Il Digital Operational Resilience Act (DORA) rappresenta una linea di demarcazione significativa per le istituzioni finanziarie e i fornitori Ict nel contesto europeo.
L’obiettivo non è semplicemente imporre nuovi requisiti, ma ridefinire la resilienza operativa: ogni elemento – dalle policy, ai processi, alle tecnologie – deve essere ripensato in funzione della continuità, della reattività e della sostenibilità nel tempo.
Molte organizzazioni già hanno adeguato i framework normativi interni e modificato i processi operativi.
La vera sfida, oggi, è adattare e integrare le tecnologie: introdurre o evolvere strumenti senza stravolgere l’architettura esistente e mantenendo la stabilità operativa quotidiana.
Indice degli argomenti
Le due direttrici dell’evoluzione tecnologica DORA
L’adeguamento richiesto da DORA si muove su due assi principali:
- rafforzamento degli strumenti esistenti: tecnologie “tradizionali” quali backup, monitoraggio, incident management e gestione del rischio IT (IT Risk Management) vengono riviste, rese più avanzate, più resilienti, con maggiore automazione ed integrazione;
- introduzione di soluzioni dedicate DORA: piattaforme nate per supportare adempimenti specifici del DORA come il Registro delle Informazioni, moduli di gestione del rischio ICT, moduli di segnalazione degli incidenti secondo criteri normativi, strumenti di audit e due diligence per il ciclo dei fornitori.
L’obiettivo è evitare che queste nuove soluzioni siano “aggiunte estranee”: devono integrarsi nei processi aziendali, dialogare con i sistemi preesistenti, essere governabili e operative.
Cos’è DORA
Il Digital Operational Resilience Act (DORA), in vigore dal 17 gennaio 2025, è una disciplina normativa complessa e articolata che impone alle aziende del settore finanziario di conformarsi al regolamento dell’Unione Europea.
La Ue punta a potenziare la resilienza operativa digitale del settore finanziario, assicurando che le entità finanziarie siano in grado di oppre resistenza e fornire risposte efficaci a incidenti cyber legati alle tecnologie dell’informazione e della comunicazione (ICT).
Requisiti particolarmente sfidanti (e tecnologie correlate)
Nel passaggio verso DORA, anche realtà già mature, come le banche, si confrontano con elementi nuovi.
Ecco alcuni dei requisiti più complessi e le relative implicazioni tecniche:
| Ambito / requisito | Sfida tecnica | Come affrontarla / strumenti possibili |
| Asset Inventory unificato e interdipendenze | Creare un repository unico contenente asset, connessioni, dipendenze e flussi informativi; soprattutto in ambienti tecnologici eterogenei | Strumenti di discovery automatica, CMDB (Configuration Management Database) integrati, sincronizzazione fra sistemi IT e moduli compliance |
| Monitoraggio avanzato e allerta precoce | Rilevare vulnerabilità, deviazioni, intrusioni in tempo utile | SIEM, XDR, SOAR integrati con moduli di threat intelligence e correlazione eventi |
| Incident management integrato | Adeguare i sistemi di ticketing e i flussi operativi alle nuove regole di classificazione e reporting | Applicazioni di incident management che parlano con il registro asset, con la gestione vulnerabilità e il modulo compliance |
| Backup resilienti e business continuity | Protezione contro ransomware, distruzioni, malfunzionamenti anche in scenari gravi | Strategie di backup multi-modalità, backup air-gap, versioning, replica geografica, test periodici |
| Test di resilienza e sviluppo sicuro del software | Passare da test statici e standard a test basati su scenari, threat-led penetration test, analisi SAST/DAST integrate | Strumenti SAST/DAST continuamente aggiornati, piattaforme di penetration testing, orchestrazione dei test |
| Segregazione / isolamento delle reti | Limitare il rischio di propagazione laterale degli attacchi, separare ambienti critici, zone “trusted vs untrusted” | Segmentazione VLAN, network zoning, firewall avanzati, zero trust network access |
| Gestione fornitori e terze parti | Assicurare che tutti i fornitori rispettino i requisiti DORA, gestire audit, due diligence, flussi informativi | Moduli di vendor risk management, integrazione con il registro delle informazioni del DORA, workflow di audit e assessment |
Tra queste sfide, la segregazione / isolamento delle reti merita un’attenzione particolare: molte architetture legacy adottano reti monolitiche con scarsa separazione fra zone.
