FRAMEWORK · DORA

DORA — Resilienza operativa digitale.
Regolamento UE 2022/2554.

In vigore dal 17 gennaio 2025. Si applica a 22.000+ entità finanziarie europee e ai loro fornitori TIC critici. Itamite copre i pilastri di gestione del rischio TIC, gestione degli incidenti e testing di resilienza con evidenza firmata per le autorità di vigilanza nazionali (Banca d'Italia, Consob, IVASS).

Vedi prezzi Demo DORA

A chi si applica DORA?

Entità finanziarie: banche, casse, IMEL/IP, assicuratori e riassicuratori, gestori (SGR, GEFIA), imprese di investimento, infrastrutture di mercato (CCP, CSD), fornitori di cripto-attività (CASPs), prestatori di servizi di pagamento (PSPs), agenzie di rating, fondi pensione, gestori alternativi, fornitori PEPP.

Particolarmente importante: fornitori TIC critici che servono entità finanziarie (cloud, data center, MSP, software regolamentato). Se la tua azienda fornisce servizi IT a banche/finanza, DORA può applicartisi direttamente.

Multe: fino a 10M€ o il 5% del fatturato annuo mondiale, il maggiore. Per infrazioni gravi, possibile esclusione dal registro dei fornitori TIC autorizzati → fallimento del fornitore.

CINQUE PILASTRI DORA

Cosa copre Itamite

Pilastro 1: Gestione del rischio TIC (Art. 5-15)

Itamite fornisce un inventario completo degli asset TIC (Art. 8), identificazione delle funzioni critiche, analisi di rischio continua tramite postura misurata (Art. 9), protezione e prevenzione (cifratura, patch, AV — Art. 9), rilevamento continuo (Art. 10), gestione della continuità (Art. 11), apprendimento ed evoluzione data-driven.

Pilastro 2: Gestione degli incidenti TIC (Art. 17-23)

Audit immutabile hash-chain come evidenza degli incidenti. Classificazione automatica per gravità. Notifica iniziale 4h dopo il rilevamento, intermedia 72h, finale 1 mese — Itamite fornisce una timeline tecnica verificabile. Integrazione SIEM per le segnalazioni alle autorità.

Pilastro 3: Testing di resilienza (Art. 24-27)

Test di base annuali (vulnerability assessment, scenario testing). Per le entità significative: TLPT (Threat-Led Penetration Testing) ogni 3 anni. Itamite fornisce inventario e dati per definire il perimetro del testing e verificare la successiva remediation.

Pilastro 4: Rischio terze parti TIC (Art. 28-44)

Registro informativo su tutti gli accordi contrattuali con i fornitori TIC. Itamite è fornitore TIC: ti consegniamo documentazione contrattuale standard DORA-ready (clausole Art. 30, exit strategy, diritti di audit, sub-appalto).

Pilastro 5: Condivisione di informazioni (Art. 45)

Capacità opzionali di condivisione di intelligence sulle minacce con altre entità. Itamite espone API + webhook per l'integrazione con piattaforme di scambio (FS-ISAC, EU-FSF).

Itrion come fornitore TIC DORA-ready

Per i clienti finanziari: contratti specifici conformi all'Art. 30: descrizione delle funzioni critiche, ubicazione del trattamento UE, diritto di audit on-site, livelli di servizio quantitativi (SLA), uscita ordinata con migrazione assistita, sub-appaltatori pre-approvati.

DOMANDE FREQUENTI

Dubbi su DORA

Chi vigila sulla conformità DORA?
In Italia: Banca d'Italia (banche e credito), Consob (mercati e gestori), IVASS (assicurazioni). A livello UE: EBA, ESMA, EIOPA. Per i fornitori TIC critici: quadro di vigilanza specifico EU-wide sotto coordinamento delle AEV.
Quando vengo dichiarato fornitore TIC critico?
Il primo esercizio di designazione è stato fatto dalle AEV nel 2024. Elenco pubblico annuale. Se vieni designato come critico, vigilanza europea diretta + obblighi rafforzati. La maggior parte dei fornitori TIC NON è critica in senso formale ma deve conformarsi contrattualmente a DORA per requisiti dei clienti.
Itrion Software è fornitore TIC critico DORA?
Non designata come critica EU-wide. Ci conformiamo a DORA contrattualmente per i nostri clienti finanziari: documentazione Art. 30, capacità di audit on-site, exit strategy scritta, hosting UE, sub-appaltatori dichiarati. Elenco dei clienti finanziari: sotto NDA.
Quanto tempo richiede la conformità DORA?
Per un'entità finanziaria con piattaforma IT moderna: 6-12 mesi. Da zero: 12-18 mesi. Itamite accelera le parti di inventario, gestione del rischio TIC e monitoraggio (3-4 mesi risparmiati). Il resto (BCP, governance, testing TLPT) richiede consulenza specializzata.

Settore finanziario soggetto a DORA

Demo Enterprise con caso reale banche/assicurazioni + accesso ai contratti DORA-ready.

Vedi prezzi Richiedi demo