**Immagine di impatto: “Costruire il Futuro Digitale: La Resilienza Operativa come Imperativo.”**

—

**Il Regolamento DORA: Verso una Maggiore Sicurezza nel Settore Finanziario Digitale**

Nell’era digitale attuale, dove la trasformazione tecnologica guida gran parte delle dinamiche economiche, la sicurezza informatica emerge come una priorità imprescindibile. In questo contesto, il Regolamento DORA (Digital Operational Resilience Act) si posiziona come una risposta normativa significativa alle crescenti minacce nel settore finanziario. Pubblicato il 27 dicembre 2022, questo regolamento dell’Unione Europea segna un importante passo avanti nella costruzione di un ambiente più sicuro e resiliente per le entità finanziarie.

**Origini e Obiettivi del Regolamento DORA**

DORA nasce con la missione di garantire che le istituzioni finanziarie siano adeguatamente equipaggiate per affrontare e mitigare i rischi legati alle operazioni digitali. Con un’applicazione che diventerà pienamente operativa dal 17 gennaio 2025, il Regolamento prevede un quadro normativo vincolante che obbliga le entità finanziarie a adottare standard rigorosi nella gestione del rischio informatico, nella continuità operativa e nella segnalazione degli incidenti informatici. Le misure incorporate nel Regolamento mirano non solo a migliorare la protezione dei dati e dei servizi, ma anche a favorire la fiducia e la stabilità nel mercato finanziario, che sempre più si trova a dover fronteggiare attacchi informatici sofisticati e in continua evoluzione.

**DORA in un Contesto Normativo Europeo Più Ampio**

È fondamentale rilevare che DORA non opera in un vuoto normativo; piuttosto, interagisce e si integra con altre normative europee in materia di cybersecurity. In particolare, va considerato il legame con la Direttiva NIS2 (Network and Information Systems Directive), che ha ampliato i requisiti di sicurezza per gli operatori di servizi essenziali. Mentre NIS2 fissava criteri minimi per la cybersicurezza, DORA alza ulteriormente l’asticella per le entità finanziarie, imponendo requisiti specifici e più rigorosi.

**Chi Rientra nel Campo di Applicazione di DORA?**

A differenza di normative precedenti, DORA amplia notevolmente la platea dei soggetti interessati, includendo non solo le banche e le società di investimento, ma anche attori emergenti come piattaforme di crowdfunding e operatori di criptovalute. Inoltre, il Regolamento si estende anche a fornitori terzi di servizi informatici critici, quali i fornitori di Cloud e di Data Analytics, i quali dovranno conformarsi ai requisiti di sicurezza dettati da DORA.

**Prescrizioni Principali del Regolamento DORA**

Il DORA impone una serie di requisiti fondamentali alle entità finanziarie per garantirne la resilienza operativa. Tra le principali misure richieste vi è la necessità di:

1. **Definire una Governance della Sicurezza Informatica:** È imperativo che le entità finanziarie stabiliscano un quadro di governance strutturato per gestire i rischi informatici, approvare misure di mitigazione adeguate e garantire la loro applicazione.

2. **Gestire i Rischi degli ICT:** Ogni entità deve adottare un framework di gestione del rischio che supporti la resilienza digitale, garantendo la continuità operativa e la capacità di affrontare situazioni di crisi.

3. **Classificazione degli Incidenti:** La normativa richiede la classificazione degli incidenti informatici, compresi quelli che coinvolgono fornitori terzi di ICT, per identificarne l’impatto e gestirli in modo efficace.

4. **Segnalazione degli Incidenti:** Ogni entità deve sviluppare un robusto sistema di monitoraggio e segnalazione per garantire che gli incidenti vengano comunicati tempestivamente alle autorità competenti e agli stakeholder.

5. **Testing della Resilienza delle Infrastrutture:** Il DORA prevede che le istituzioni conducano regolarmente test di sicurezza per valutare la resilienza delle loro infrastrutture informatiche rispetto a nuove minacce emergenti.

*Inoltre, il Regolamento richiede la gestione dei rischi associati ai fornitori di servizi ICT, imponendo l’identificazione di servizi e processi coinvolti con terzi e la stipula di contratti che garantiscano adeguati standard