DORA in pratica: sviluppi regolatori e norme tecniche di attuazione

Il regolamento europeo DORA (Digital Operational Resilience Act), in vigore dal 17 gennaio 2025, ha l’obiettivo di rafforzare la resilienza digitale delle entità finanziarie, stabilendo un quadro normativo armonizzato che copre la gestione del rischio Ict, la gestione degli incidenti, i test di resilienza, i fornitori terzi e la condivisione delle informazioni.

Tra le principali sfide all’adozione vi sono l’eterogeneità della maturità digitale delle entità finanziarie, la necessità di integrare le nuove disposizioni nel contesto di compliance esistente, la carenza di qualifiche tecniche nel settore, un quadro normativo articolato ancora in fase di emanazione.

Ecco un riepilogo aggiornato dei regolamenti delegati e di esecuzione disponibili e in fase di pubblicazione.

DORA, i regolamenti delegati

Il Regolamento (UE) 2022/2554, noto come DORA, ha avviato la sua piena applicazione a partire dal 17 gennaio 2025.

Il Digital Operational Resilience Act mira a costruire un quadro solido e armonizzato per la gestione del rischio operativo digitale nel settore finanziario, con l’obiettivo di rafforzare la resilienza delle entità finanziarie rispetto a minacce e incidenti legati alle tecnologie dell’informazione e della comunicazione (Ict).

Il Regolamento integra in un quadro coerente aspetti come la governance, l’esternalizzazione dei servizi Ict, la continuità operativa e la protezione da cyber minacce.

In questo modo dovrebbe garantire la capacità delle entità finanziarie di resistere, adattarsi e reagire ad eventi dirompenti, riducendo l’impatto sulle funzioni critiche.

L’attuazione

Il contesto di attuazione è tuttavia articolato e presenta diverse criticità, intese come ostacoli o problematiche di natura tecnica, organizzativa e normativa che possono complicare l’adozione uniforme ed efficace delle disposizioni del Regolamento.

Le criticità

Tra queste criticità si evidenziano: la disomogeneità tra i soggetti destinatari in termini di maturità digitale e cyber; la necessità di integrare i nuovi obblighi in contesti di compliance già esistenti e consolidati; la carenza di qualifiche tecniche specifiche nel settore e conformi ai requisiti, infine, l’incompletezza del quadro normativo di secondo livello, composto da vari atti regolatori ancora in corso di pubblicazione.

Gli standard europei

Il DORA, a differenza di altri schemi regolatori europei (si veda il Regolamento 2022/2555 NIS2 e il recente aggiornamento del Framework nazionale per la cybersecurity e data protection, adottato come strumento di adeguamento), fonda il proprio impianto tecnico su standard europei, formalizzati attraverso norme tecniche di regolamentazione (Rts) e di esecuzione (Its) elaborate dalle autorità europee di vigilanza (ESA o AEV), con il supporto di Enisa, e adottati come regolamenti delegati o di esecuzione.

Riepilogo di DORA per pilastri tematici

La Commissione europea ha pubblicato i vari regolamenti in Gazzetta ufficiale Ue. I regolamenti delegati sono atti giuridici, con cui il legislatore delega alla Commissione europea il potere di adottare atti non legislativi che integrano o modificano aspetti non essenziali di un atto legislativo (ex art. 290 TFUE).

I regolamenti di esecuzione sono invece applicazioni di diritto degli Stati membri, che tuttavia, per esigenze di attuazione uniforme, ricadono nella competenza esecutiva della Commissione Europea (ex art. 291 TFUE).

Gestione dei rischi informatici (Capo II, artt. 5-16)

Integrato dal regolamento delegato (Ue) 2024/1774 del 13 marzo 2024, in vigore dal 15 luglio 2024, definisce strumenti, processi e politiche per la gestione del rischio Ict e un quadro semplificato per la gestione dei rischi informatici.

Incidenti Ict e segnalazioni (Capo III, artt. 17-23)

Il Capo III, artt. 17-23 è supportato dai seguenti regolamenti:

• regolamento delegato (UE) 2024/1772 del 13 marzo 2024, in vigore dal 15 luglio 2024, che specifica i criteri per la classificazione degli incidenti e delle minacce informatiche, stabilendo le soglie di rilevanza e i dettagli delle segnalazioni di gravi incidenti;
• regolamento delegato (UE) 2025/301 del 23 ottobre 2024, in vigore dal 12 marzo 2025, che definisce il contenuto e i termini della notifica iniziale, della relazione intermedia e della relazione finale per gli incidenti informatici gravi, nonché il contenuto della notifica volontaria per le minacce informatiche significative (di cui al Capo VI, articolo 45);
• regolamento di esecuzione 2025/302 del 23 ottobre 2024, in vigore dal 12 marzo 2025, provvede ai formati, modelli e alle procedure standard con cui le entità finanziarie devono segnalare un incidente informatico grave e notificare una minaccia informatica significativa (di cui al Capo VI, articolo 45).

Test di resilienza operativa digitale (Capo IV, artt. 24-27)

Il Capo IV del DORA impone alle entità finanziarie, in modo proporzionato al profilo di rischio e con alcune eccezioni, l’obbligo di predisporre e mantenere un programma di test di resilienza operativa digitale.

Tale programma deve includere valutazioni, test, metodologie e pratiche finalizzate a verificare la solidità dei presìdi Ict.

Il quadro normativo dei TLPT

Per le entità significative, come definite dall’art. 6, par. 4 del Regolamento (UE) 1024/2013, è previsto l’obbligo di eseguire, con cadenza triennale indicativa, i Threat-led penetration testing (TLPT) su funzioni essenziali o importanti e sui relativi servizi Ict.
Il quadro normativo dei TLPT è attualmente disciplinato dalla bozza di Regolamento delegato 2025/885 del 13 febbraio 2025 (in attesa di pubblicazione in GUE entro giugno 2025) e dalle RTS JC 2024 29, elaborate ai sensi dell’art. 26(11) del DORA.

