Il Digital Operational Resilience Act (DORA) è un regolamento obbligatorio dell’Unione europea (UE) entrato in vigore il 16  gennaio 2023 e si applicherà il 17 gennaio 2025. 

Il regolamento mira a rafforzare la sicurezza IT di entità finanziarie come banche, compagnie assicurative e società di investimento. L’obiettivo è contribuire a garantire che il settore finanziario in Europa possa rimanere resiliente in caso di una grave interruzione digitale operativa. 

I requisiti DORA apportano armonizzazione delle regole relative alla resilienza operativa per il settore finanziario che si applicano a 20 diversi tipi di entità finanziarie e fornitori di servizi terzi ICT. 

Il settore finanziario dipende sempre più dalla tecnologia e dalle società tecnologiche per fornire servizi finanziari. Ciò rende le entità finanziarie vulnerabili agli attacchi informatici o agli incidenti di sicurezza informatica. 

Se non gestiti correttamente, i rischi TIC possono portare a interruzioni dei servizi finanziari offerti oltre confine. Possono avere un impatto su altre società, settori e anche sul resto dell’economia, il che sottolinea l’importanza della resilienza operativa digitale del settore finanziario. 

DORA si applica principalmente ai fornitori di servizi digitali, tra cui piattaforme online, servizi di cloud computing e motori di ricerca, che operano all’interno dell’UE. Gli istituti specifici includono, a titolo esemplificativo ma non esaustivo: 

• Istituti di credito o pagamento 
• Fornitori di servizi di informazioni sull’account 
• Società di investimento. 
• Fornitori di servizi di Crypto-Asset. 
• Fornitori di servizi di reporting dei dati 
• Fornitori di servizi terzi ICT

DORA mira a garantire la resilienza dei servizi digitali e la protezione degli interessi degli utenti coprendo vari argomenti, tra cui: 

• Gestione del rischio ICT: Principi e requisiti sul quadro di gestione del rischio ICT 
• Gestione dei rischi di terze parti ICT: Monitoraggio dei fornitori di rischi di parte di terzi e delle principali disposizioni contrattuali 
• Test di resilienza operativa digitale: Test di base e avanzati 
• Incidenti correlati alle TIC requisiti generali e segnalazione dei principali incidenti correlati alle TIC alle autorità competenti 
• Condivisione delle informazioni: Scambio di informazioni e informazioni sulle minacce informatiche 
• Supervisione dei fornitori terzi critici: Quadro di supervisione per fornitori terzi ICT critici