In ottica DORA è spesso necessario ripensare la segmentazione, adottare modelli zero trust, stabilire canali protetti tra domini, e implementare controlli di accesso granulari; tutto questo ha un forte impatto sull’operatività e richiede spesso una progettazione lunga e complessa.
Soluzioni verticali DORA
Con l’evoluzione normativa sono state sviluppate soluzioni specifiche dedicate alla conformità DORA (per esempio, Onetrust, Formalize) pensate in particolare per le aziende meno mature su questi temi che potessero offrire modalità agili per soddisfare parte degli adempimenti richiesti, quali per esempio:
- la gestione del registro delle informazioni e il monitoraggio dei fornitori;
- la gestione del rischio Ict e cyber;
- automazione dei workflow di compliance;
- automazione degli audit;
- incident management e reporting;
- dashboarding.
La compliance non è “one shot”
Un principio fondamentale da ribadire con forza: gli strumenti non garantiscono la conformità da soli, e gli adempimenti non sono qualcosa da “spuntare una volta per tutte”:
- il successo sta nell’adozione continua: serve che le persone utilizzino i processi e gli strumenti ogni giorno, secondo le policy e le procedure stabilite;
- dev’essere presente una governance che assicuri il monitoraggio permanente, la revisione, il miglioramento continuo;
- le tecnologie possono essere aggiornate, migliorate, integrate, ma se non sono usate nella pratica quotidiana restano sterili.
Questo concetto si lega in modo molto forte all’approccio process-driven che segue: il disegno dei processi, l’adozione da parte degli utenti, la formazione, il feedback e la continuità sono pilastri imprescindibili.
Approccio process-driven e accorgimenti per una transizione efficace
Un’implementazione efficace non può prescindere da un approccio strutturato. Ecco come combinarlo:
- disegno dei processi e requisiti: le politiche, le procedure e i requisiti normativi (interni e di DORA) devono essere tradotti in processi operativi chiari: chi fa cosa, quando, con quale strumento, con che responsabilità;
- selezione o personalizzazione delle soluzioni: solo dopo aver definito i processi si scelgono gli strumenti, calibrando le funzionalità, adattando i moduli alle esigenze specifiche e integrandoli con i sistemi core (asset, ticketing, sicurezza);
- coinvolgimento della prima linea e funzioni di controllo: IT, operation, security e funzioni di controllo devono essere parte attiva fin dall’inizio – non semplici utenti ma stakeholder del progetto tecnologico e operativo;
- transizione graduale e fasi pilota: evitare migrazioni totali improvvise: introdurre moduli in fasi, testare in ambienti controllati, affinare processi e automazioni in “sandbox” prima del go-live;
- monitoraggio, revisione e miglioramento: stabilire KPI e KRI (indicatori di prestazione e rischio), controlli periodici, audit interni e retroazione continua per adeguare processi e tecnologie nel tempo;
- formazione e cultura del cambiamento: senza che le persone capiscano il “perché” e il “come”, anche gli strumenti migliori restano inutili. Sessioni formative, simulazioni, guide operative, supporto continuo sono essenziali;
- governance forte e ownership: serve una governance che segua la compliance DORA come un programma a lungo termine, con responsabilità chiare, revisione periodica, risorse dedicate.
Una trasformazione organica: processi, strumenti e persone devono evolvere insieme.
Il DORA non è una sfida che si risolve semplicemente adeguando procedure o installando nuove tecnologie.
È una trasformazione organica: processi, strumenti e persone devono evolvere insieme.
Chi saprà affrontare questa transizione con consapevolezza – partendo dai processi, scegliendo soluzioni verificabili, coinvolgendo le funzioni operative, garantendo che la compliance diventi routine – potrà non solo rispettare la normativa, ma fare della resilienza operativa un elemento differenziante nel tempo.
