REGOLAMENTO (UE) 2022/2554 - APPLICABILE DAL 17 GENNAIO 2025

La vostra conformità DORA,
documentata e difendibile

Il regolamento europeo sulla resilienza operativa digitale del settore finanziario (DORA) impone alle entità finanziarie - e di riflesso ai loro fornitori ICT - un registro esaustivo dei contratti, clausole contrattuali precise e prove di audit datate. SYAGA DORA-Express vi aiuta a rispondere a questi requisiti senza improvvisare, che siate un'entità finanziaria o un fornitore.

17/01
Applicabile dal 2025
21
Categorie di entità interessate (art. 2)
4h
Termine di notifica di un incidente grave
19
Fornitori ICT critici già designati

Il contesto normativo

DORA è un regolamento, non una direttiva: si applica direttamente in tutti gli Stati membri, senza dover attendere una legge di recepimento nazionale.

DORA si applica direttamente dal 17 gennaio 2025

Regolamento (UE) 2022/2554 del 14 dicembre 2022, pubblicato nella GUUE il 27 dicembre 2022, entrato in vigore il 16 gennaio 2023 e applicabile dal 17 gennaio 2025. Nessun recepimento nazionale richiesto: è direttamente opponibile.

📋

È richiesto un registro ICT esaustivo (art. 28 §3)

Ogni entità finanziaria deve tenere aggiornato e trasmettere annualmente alle autorità un registro completo dei propri contratti ICT: fornitore, natura del servizio, criticità della funzione, paese di hosting dei dati.

📄

I vostri contratti devono contenere clausole precise (art. 30)

Diritti di audit e ispezione, garanzie di disponibilità e integrità dei dati, piani di uscita testati, notifica di incidente senza indugio. Queste clausole risalgono dal vostro cliente finanziario a voi se siete il suo fornitore ICT.

📧

Il questionario di due diligence è già nella vostra casella di posta

Prima di firmare o rinnovare un contratto, una banca, un assicuratore o un investitore invia un questionario cyber (governance, MFA, EDR, crittografia, sensibilizzazione). Rispondere senza prove documentate fa perdere il contratto.

Il fattore scatenante del 18 novembre 2025

I vostri fornitori cloud sono appena stati ufficialmente designati «critici»

Il 18-19 novembre 2025, le autorità europee di vigilanza (EBA, ESMA, EIOPA) hanno pubblicato il primo elenco ufficiale dei fornitori ICT critici ai sensi dell'articolo 32 di DORA. Tra i nomi confermati dai comunicati ufficiali: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (e altri 14 fornitori non confermati nominativamente nelle nostre fonti).

Conseguenza concreta: se i vostri servizi critici si basano su uno di questi fornitori, la vostra entità finanziaria cliente deve ora documentarlo nel proprio registro ICT - e può interrogarvi sulla vostra stessa catena di subfornitura.

Fonte: comunicati ufficiali EIOPA ed ESMA del 18-19 novembre 2025 (eiopa.europa.eu, esma.europa.eu).

La nostra risposta: DORA-Express

Un accompagnamento strutturato in 5 fasi per documentare la vostra conformità - senza promettere ciò che né uno strumento né una società di consulenza possono certificare al posto vostro.

1
Fase 1 - Qualificazione

Identifichiamo la vostra reale esposizione

Siete un'entità finanziaria direttamente soggetta (una delle 21 categorie dell'articolo 2), o un fornitore ICT interessato indirettamente tramite le clausole contrattuali dei vostri clienti finanziari (articolo 30)? Il perimetro esatto condiziona tutto il resto.

2
Fase 2 - Due diligence

Risposta al vostro questionario cyber

Rispondiamo al vostro questionario di due diligence di banca, investitore o assicuratore (governance, MFA, EDR, crittografia, sensibilizzazione...) basandoci su un audit tecnico del vostro tenant Microsoft 365 come prova datata e verificabile.

3
Fase 3 - Registro e contratti

Registro ICT e clausole articolo 30

Vi aiutiamo a strutturare il vostro registro dei contratti ICT (art. 28 §3) e a verificare o integrare le clausole contrattuali minime e rafforzate dell'articolo 30 nei vostri contratti con i fornitori.