Tali atti definiscono:

• i criteri per individuare le entità soggette a TLPT;
• i requisiti dei tester, inclusa l’eventuale possibilità di utilizzare personale interno;
• le modalità e le fasi del test (ambito, metodologia, reporting, remediation);
• le forme di cooperazione tra autorità nazionali e il riconoscimento reciproco dei test a livello europeo, inclusa la possibilità che il report finale e l’attestato di conformità siano riconosciuti come validi dalle autorità competenti degli altri Stati membri ai fini della vigilanza armonizzata.

Le autorità

Tali autorità comprendono le autorità nazionali di vigilanza del settore finanziario (quali Banca d’Italia, Ivass, Consob per l’Italia), le autorità europee di vigilanza (Eba, Esma, Eiopa) e, per gli enti significativi, la Banca centrale europea (Bce).

I due framework internazionali del considerando 56

Il considerando 56 del Regolamento richiama due framework internazionali di riferimento per i TLPT:

• “G7 Fundamental Elements for Threat-Led Penetration Testing” del 2016;
• Tiber-Eu (“Threat Intelligence-Based Ethical Red Teaming”), emanato dalla Bce nel 2018 ed aggiornato nel gennaio 2025.

Il quadro Tiber-Eu e il programma Tiber-It

Il quadro Tiber-Eu, originariamente volontario, è ora integrato nelle norme tecniche Dora e costituisce lo standard di riferimento sostanziale per la progettazione ed esecuzione dei TLPT.

I test dovranno essere condotti da soggetti conformi all’art. 27 DORA e dovranno produrre un report finale, completo di sintesi e piani di rimedio, da sottoporre all’autorità competente per il rilascio di un attestato di conformità valido a livello europeo.
Il framework Tiber-Eu adotta un approccio “purple teaming”, che prevede una collaborazione tra:

• Red team (soggetti interni o esterni incaricati di simulare l’attacco);
• Blue team (difensori interni dell’entità finanziaria); con l’obbligo che la threat intelligence sia fornita da un soggetto esterno indipendente.

Anche l’Italia ha recepito questo modello con il programma Tiber-It, adottato nel 2022 e sviluppato sotto la supervisione della Banca d’Italia. L’aggiornamento alla versione Tiber-It 2.0 è previsto entro giugno 2025, in parallelo all’evoluzione normativa europea. L’adozione di tale standard, da parte degli enti finanziari italiani, servirà ad allinearsi agli standard europei ed il riconoscimento transfrontaliero dei test da parte delle autorità competenti e di vigilanza.

Gestione dei rischi da terzi fornitori Ict (Capo V, artt. 28-44)

La Sezione I (artt. 28-30), relativa ai principi di gestione dei rischi derivanti da terzi, è integrata dal Regolamento delegato 2024/1773 del 13 marzo 2024, in vigore dal 15 luglio 2024, che stabilisce il contenuto della politica relativa agli accordi contrattuali per l’utilizzo di servizi informatici a supporto di funzioni essenziali o importanti prestati da fornitori terzi, e dal Regolamento di esecuzione 2024/2956 del 29 novembre 2024, entrato in vigore il 22 dicembre 2024, che fornisce i modelli standard di registro delle informazioni relative agli accordi contrattuali sull’utilizzo dei servizi dei fornitori Ict.

L’atto delegato C 2025/1682

Non ancora pubblicato in Gazzetta, si riferisce alla Sezione anche l’atto delegato C 2025/1682 del 24 marzo 2025, relativo agli elementi che un’entità finanziaria deve determinare e valutare quando subappalta servizi Ict a supporto di funzioni critiche o importanti.

La Sezione II (artt. 31-44), sulla sorveglianza e i fornitori critici da parte delle Autorità di vigilanza, è completata dai Regolamenti delegati:

• 2024/1502 del 22 febbraio 2024, in vigore dal 19 giugno 2024, sui criteri di designazione dei fornitori di servizi informatici critici;
• 2024/1505 del 22 febbraio 2024, in vigore dal 19 giugno 2024, sulle commissioni per le attività di sorveglianza a carico dei fornitori critici di servizi informatici;
• 2025/295 del 24 ottobre 2024, in vigore dal 5 marzo 2025, relativo alla regolamentazione armonizzata sulle attività di sorveglianza;
• 2025/420 del 16 dicembre 2024, in vigore dal 13 marzo 2025, che stabilisce i criteri di designazione dei gruppi di ispezione, nonché le modalità di lavoro.

Condivisione delle informazioni (Capo VI, art. 45)

Pur riconoscendone l’importanza strategica, il regolamento fa riferimento alla natura volontaria dell’adesione da parte delle entità a meccanismi di condivisione sicura delle informazioni sulle minacce.

In Italia, la piattaforma CERTFin rappresenta il canale di riferimento per tali scambi, nel rispetto di standard condivisi.

L’evoluzione di DORA

L’attuazione di DORA è in una fase avanzata, ma ancora in evoluzione. Molti elementi attuativi, tra cui le norme tecniche di regolamentazione (RTS) e gli atti delegati previsti dal Regolamento, sono in fase di finalizzazione o in attesa di pubblicazione ufficiale.

In questo contesto, le entità finanziarie devono monitorare attentamente gli sviluppi e prepararsi all’implementazione delle misure previste, sulla base delle disposizioni già definite e degli orientamenti delle autorità competenti, in vista della piena applicazione del quadro normativo.