Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

direttive ue

DORA: così il CdA delle entità finanziarie entra nel nuovo dominio digitale

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Un comandante militare può delegare molte funzioni, ma non può delegare l’esito dell’operazione che gli è stata affidata. Il DORA introduce questo concetto nel governo d’impresa. Ecco cosa definiscono gli articoli 5 e 6, per trasformare il Cda nel centro di gravità dell’intera resilienza operativa

Pubblicato il 9 gen 2026
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Rapporti tra NIS 2 e DORA; Il DORA come architettura del comando: il CdA delle entità finanziarie nel nuovo dominio digitale

Il DORA si presenta come un sistema di comando. Lo dimostra il fatto che l’Unione europea ha costruito un’architettura di leadership obbligatoria, all’interno della quale il vertice aziendale è chiamato a operare come un vero posto di comando.

La resilienza digitale non può essere delegata, ma deve essere esercitata.

Ecco come gli articoli 5 e 6 del DORA definiscono responsabilità, struttura, catena di comando, strategia, comunicazione, addestramento e controllo.

È un viaggio nella trasformazione culturale che porta il Board a diventare il centro di gravità dell’intera resilienza operativa. Una trasformazione che ricorda i principi del comando militare: responsabilità finale, consapevolezza, visione e disciplina decisionale.

Si combatte così come ci si è addestrati: le logiche militari sottese al DORA

Una struttura che parla di governo

Nel primo capitolo della tetralogia si focalizza su una verità che la cultura digitale tende spesso a dimenticare: si reagisce come ci si è preparati e ogni preparazione richiede una mente strategica ed un luogo in cui viene definita la direzione.

Nel mondo militare esiste un punto preciso in cui convergono informazioni, decisioni e responsabilità: è il posto di comando che non è solo un luogo fisico, ma è anche la sede della responsabilità ultima.

Un comandante militare può dunque delegare molte funzioni, ma certamente non può delegare l’esito dell’operazione che gli è stata affidata.

Il DORA introduce questo concetto nel governo d’impresa con l’articolo 5 (2)(a) che recita “l’organo di gestione assume la responsabilità finale per la gestione dei rischi informatici”.

In modo complementare, l’articolo 6 definisce il quadro per la gestione dei rischi informatici cioè la struttura attraverso cui il comando diventa azione.

In questo articolo entro all’interno di questa architettura: una struttura chiamata ad occuparsi di governance cioè di comando e controllo.

Il CdA come posto di comando: responsabilità finale e natura del potere

Nel linguaggio militare, la responsabilità finale è il cardine dell’autorità. Il comandante risponde della sua unità anche quando non ha materialmente eseguito le azioni e ne risponde perché ha deciso gli obiettivi, le priorità, la distribuzione delle risorse, le regole d’ingaggio.

Il DORA trasferisce questa logica nel dominio digitale.

L’articolo 5, paragrafo 2, lettera a), non lascia margini, stabilendo testualmente che “l’organo di gestione assume la responsabilità finale per la gestione dei rischi informatici”.

La responsabilità finale non si può delegare e non si può ignorare. Questa è una trasformazione culturale, perché per la prima volta, la sicurezza informatica viene posta allo stesso livello della solidità patrimoniale, della trasparenza contabile e della gestione del rischio finanziario.

Il digitale, quindi, non è un tema tecnico, ma un pilastro del governo d’impresa.

Una catena di comando chiara: ruoli, cooperazione, responsabilità

Ogni operazione militare si basa su ruoli definiti, gerarchie comprensibili, responsabilità tracciabili.

La confusione organizzativa è un moltiplicatore di rischio. Il DORA applica anche questo principio al governo dell’impresa moderna, imponendo al CdA di:

  • definire ruoli ICT;
  • assicurare cooperazione;
  • approvare strategie;
  • fissare la tolleranza al rischio;
  • supervisionare la continuità operativa;
  • allocare risorse adeguate;
  • verificare la formazione.

Queste sono tutte attività di comando che richiedono presenza, comprensione, scelta.
Inoltre, il CdA non deve limitarsi a “leggere report”, ma deve costruire una catena di comando informativa al fine di:

  • ricevere le informazioni giuste, nella forma giusta e al momento giusto;
  • sapere come e dove si distribuiscono le dipendenze critiche;
  • comprendere gli impatti operativi degli incidenti informatici.

A tal fine, l’articolo 5, paragrafo 2, lettera i) del DORA stabilisce che il Board debba essere sistematicamente informato sugli accordi con i fornitori, sui rischi associati e sui potenziali impatti degli incidenti di sicurezza.

