26 Ago DORA 2025: primi mesi di applicazione e lezioni apprese dal settore finanziario
A pochi mesi dall’entrata in vigore del Digital Operational Resilience Act il 17 gennaio 2025, il settore finanziario europeo sta affrontando le prime sfide concrete di implementazione. Le prime esperienze operative stanno rivelando criticità inattese e best practice emergenti che ridefiniscono l’approccio alla resilienza digitale. L’analisi dei primi risultati di compliance mostra una realtà variegata, con risultati contrastanti tra istituzioni di diverse dimensioni.
Sfide operative nella gestione dei fornitori ICT critici
L’applicazione di DORA ha evidenziato significative difficoltà nella gestione del rischio ICT legato ai fornitori terzi. Le istituzioni finanziarie stanno incontrando ostacoli nell’implementazione dei framework di supervisione richiesti, particolarmente per quanto riguarda la valutazione continua dei rischi operativi. La lista aggiornata dei fornitori ICT critici sotto supervisione DORA ora include i principali provider cloud e le aziende fintech, ampliando significativamente il perimetro di controllo. Le autorità europee EBA, EIOPA ed ESMA hanno rilasciato standard tecnici aggiornati per l’implementazione di DORA, fornendo linee guida più dettagliate sui framework di gestione del rischio ICT e le metodologie di testing [[3]]. Questi aggiornamenti normativi riflettono le difficoltà emerse nei primi mesi e offrono chiarimenti sui requisiti di due diligence per i fornitori critici.
Convergenza strategica tra DORA e NIS2
Le nuove linee guida mostrano come le organizzazioni possano allineare i programmi di compliance DORA e NIS2 per massimizzare l’efficienza e ridurre l’onere normativo. Di fatto NIS2 e DORA sono complementari: mentre NIS2 definisce un quadro generale per la cybersicurezza, DORA specifica i requisiti operativi per il settore finanziario. L’obiettivo principale della NIS2 è garantire un elevato livello comune di cybersicurezza. NIS2 e DORA stiano ridefinendo il concetto di resilienza operativa e come adottare un approccio “evidence-based”. Le organizzazioni stanno sviluppando strategie che trasformano la conformità da obbligo a opportunità per rafforzare sicurezza e resilienza aziendale.
Implementazione pratica e lessons learned
Il Regolamento DORA armonizza le normative sulla gestione del rischio ICT nei servizi finanziari, creando standard uniformi a livello europeo. Il regolamento mira a favorire l’armonizzazione dei requisiti di resilienza digitale per tutto il settore finanziario. DORA stabilisce una serie di requisiti vincolanti e completi relativi alla gestione del rischio delle tecnologie dell’informazione e della comunicazione.
Prepararsi per DORA e NIS2 non è solo una necessità normativa, ma anche un’opportunità per migliorare la resilienza operativa e proteggere il business. Le aziende che hanno saputo cogliere questa opportunità stanno trasformando gli obblighi normativi in vantaggi competitivi duraturi nel panorama della cybersecurity europea.
I primi mesi di applicazione dimostrano che DORA sta trasformando concretamente il panorama della cybersecurity finanziaria europea, richiedendo un adattamento continuo delle strategie aziendali per mantenere la conformità e l’efficacia operativa.
Il supporto di Augustas Risk Services nell’adeguamento a DORA
Augustas Risk Services offre un supporto specialistico alle aziende del settore finanziario per affrontare le sfide poste dal Regolamento DORA. Attraverso un approccio strutturato Augustas aiuta le organizzazioni a costruire un sistema di gestione del rischio solido e conforme agli standard europei. L’adozione di metodologie di analisi quali-quantitative e la mappatura dei processi di sicurezza informatica permettono di trasformare la compliance in un vantaggio competitivo, migliorando la resilienza operativa e la capacità di risposta agli incidenti.