4
Fase 4 - Continuità e resilienza

PRA/PCA profilo settoriale Finanza

La nostra PRA/PCA Suite propone un profilo settoriale Finanza (DORA, PSD2, ACPR) che copre i requisiti dei test di resilienza operativa del capo IV di DORA, allineato alla ISO 22301.

5
Fase 5 - Restituzione

Un dossier di conformità documentato

Consegna alla vostra direzione, al vostro CISO o al vostro CFO di un dossier consolidato, con i punti precisi da far decidere dal vostro consulente legale prima di qualsiasi comunicazione alle autorità.

Cosa ricevete

Deliverable concreti, con fonti citate, senza promesse di certificazione che nessuno può garantire

📝

Risposte alla due diligence cyber

10 domande tipiche di due diligence banca / M&A, documentate e con fonte (ILPA DDQ, CSA CAIQ, questionari degli assicuratori cyber).

  • Politica di sicurezza / framework riconosciuto
  • MFA, minimo privilegio, account privilegiati
  • Licenza M365, EDR / threat hunting
  • Protocolli legacy, crittografia dei dischi
  • Programma di sensibilizzazione
📄

Scheda di riferimento DORA

Sintesi documentata del regolamento (UE) 2022/2554.

  • Perimetro: 21 categorie di entità (art. 2)
  • 5 ambiti di obblighi
  • Termini di notifica (4h / 72h / 1 mese)
  • Articolazione con NIS2 (lex specialis)
📋

Registro ICT (schema art. 28 §3)

Struttura del registro esaustivo richiesto dalle autorità.

  • Fornitore e natura del servizio
  • Criticità della funzione supportata
  • Paese di hosting dei dati
  • Formato pronto per la trasmissione annuale
🔐

Clausole contrattuali (schema art. 30)

Da integrare o verificare nei vostri contratti con i fornitori ICT.

  • Clausole minime (tutti i contratti)
  • Clausole rafforzate (funzioni critiche)
  • Diritti di audit e ispezione
  • Piani di uscita ed estraibilità dei dati
🏗

PRA/PCA profilo Finanza

Piano di continuità e ripristino operativo, profilo settoriale dedicato.

  • Copertura capo IV DORA (test di resilienza)
  • Allineato alla ISO 22301
  • Profilo settoriale DORA / PSD2 / ACPR
  • Derivato dalla nostra PRA/PCA Suite esistente
💾

Dossier di conformità documentato

Formati PDF e DOCX, che consolidano l'insieme dei deliverable.

  • Pronto per la vostra direzione / CISO / CFO
  • Punti da far validare dal vostro avvocato segnalati
  • Base per i vostri scambi con ACPR / AMF (autorità francesi)
  • Modificabile per l'aggiornamento annuale

Un esempio: il questionario di due diligence bancaria

Estratto delle 10 domande che documentiamo per voi, con la fonte di ciascuna domanda

Tema Domanda Fonte
Governance La vostra politica di sicurezza si basa su un framework riconosciuto (NIST, ISO 27001)? ILPA DDQ 2.0
Audit terzi Effettuate un audit annuale indipendente e test di intrusione? CSA CAIQ v4
Piano incidenti Esiste un piano formale di risposta agli incidenti, documentato e mantenuto? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Per quali servizi imponete l'autenticazione a più fattori? Travelers - MFA Supplement
Account privilegiati Gli accessi seguono il principio del minimo privilegio, con revisione periodica? CSA CAIQ v4 IAM
Messaggistica Quale licenza M365 utilizzate? Defender / threat hunting avanzato attivo? vCSO.ai Cyber DD Checklist
Crittografia I dischi dei dispositivi sono interamente crittografati? Google VSAQ
Formazione È stabilito un programma di sensibilizzazione alla sicurezza per tutti i collaboratori? CSA CAIQ v4 HRS

Testi e framework coperti

Ogni deliverable indica esplicitamente cosa copre - e cosa non copre

DO

DORA (Regolamento UE 2022/2554)

Registro ICT (art. 28), clausole contrattuali (art. 30), termini di notifica (art. 19), riferimento ai fornitori ICT critici designati (art. 32).

N2

NIS2 - articolazione con DORA

DORA costituisce una lex specialis rispetto a NIS2 per il settore finanziario: le entità interessate applicano DORA anziché le misure NIS2 equivalenti.

ISO

ISO 22301 - continuità operativa

Il profilo PRA/PCA Finanza si allinea alla ISO 22301, framework di gestione della continuità operativa utilizzato in complemento a DORA.

RG

GDPR - notifica distinta

La notifica di incidente DORA (ACPR/AMF, autorità francesi) è distinta dalla notifica GDPR (all'autorità di protezione dei dati competente, in Francia la CNIL) in caso di violazione di dati personali: entrambe possono essere richieste simultaneamente.

Un accompagnamento adattato alla vostra situazione

Ogni dossier DORA è diverso a seconda del vostro status - preventivo personalizzato in ogni caso

Fornitore ICT

Fornite servizi a una o più entità finanziarie

Preventivo
secondo il perimetro
  • Risposta alla due diligence cyber
  • Registro ICT lato fornitore
  • Revisione delle clausole articolo 30
  • Dossier documentato pronto per la trasmissione
Richiedi un preventivo

Monitoraggio annuale

Aggiornamento regolare del dossier (obblighi, contratti, registro)

Preventivo
ricorrente
  • Aggiornamento del registro ICT
  • Revisione annuale delle clausole contrattuali
  • Monitoraggio dei fornitori critici designati
  • Supporto per le vostre due diligence clienti
Richiedi un preventivo

Domande frequenti

La mia azienda è un'entità finanziaria interessata da DORA?
L'articolo 2 di DORA elenca 21 categorie di entità finanziarie: enti creditizi e di pagamento, imprese di investimento, fornitori di cripto-attività autorizzati MiCA, assicurazione e riassicurazione, gestione di fondi, agenzie di rating e altre. Le microimprese (meno di 10 dipendenti, fatturato o bilancio inferiore a 2 milioni di euro) beneficiano di una proporzionalità su alcuni obblighi, ma non sono escluse totalmente. Da verificare caso per caso con un consulente legale.
Non sono una banca, perché DORA mi riguarda comunque?
Se fornite servizi ICT (informatica, cloud, software, hosting) a un'entità finanziaria, l'articolo 30 impone al vostro cliente di inserirvi nel proprio registro e di imporvi contrattualmente clausole precise: diritti di audit, notifica di incidente senza indugio, piani di uscita. Questi obblighi passano attraverso il contratto del vostro cliente, non attraverso una supervisione diretta dell'autorità - a meno che non siate voi stessi designati fornitore ICT critico (articolo 31).
Quali sono i termini di notifica di un incidente ICT grave?
Articolo 19: notifica iniziale entro 4 ore dalla classificazione come incidente grave (al massimo 24 ore dalla rilevazione), rapporto intermedio entro 72 ore, rapporto finale entro 1 mese. Queste notifiche sono distinte da un'eventuale notifica GDPR all'autorità di protezione dei dati competente (in Francia la CNIL) in caso di violazione di dati personali.
Cos'è un «fornitore ICT critico»?
Sono fornitori designati esplicitamente dalle autorità europee di vigilanza (EBA, ESMA, EIOPA) secondo criteri di impatto sistemico, sostituibilità e dipendenza (articolo 31). Il primo elenco ufficiale, pubblicato il 18-19 novembre 2025, conta 19 fornitori. Sono soggetti a supervisione diretta (ispezioni, reporting esteso); gli altri fornitori ICT restano disciplinati solo dalle clausole contrattuali dei loro clienti finanziari.
DORA sostituisce NIS2 per il mio settore?
Sì, per le entità finanziarie ai sensi dell'articolo 2: DORA costituisce una lex specialis rispetto a NIS2 per il settore finanziario. Le 21 categorie interessate applicano DORA al posto delle misure NIS2 equivalenti in materia di gestione dei rischi e notifica degli incidenti.
Questo servizio costituisce un parere legale?
No. DORA-Express è uno strumento di supporto documentale, non un parere legale. L'esatto assoggettamento della vostra organizzazione a DORA e la conformità legale dei vostri contratti devono essere validati da un avvocato specializzato prima di qualsiasi decisione vincolante.

Pronti a documentare la vostra conformità DORA?

Contattateci per ricevere un preventivo personalizzato in base al vostro status (entità finanziaria o fornitore ICT).

DORA-Express è uno strumento di supporto documentale e non costituisce un parere legale. L'assoggettamento della vostra organizzazione a DORA e la validità legale dei vostri contratti e registri devono essere confermati da un avvocato specializzato.