Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

GUIDA ALLA normativa

Dora, gli impatti dei test di resilienza sul modello operativo e nel rapporto con i fornitori

Home Norme e adeguamenti
Indirizzo copiato

Con l’entrata in vigore del Regolamento Dora, i fornitori Ict si trovano oggi di fronte a un’esigenza crescente di integrazione tra funzioni tipicamente verticali che devono operare in modo sinergico. Ecco perché serve una una nuova mentalità, oltre l’adeguamento tecnico

Pubblicato il 9 giu 2025
Confronto fra DORA e NIS 2

L’entrata in vigore del Regolamento Dora (Digital operational resilience act) segna una svolta epocale nel modo in cui le organizzazioni finanziarie e i loro fornitori di servizi Ict affrontano la resilienza operativa.

Al centro di questo cambiamento vi è l’obbligo di implementare test di resilienza che non si limitano a mere simulazioni, ma si configurano come veri e propri stress test in grado di mettere alla prova l’infrastruttura tecnologica, i processi decisionali e la capacità di risposta ad eventi critici, inclusi attacchi informatici, interruzioni di servizio e disastri naturali.

Gestione di fornitori e outsourcer: limiti e pregi del Regolamento DORA

La sfida per i fornitori Ict

Con l’entrata in vigore del Regolamento Dora, i fornitori Ict si trovano oggi di fronte a un’esigenza crescente di integrazione tra funzioni tipicamente verticali: information technology, cyber security, risk management, compliance e business continuity devono operare in modo sinergico.

In quest’ottica, conformarsi al Regolamento Dora richiede una revisione delle politiche di governance, con una chiara definizione di ruoli e responsabilità nella gestione dei rischi e nella resilienza operativa.

Questa integrazione deve poggiare su una governance trasparente, in cui i processi siano non solo ben documentati, ma anche facilmente auditabili e replicabili, su richiesta delle autorità competenti o dei clienti regolamentati.

Oltre l’adeguamento tecnico: una nuova mentalità

Affrontare i test di resilienza operativa secondo le richieste del Regolamento Dora implica, per i fornitori Ict, il superamento di ostacoli complessi e interconnessi, che coinvolgono tanto la sfera tecnica quanto quella organizzativa e culturale.

In particolare, le principali criticità a cui devono far fronte riguardano:

Complessità dei test

Progettare ed eseguire test di resilienza efficaci implica la capacità di simulare eventi estremi – sia esogeni (cyber attacchi, blackout infrastrutturali, guasti interregionali) sia endogeni (errori umani, disallineamenti tra sistemi, malfunzionamenti software) – in maniera realistica ma controllata.

Coordinamento tra team

Il successo dei test dipende fortemente dalla collaborazione interdisciplinare. La resilienza operativa è trasversale: coinvolge i team IT, la sicurezza informatica, i referenti della compliance, i responsabili di processo, i team di comunicazione e il top management.

Serve quindi una cabina di regia interfunzionale che guidi l’esecuzione dei test e raccolga le evidenze utili per il reporting interno ed esterno. La mancanza di coordinamento può compromettere l’efficacia dei test, riducendoli a meri esercizi formali.

Per evitarlo, vanno implementati workflow condivisi, strumenti collaborativi e metriche comuni.

Investimento in competenze

Sono necessarie figure professionali che combinino competenze ibride ovvero professionisti capaci di interpretare gli standard normativi (come quelli imposti da Dora, Eba e Enisa) e tradurli in requisiti tecnici concreti.

Regolamento Dora, benefici attesi dei test di resilienza

Sebbene l’impegno richiesto sia significativo, una corretta ed efficace gestione dei test di resilienza permette un ritorno concreto, che va ben oltre la semplice compliance normativa.

Tra questi troviamo:

  • rafforzamento della fiducia del mercato: per i fornitori Ict, in particolare quelli che supportano funzioni critiche delle banche, assicurazioni o società di pagamento, la capacità di dimostrare resilienza rafforza la fiducia degli stakeholder. Clienti regolamentati, investitori e persino le autorità vedono nella resilienza operativa un indicatore chiave di affidabilità;
  • vantaggio competitivo: chi è in grado di reagire in modo tempestivo e coordinato a un evento critico – riducendo i downtime, mantenendo l’integrità dei dati e comunicando efficacemente – può differenziarsi rispetto alla concorrenza. In un mercato in cui la continuità del servizio è spesso sinonimo di valore, la resilienza diventa un vantaggio commerciale;
  • evoluzione culturale: l’introduzione sistematica di test di resilienza favorisce una maturazione della cultura del rischio. La gestione del rischio viene sempre più percepita non come un freno all’innovazione, ma come una leva di qualità e competitività. Si afferma quindi un mindset proattivo, in cui i processi sono progettati per essere robusti e flessibili, pronti ad adattarsi con rapidità a scenari in continua evoluzione.

Il Regolamento Dora segna, quindi, un punto di svolta. Per i fornitori Ict, la resilienza operativa non è più un’opzione, ma una leva strategica imprescindibile per assicurare continuità, fiducia e competitività nel tempo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Marta Traverso
Manager

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Vulnerabilità in Apple iOs per attacchi mirati: la patch è urgente

  • sicurezza mobile

    Vulnerabilità in Apple iOS, basta un'immagine per sferrare attacchi mirati: patch urgente

    26 Ago 2025

    di Mirella Castigli

    Condividi
  • Sistemi ibridi Active Directory ed Entra ID: come mitigare i rischi legati all'identità

  • tecniche di hacking

    Sicurezza Active Directory: cos’è e come mitigare l'attacco Kerberoasting

    16 Gen 2025

    di Marco Di Muzio

    Condividi
  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Piano ispettivo privacy

  • GDPR

    Ispezioni privacy 2025, ecco cosa devono sapere le aziende

    14 Feb 2025

    di Rosario Palumbo

    Condividi