DORA spiegata: impatto sull’acquisto di software nel settore finanziario
DORA entrerà in vigore il 17 gennaio 2025 e cambierà radicalmente il modo in cui le organizzazioni finanziarie acquistano e contrattano software. Ecco tutto ciò che devi sapere sui cinque pilastri, i requisiti contrattuali e l’impatto sulla gestione dei fornitori.
- 1 febbraio 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, la Digital Operational Resilience Act, entrerà in vigore in tutti gli Stati membri UE il 17 gennaio 2025. Per le organizzazioni finanziarie e i loro fornitori ICT cambierà radicalmente qualcosa: la resilienza digitale non è più solo una questione IT interna, ma un obbligo aziendale regolamentato con supervisione e sanzioni.
Cos’è DORA?
DORA è un regolamento UE, non una direttiva, quindi una legge direttamente applicabile che regola la resilienza operativa digitale del settore finanziario. Il regolamento fa parte del Digital Finance Package e si applica a 20 categorie di entità finanziarie, dalle banche alle assicurazioni, dalle fintech ai fornitori di servizi crittografici.
I cinque pilastri di DORA
DORA struttura i suoi requisiti attorno a cinque aree chiave:
Gestione del rischio ICT: un quadro completo per identificare, classificare e gestire i rischi ICT
Segnalazione degli incidenti: i grandi incidenti ICT devono essere segnalati alle autorità di vigilanza entro tempi rigorosi
Test della resilienza digitale: test di penetrazione periodici e scenari di resilienza per sistemi critici
Gestione del rischio da terze parti: obblighi contrattuali, registri dei fornitori e analisi del rischio di concentrazione
Scambio di informazioni: condivisione proattiva di informazioni sulle minacce all’interno del settore
Cosa significa DORA per l’acquisto di software?
Il quarto pilastro, la gestione del rischio da terze parti, ha un impatto diretto su come le organizzazioni finanziarie acquistano e contrattano software:
Requisiti minimi contrattuali: ogni contratto ICT deve includere clausole su SLA, segnalazione incidenti, diritti di audit, piano di uscita, localizzazione dei dati e continuità
Registro fornitori ICT: è obbligatorio un registro aggiornato e completo di tutti i fornitori ICT, che deve essere disponibile per le autorità di vigilanza
Rischio di concentrazione: un’eccessiva dipendenza da un unico fornitore (ad es. un singolo cloud provider) deve essere valutata e segnalata
Subappaltatori: anche i fornitori dei tuoi fornitori rientrano nell’ambito di DORA
SoftVaro supporta le organizzazioni finanziarie nell’analisi del loro ecosistema software e nel rendere i contratti conformi a DORA.
Domande frequenti
Le domande più frequenti su questo argomento.
A chi si applica DORA?
DORA si applica a banche, assicurazioni, istituti di investimento, istituti di pagamento, fornitori di servizi crittografici, fondi pensione e tutti i fornitori ICT che erogano servizi critici a queste istituzioni.
DORA si applica anche al mio fornitore software?
Sì. Se fornisci software o servizi ICT a un’istituzione finanziaria soggetta a DORA, come fornitore ICT sei obbligato a rispettare i requisiti contrattuali DORA imposti dall’istituzione finanziaria. I fornitori ICT critici possono anche essere soggetti a supervisione diretta UE.
Quali sono le sanzioni in caso di mancata conformità a DORA?
Le sanzioni possono arrivare fino al 2% del fatturato annuo mondiale totale. Per i fornitori ICT critici sottoposti a supervisione diretta UE, sono previste sanzioni aggiuntive.
Pronto a risparmiare sul software?
SoftVaro negozia per te l’offerta migliore con oltre 4.000 fornitori. Indipendente, trasparente, in 24 ore.