L’addestramento del vertice: la formazione come obbligo legale

Nel mondo militare nessuno assume un ruolo di comando senza addestramento anche, perché la responsabilità cresce insieme alla competenza.

Il DORA porta questo principio nella governance: l’articolo 5(4) impone ai membri del Board di mantenere attivamente aggiornate competenze e conoscenze sui rischi informatici.

Si tratta di un vero e proprio obbligo legale che, per la prima volta, lega la responsabilità digitale alla competenza personale.

Questo significa che:

  • chi siede in CdA deve comprendere il rischio informatico;
  • deve essere in grado di valutarlo;
  • deve saper leggere le implicazioni operative;
  • deve poter contestare, chiedere, verificare, decidere.

Inizia, quindi, l’era del CdA come comandante informato.

Il quadro di gestione dei rischi informatici è il centro di gravità

Von Clausewitz definiva il “centro di gravità” come il nucleo da cui un sistema trae forza. Nel mondo digitale, il centro di gravità è il quadro per la gestione dei rischi informatici, disciplinato dall’articolo 6.

Il quadro è la struttura operativa che permette di:

  • identificare;
  • proteggere;
  • rilevare;
  • rispondere;
  • ripristinare;
  • apprendere.

Non è un mero documento ma un sistema vivente che il legislatore descrive come “una struttura solida, esaustiva e adeguatamente documentata”, ma soprattutto come un sistema soggetto a miglioramento continuo.

Il quadro è l’equivalente di una linea di difesa dinamica, costruita per adattarsi al mutare dell’avversario. Come ogni struttura militare, deve essere testato, aggiornato, corretto.

Il quadro per la gestione dei rischi informatici è, quindi, la forma concreta del comando, il modo in cui le decisioni del CdA diventano operazioni.

La strategia di resilienza operativa digitale

Ogni unità militare in operazione, per realizzare la propria missione, riceve sempre delle indicazioni di alto livello cioè delle linee strategiche che indicano come muoversi, come reagire e come affrontare il nemico.

Il DORA ha mutuato questo schema definendo all’art. 6(8) la strategia di resilienza operativa digitale.

È la parte più visibile della visione del Board che:

  • spiega in che modo il quadro per la gestione dei rischi informatici sostiene gli obiettivi e la strategia commerciale dell’entità finanziaria;
  • definisce tolleranza al rischio;
  • descrive l’architettura ICT necessaria;
  • stabilisce indicatori chiave (KPI e KRI);
  • prevede meccanismi di difesa;
  • istituzionalizza esercitazioni, test, simulazioni;
  • introduce capacità predittiva.

È, sostanzialmente, una strategia che vuole anticipare l’attacco esattamente come accade in un’operazione militare ben pianificata.

La strategia è ciò che permette all’organizzazione di muoversi prima che l’avversario colpisca.

Il vertice deve diventare centro del comando digitale

Il DORA è una normativa europea ma prima ancora è un messaggio: il vertice deve diventare centro del comando digitale.

Gli articoli 5 e 6 disegnano una governance che assomiglia più a un posto di comando che a un organo di amministrazione tradizionale.

Competenza, visione, responsabilità finale, catena di comando informativa, strategia operativa: questa è la nuova grammatica della leadership digitale.

Nel prossimo capitolo della tetralogia, si affronterà la dimensione più viva del DORA: la resilienza come comportamento, l’apprendimento continuo, la lettura dei segnali deboli nonché la capacità di reagire e anticipare.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Vulnerabilità in Apple iOs per attacchi mirati: la patch è urgente

  • sicurezza mobile

    Vulnerabilità in Apple iOS, basta un'immagine per sferrare attacchi mirati: patch urgente

    26 Ago 2025

    di Mirella Castigli

    Condividi
  • Framework di sicurezza

  • ciso

    Scegliere il framework di sicurezza, dal NIST alla ISO 27001: una guida strategica

    23 Dic 2025

    di Fabrizio Saviano

    Condividi
  • IA e rischio d’impresa guida EDPS

  • l'analisi

    IA e rischio d’impresa: la guida EDPS parla anche alle aziende

    10 Dic 2025

    di Tania Orrù

    Condividi
  • Piano ispettivo privacy

  • GDPR

    Ispezioni privacy 2025, ecco cosa devono sapere le aziende

    14 Feb 2025

    di Rosario Palumbo

    Condividi
0
Lascia un commento, la tua opinione conta.x