DORA spiegata: impatto sugli acquisti software nel settore finanziario
DORA entrerà in vigore il 17 gennaio 2025 e cambierà radicalmente il modo in cui le organizzazioni finanziarie acquistano e contrattano software. Ecco tutto quello che devi sapere sui cinque pilastri, i requisiti contrattuali e l’impatto sulla gestione dei fornitori.
- 1 febbraio 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, il Digital Operational Resilience Act, entrerà in vigore il 17 gennaio 2025 in tutti gli Stati membri dell’UE. Per le organizzazioni finanziarie e i loro fornitori ICT cambierà radicalmente qualcosa: la resilienza digitale non è più una questione IT interna, ma un obbligo regolamentato con supervisione e sanzioni.
Che cos’è DORA?
DORA è un regolamento dell’UE, non una direttiva, quindi una normativa direttamente applicabile che regola la resilienza operativa digitale del settore finanziario. Il regolamento fa parte del Digital Finance Package e si applica a 20 categorie di entità finanziarie, dalle banche e assicurazioni alle fintech e ai fornitori di servizi crypto.
I cinque pilastri di DORA
DORA struttura i suoi requisiti attorno a cinque aree chiave:
Gestione dei rischi ICT: Un quadro completo per identificare, classificare e gestire i rischi ICT
Segnalazione degli incidenti: I principali incidenti ICT devono essere segnalati ai regolatori entro tempi molto ristretti
Test della resilienza digitale: Test periodici di penetrazione e scenari di resilienza per sistemi critici
Gestione del rischio da terze parti: Obblighi contrattuali, registri fornitori e analisi del rischio di concentrazione
Scambio di informazioni: Condivisione proattiva delle informazioni sulle minacce all’interno del settore
Cosa significa DORA per gli acquisti software?
Il quarto pilastro, la gestione del rischio da terze parti, ha un impatto diretto su come le organizzazioni finanziarie acquistano e contrattano software:
Requisiti contrattuali minimi: Ogni contratto ICT deve includere clausole su SLA, segnalazione incidenti, diritti di audit, piano di uscita, localizzazione dati e continuità
Registro fornitori ICT: È obbligatorio mantenere un registro aggiornato e completo di tutti i fornitori ICT, disponibile ai regolatori
Rischio di concentrazione: Un’eccessiva dipendenza da un singolo fornitore (es. un provider cloud) deve essere valutata e segnalata
Subappaltatori: Anche i fornitori dei tuoi fornitori rientrano nell’ambito di DORA
SoftVaro aiuta le organizzazioni finanziarie a mappare il proprio ecosistema software e a rendere i contratti conformi a DORA.
Domande frequenti
Le domande più comuni su questo argomento.
Per chi si applica DORA?
DORA si applica a banche, assicurazioni, fondi di investimento, istituti di pagamento, fornitori di servizi crypto, fondi pensione e a tutti i fornitori ICT che erogano servizi critici a queste istituzioni.
DORA si applica anche al mio fornitore software?
Sì. Se fornisci software o servizi ICT a un’istituzione finanziaria soggetta a DORA, sei obbligato come fornitore ICT a rispettare i requisiti contrattuali DORA imposti dall’istituzione finanziaria. I fornitori ICT critici possono inoltre essere sottoposti a supervisione diretta dell’UE.
Quali sono le sanzioni per il mancato rispetto di DORA?
Le sanzioni possono arrivare fino al 2% del fatturato annuo globale totale. Per i fornitori ICT critici soggetti a supervisione diretta dell’UE, sono previste ulteriori sanzioni.
Pronto a risparmiare sul software?
SoftVaro negozia per te l’offerta migliore con oltre 4.000 fornitori. Indipendente, trasparente, in 24 ore.