Blog

Il Regolamento DORA: gestione del rischio ICT

14 gennaio 2026

 DORA Compliance Pilastro2

DORA Pilastro 2: gestione del rischio ICT – Framework di identificazione, valutazione e mitigazione

Se la governance definisce chi decide, la gestione del rischio ICT stabilisce come l’intermediario governa concretamente la resilienza digitale. Il secondo pilastro del Regolamento DORA rappresenta il cuore operativo del framework: è qui che la normativa richiede il passaggio da approcci frammentati a un sistema strutturato, integrato e continuativo di gestione dei rischi tecnologici.​

Per gli intermediari finanziari ex art. 106 TUB, DORA impone un cambio di paradigma: il rischio ICT non è più una componente tecnica isolata, ma una dimensione strutturale del rischio operativo complessivo, soggetta a valutazione, monitoraggio e controllo al pari degli altri rischi regolamentari.

I componenti essenziali della gestione del rischio ICT:

Il framework DORA per la gestione del rischio ICT si articola attorno a diversi elementi interconnessi:

A)  Identificazione completa e sistematica dei rischi ICT 

Il Regolamento stabilisce che ogni intermediario debba adottare un framework formale di ICT Risk Management, proporzionato a dimensione e complessità, ma pienamente dimostrabile in sede di vigilanza.

DORA richiede una mappatura estesa e strutturata di tutti i rischi ICT rilevanti, che vada oltre la sola cybersecurity. In particolare, devono essere presidiati:
  • rischi derivanti dalla dipendenza da fornitori ICT e terze parti critiche
  • rischi connessi a carenze organizzative o competenze interne insufficienti
  • rischi legati all’obsolescenza tecnologica e all’architettura dei sistemi
  • rischi di continuità operativa in caso di indisponibilità dei servizi critici

L’identificazione deve essere ripetibile, documentata e aggiornata, non episodica.

B)  Valutazione strutturata e integrata dei rischi 

I rischi individuati devono essere valutati secondo metodologie coerenti con il framework di risk management aziendale, includendo:

  • probabilità di accadimento,
  • impatto potenziale su operatività, clienti, continuità e reputazione,
  • priorità di intervento,
  • correlazione con processi, servizi e funzioni critiche.

DORA richiede che il rischio ICT sia integrato nei processi decisionali, non gestito in parallelo rispetto agli altri rischi.

C) Strategie di mitigazione coerenti con l’appetito al rischio


Per ogni rischio rilevante, l’intermediario deve definire e documentare strategie di trattamento del rischio, che devono includere:

  • controlli tecnologici e di sicurezza,
  • misure organizzative e procedurali,
  • clausole contrattuali e trasferimento del rischio di terza parte,
  • accettazione consapevole del rischio residuo, formalmente approvata.

Ogni scelta deve essere giustificata e tracciabile, in particolare quando il rischio residuo rimane significativo.

D) Monitoraggio e revisione continua

Il Pilastro 2 sottolinea che la gestione del rischio ICT è un processo dinamico, che richiede:

  • monitoraggio continuo dell’efficacia dei controlli,
  • aggiornamento delle valutazioni qualora intervengano modifiche alle tecnologie impiegate, alla struttura organizzativa o in presenza di nuove minacce,
  • revisione periodica del framework e dei criteri di valutazione,
  • reporting strutturato verso gli organi aziendali.

Un framework statico non è compatibile con DORA.

Le principali criticità per gli intermediari ex 106 TUB

  • Complessità della valutazione: non tutti gli intermediari possiedono le competenze internamente per una valutazione quali/quantitativa rigorosa dei rischi ICT. Spesso è necessario supporto esterno.
  • Ridondanza con altre valutazioni di rischio: l'intermediario potrebbe già avere una metodologia di risk assessment generale. Il DORA richiede che il rischio ICT sia esplicitamente integrato, non in parallelo.​
  • Evoluzione delle minacce: la rapidità di evoluzione delle minacce cyber rende obsoleti modelli rigidi.
  • Allocazione di risorse: una valutazione completa dei rischi ICT richiede tempo e competenze. Molti intermediari faticano a dedicare le risorse necessarie.

DORA non richiede solo strumenti, ma metodo, coerenza e continuità.

Come strutturare un framework DORA-compliant di gestione del tischio ICT

Un percorso efficace di adeguamento dovrebbe prevedere:

  1. ICT Risk Assessment iniziale: analisi dei processi e delle metodologie esistenti
  2. Gap analysis rispetto ai requisiti DORA
  3. Implementazione della politica di gestione del rischio
  4. Definizione di criteri, metriche e frequenze di valutazione
  5. Formazione delle funzioni coinvolte e dell’organo di gestione
  6. Pianificazione delle revisioni periodiche e degli aggiornamenti

Augeos supporta gli intermediari finanziari ex art. 106 TUB nella progettazione e implementazione di framework di gestione del rischio ICT pienamente allineati al Regolamento DORA e alle aspettative di vigilanza.

Una volta identificato e valutato il rischio ICT, l'organizzazione deve essere preparata a gestire situazioni in cui il rischio si materializza: è qui che entra in gioco il terzo pilastro, la gestione degli incidenti, fondamentale per dimostrare la capacità dell’intermediario di reagire efficacemente quando il rischio si concretizza.

New call-to-action

 

Topic: Gestione Incidenti Informatici, Continuità e Resilienza Operativa, DORA

Post Correlati

NIS2: come ottenere la conformità con policy e formazione senza bloccare l’operatività
24 febbraio 2026
Scadenze NIS2: come prepararsi ai due step del 2026 in modo efficace
26 gennaio 2026
Il Regolamento DORA : Gestione delle terze parti ICT
22 gennaio 2026

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all