Il regolamento europeo sulla resilienza operativa digitale del settore finanziario (DORA) impone alle entità finanziarie - e di riflesso ai loro fornitori ICT - un registro esaustivo dei contratti, clausole contrattuali precise e prove di audit datate. SYAGA DORA-Express vi aiuta a rispondere a questi requisiti senza improvvisare, che siate un'entità finanziaria o un fornitore.
DORA è un regolamento, non una direttiva: si applica direttamente in tutti gli Stati membri, senza dover attendere una legge di recepimento nazionale.
Regolamento (UE) 2022/2554 del 14 dicembre 2022, pubblicato nella GUUE il 27 dicembre 2022, entrato in vigore il 16 gennaio 2023 e applicabile dal 17 gennaio 2025. Nessun recepimento nazionale richiesto: è direttamente opponibile.
Ogni entità finanziaria deve tenere aggiornato e trasmettere annualmente alle autorità un registro completo dei propri contratti ICT: fornitore, natura del servizio, criticità della funzione, paese di hosting dei dati.
Diritti di audit e ispezione, garanzie di disponibilità e integrità dei dati, piani di uscita testati, notifica di incidente senza indugio. Queste clausole risalgono dal vostro cliente finanziario a voi se siete il suo fornitore ICT.
Prima di firmare o rinnovare un contratto, una banca, un assicuratore o un investitore invia un questionario cyber (governance, MFA, EDR, crittografia, sensibilizzazione). Rispondere senza prove documentate fa perdere il contratto.
Il 18-19 novembre 2025, le autorità europee di vigilanza (EBA, ESMA, EIOPA) hanno pubblicato il primo elenco ufficiale dei fornitori ICT critici ai sensi dell'articolo 32 di DORA. Tra i nomi confermati dai comunicati ufficiali: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (e altri 14 fornitori non confermati nominativamente nelle nostre fonti).
Conseguenza concreta: se i vostri servizi critici si basano su uno di questi fornitori, la vostra entità finanziaria cliente deve ora documentarlo nel proprio registro ICT - e può interrogarvi sulla vostra stessa catena di subfornitura.
Fonte: comunicati ufficiali EIOPA ed ESMA del 18-19 novembre 2025 (eiopa.europa.eu, esma.europa.eu).
Un accompagnamento strutturato in 5 fasi per documentare la vostra conformità - senza promettere ciò che né uno strumento né una società di consulenza possono certificare al posto vostro.
Siete un'entità finanziaria direttamente soggetta (una delle 21 categorie dell'articolo 2), o un fornitore ICT interessato indirettamente tramite le clausole contrattuali dei vostri clienti finanziari (articolo 30)? Il perimetro esatto condiziona tutto il resto.
Rispondiamo al vostro questionario di due diligence di banca, investitore o assicuratore (governance, MFA, EDR, crittografia, sensibilizzazione...) basandoci su un audit tecnico del vostro tenant Microsoft 365 come prova datata e verificabile.
Vi aiutiamo a strutturare il vostro registro dei contratti ICT (art. 28 §3) e a verificare o integrare le clausole contrattuali minime e rafforzate dell'articolo 30 nei vostri contratti con i fornitori.
La nostra PRA/PCA Suite propone un profilo settoriale Finanza (DORA, PSD2, ACPR) che copre i requisiti dei test di resilienza operativa del capo IV di DORA, allineato alla ISO 22301.
Consegna alla vostra direzione, al vostro CISO o al vostro CFO di un dossier consolidato, con i punti precisi da far decidere dal vostro consulente legale prima di qualsiasi comunicazione alle autorità.
Deliverable concreti, con fonti citate, senza promesse di certificazione che nessuno può garantire
10 domande tipiche di due diligence banca / M&A, documentate e con fonte (ILPA DDQ, CSA CAIQ, questionari degli assicuratori cyber).
Sintesi documentata del regolamento (UE) 2022/2554.
Struttura del registro esaustivo richiesto dalle autorità.
Da integrare o verificare nei vostri contratti con i fornitori ICT.
Piano di continuità e ripristino operativo, profilo settoriale dedicato.
Formati PDF e DOCX, che consolidano l'insieme dei deliverable.
Estratto delle 10 domande che documentiamo per voi, con la fonte di ciascuna domanda
| Tema | Domanda | Fonte |
|---|---|---|
| Governance | La vostra politica di sicurezza si basa su un framework riconosciuto (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Audit terzi | Effettuate un audit annuale indipendente e test di intrusione? | CSA CAIQ v4 |
| Piano incidenti | Esiste un piano formale di risposta agli incidenti, documentato e mantenuto? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Per quali servizi imponete l'autenticazione a più fattori? | Travelers - MFA Supplement |
| Account privilegiati | Gli accessi seguono il principio del minimo privilegio, con revisione periodica? | CSA CAIQ v4 IAM |
| Messaggistica | Quale licenza M365 utilizzate? Defender / threat hunting avanzato attivo? | vCSO.ai Cyber DD Checklist |
| Crittografia | I dischi dei dispositivi sono interamente crittografati? | Google VSAQ |
| Formazione | È stabilito un programma di sensibilizzazione alla sicurezza per tutti i collaboratori? | CSA CAIQ v4 HRS |
Ogni deliverable indica esplicitamente cosa copre - e cosa non copre
Registro ICT (art. 28), clausole contrattuali (art. 30), termini di notifica (art. 19), riferimento ai fornitori ICT critici designati (art. 32).
DORA costituisce una lex specialis rispetto a NIS2 per il settore finanziario: le entità interessate applicano DORA anziché le misure NIS2 equivalenti.
Il profilo PRA/PCA Finanza si allinea alla ISO 22301, framework di gestione della continuità operativa utilizzato in complemento a DORA.
La notifica di incidente DORA (ACPR/AMF, autorità francesi) è distinta dalla notifica GDPR (all'autorità di protezione dei dati competente, in Francia la CNIL) in caso di violazione di dati personali: entrambe possono essere richieste simultaneamente.
Ogni dossier DORA è diverso a seconda del vostro status - preventivo personalizzato in ogni caso
Fornite servizi a una o più entità finanziarie
Siete direttamente soggetti a DORA (una delle 21 categorie, art. 2)
Aggiornamento regolare del dossier (obblighi, contratti, registro)
Contattateci per ricevere un preventivo personalizzato in base al vostro status (entità finanziaria o fornitore ICT).