformarsi, indipendentemente dal fatto che il fornitore abbia la sede principale all'interno o all'esterno dell'UE. Il principio di proporzionalità consente alle entità di minori dimensioni di adottare requisiti semplificati proporzionati alla loro dimensione e al profilo di rischio.

DORA è entrato in vigore il 16 gennaio 2023, a seguito della sua pubblicazione nella Gazzetta Ufficiale dell'UE il 27 dicembre 2022. Il regolamento è diventato pienamente applicabile e vincolante il 17 gennaio 2025, dopo un periodo di transizione di due anni. 

Le entità finanziarie e i fornitori terzi di servizi ICT dovevano avere tutti i quadri, le politiche e le procedure necessari in atto entro questa data di applicazione.

Sì. DORA impone test di resilienza operativa digitale ai sensi degli Articoli 24-27, che includono valutazioni delle vulnerabilità, valutazioni della sicurezza della rete e test basati su scenari. 

Per le entità identificate come significative dalle autorità di regolamentazione, l'Articolo 26 richiede test di penetration testing guidati dalla minaccia (TLPT) almeno ogni tre anni. Il TLPT deve simulare scenari di attacco reali utilizzando informazioni di intelligence su veri attori delle minacce che prendono di mira l'organizzazione specifica.

Inizia mappando i tuoi asset ICT e le dipendenze da terze parti per comprendere l'intero ambito normativo. Stabilisci un quadro di gestione del rischio ICT con responsabilità a livello di consiglio di amministrazione come richiesto dall'Articolo 6. 

Rivedi e aggiorna tutti i contratti con i fornitori di servizi ICT per soddisfare i requisiti dell'Articolo 30. Implementa procedure di classificazione e segnalazione degli incidenti che rispettino il termine di notifica di 4 ore. Crea o migliora il tuo programma di test di resilienza in modo proporzionato al tuo profilo di rischio.

Le sanzioni variano a seconda dello Stato membro, generalmente da 5 a 10 milioni di euro o dal 5 al 10% del fatturato netto annuo. Il Belgio impone sanzioni massime di 5 milioni di euro o il 10% del fatturato netto annuo. 

La Svezia calcola le sanzioni come il maggiore tra 1 milione di euro, il 10% del fatturato netto annuo totale o tre volte il beneficio derivante dalla violazione. L'Articolo 54 consente inoltre alle autorità di pubblicare i dettagli delle sanzioni, creando un rischio reputazionale oltre alle conseguenze finanziarie.

DORA disciplina 21 tipi di entità finanziarie tra cui istituti di credito, imprese di investimento, compagnie assicurative, fornitori di servizi di cripto-asset e sedi di negoziazione. 

I fornitori terzi di servizi ICT che servono entità finanziarie dell'UE devono anch'essi conformarsi indipendentemente dalla loro sede legale. Le microimprese possono beneficiare di requisiti semplificati del quadro ai sensi dell'Articolo 16(3).

DORA richiede l'attribuzione degli attori delle minacce nei report sugli incidenti, la notifica degli incidenti ai clienti e la supervisione diretta dei fornitori terzi ICT da parte delle autorità di regolamentazione. ISO 27001 fornisce una base per la gestione del rischio ma non include questi requisiti specifici. 

DORA funge da lex specialis per i servizi finanziari, prevalendo sui requisiti generali di cybersicurezza di NIS2. Le entità finanziarie certificate ISO 27001 presentano ancora lacune nell'attribuzione degli attori delle minacce, nei protocolli di notifica ai clienti e nella gestione del rischio di concentrazione dei terzi che DORA affronta.

TLPT richiede alle entità identificate come significative di effettuare test avanzati almeno ogni tre anni simulando attacchi informatici reali. I test devono utilizzare informazioni su veri attori delle minacce, tattiche, tecniche e procedure che prendono di mira la vostra specifica organizzazione. 

Al termine, si documentano i risultati e i piani di rimedio con le relative tempistiche, quindi si invia la documentazione di conformità alle autorità competenti per la revisione di vigilanza.

Articolo 28 stabilisce che le entità finanziarie possono stipulare contratti solo con fornitori ICT che rispettano gli standard di sicurezza delle informazioni previsti da DORA. I contratti esistenti con fornitori non conformi comportano un'esposizione normativa e devono essere revisionati per le disposizioni richieste. 

Le ESA designano fornitori terzi critici per una supervisione normativa diretta. Le entità finanziarie devono inviare le informazioni sulle relazioni con terze parti ICT al registro e mantenere la documentazione di conformità aggiornata.

Scopri di più su Sicurezza informatica

Cybersecurity nel Settore Governativo: Rischi, Best Practice e FrameworkSicurezza informatica

Cybersecurity nel Settore Governativo: Rischi, Best Practice e Framework

Scopri quali rischi e minacce devono affrontare le agenzie e gli enti governativi nel mondo della cybersecurity. Trattiamo anche le best practice per la protezione dei sistemi governativi. Continua a leggere per saperne di più.

Per saperne di più
Che cos'è l'Insecure Direct Object Reference (IDOR)?Sicurezza informatica

Che cos'è l'Insecure Direct Object Reference (IDOR)?

L'Insecure Direct Object Reference (IDOR) è una vulnerabilità di controllo degli accessi in cui l'assenza di verifiche sulla proprietà consente agli attaccanti di recuperare i dati di qualsiasi utente modificando un parametro nell'URL. Scopri come rilevarla e prevenirla.

Per saperne di più
Sicurezza IT vs OT: principali differenze e best practiceSicurezza informatica

Sicurezza IT vs OT: principali differenze e best practice

La sicurezza IT e OT copre due domini con profili di rischio, obblighi di conformità e priorità operative distinti. Scopri le principali differenze e le best practice.

Per saperne di più
Cosa sono i backup air gapped? Esempi e best practiceSicurezza informatica

Cosa sono i backup air gapped? Esempi e best practice

I backup air gapped mantengono almeno una copia di ripristino fuori dalla portata degli attaccanti. Scopri come funzionano, tipologie, esempi e best practice per il ripristino da ransomware.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano