Blog

Il Regolamento DORA: gestione delle terze parti ICT

22 gennaio 2026

 DORA Pilastro 5

DORA Pilastro 5: gestione delle terze parti ICT – Controllo, monitoraggio e mitigazione del rischio

Il quinto e ultimo pilastro del Regolamento DORA affronta un tema sempre più rilevante per il settore finanziario: la dipendenza dagli ICT Third-Party Service Providers (TPSP). Gli intermediari raramente operano in totale autonomia, bensì dipendono da una rete complessa di fornitori di servizi ICT – da provider di infrastrutture cloud a specialisti di cybersecurity, da gestori di payment a software vendor.​

Tale dipendenza è sia tecnologica che strategica, in quanto il corretto svolgimento dei processi core dell’intermediario è strettamente legato alla disponibilità, all’affidabilità e alla sicurezza dei servizi ICT erogati da terzi, la cui garanzia di continuità è dunque un requisito chiave.​ Ciò espone gli intermediari a rischi significativi, che devono essere coerentemente valutati e gestiti per l’intera durata del ciclo di vita degli accordi contrattuali: dalla fase di selezione del TPSP ICT e di stesura delle clausole contrattuali, fino alla fase di monitoraggio e risoluzione del rapporto.​

Cosa richiede il DORA in materia di Gestione dei TPSP ICT? 

 

A) Identificazione dei TPSP ICT che erogano servizi essenziali per l’intermediario

Il primo passo è identificare quali fornitori ICT – e soprattutto quali servizi – sono considerati essenziali o importanti per lo svolgimento delle operazioni ordinarie dell’intermediario. Tra questi possono figurare:

  • fornitori di servizi di sicurezza,
  • fornitori di soluzioni di payment,
  • fornitori di software mission-critical,
  • fornitori di servizi di outsourcing di funzioni critiche.

B) Elementi contrattuali

Per ogni fornitore ICT che supporta funzioni essenziali, DORA richiede che l'intermediario negozi e inserisca nel contratto specifiche clausole, tra cui:​

  • Garanzia dei livelli di servizio: SLA chiari (Service Level Agreements) con KPI specifici.
  • Requisiti di continuità: il fornitore ICT deve avere propri piani di business continuity e disaster recovery.
  • Requisiti di sicurezza: il fornitore ICT deve adottare elevati standard in materia di sicurezza delle informazioni.
  • Obblighi di notifica: il fornitore deve notificare incidenti significativi all'intermediario tempestivamente.
  • Diritti di audit: l'intermediario deve preservarsi il diritto di effettuare audit sul fornitore ICT, il quale è obbligato a collaborare.
  • Clausole di risoluzione e strategia di uscita: meccanismi chiari per risolvere il rapporto senza compromettere l'operatività dell’intermediario.

C) Monitoraggio continuo

La gestione del rischio di terza parte ICT non si esaurisce con la stipula del contratto. DORA richiede monitoraggio continuo sul fornitore e sul servizio erogato, prevedendo:​

  • la verifica che il fornitore ICT mantenga i livelli di servizio contrattualizzati,
  • il monitoraggio della postura del fornitore in tema di cybersecurity,
  • la verifica della stabilità finanziaria del fornitore ICT,
  • il monitoraggio dei cambiamenti nella struttura o nei servizi erogati dal fornitore ICT.

D) Valutazione e audit di conformità

Periodicamente, l'intermediario ha diritto di effettuare controlli sulla terza parte ICT:

  • on-site audit presso le strutture del fornitore,
  • revisione della documentazione (policy, procedure, incident log),
  • valutazione della postura di cybersecurity,
  • verifica dei piani di continuità e disaster recovery.

E) Gestione del Ciclo di Vita del Fornitore

Dalla selezione iniziale all'eventuale risoluzione del rapporto, DORA richiede un processo strutturato: upguard+1

  • Selezione: valutazione preliminare orientata all’individuazione di un fornitore ICT che rispecchi i requisiti di affidabilità e competenza.
  • Monitoraggio: analisi nel continuum dei servizi erogati attraverso l’utilizzo di SLA e KPI.
  • Risoluzione: gestione della transizione a un diverso fornitore ICT o dell’internalizzazione del servizio al termine del rapporto, con focus su business continuity.

Sfide operative nell'implementazione

  1. Complessità della catena di fornitori: un intermediario potrebbe avere decine o centinaia di fornitori. Identificare quali sono "critici" non è banale.​
  2. Asimmetria di potere negoziale: spesso le terze parti ICT (specialmente i grandi player di cloud e payment) possiedono grande potere negoziale e potrebbero non essere disposte ad accettare tutti i requisiti richiesti da DORA.
  3. Costi di audit e monitoraggio: effettuare audit regolari sui fornitori ICT ha costi significativi.
  4. Dipendenza strategica: per alcuni servizi mission-critical, l'intermediario potrebbe avere poche alternative.
  5. Sub-fornitori: i fornitori critici a loro volta spesso si appoggiano a sub-fornitori. Come assicurare il monitoraggio su tutta la catena di fornitura?​

Come strutturare una gestione dei TPSP DORA-compliant

  1. Mapping della catena di fornitura: identificare tutti i fornitori che erogano servizi ICT e classificarli sulla base dell’essenzialità del servizio erogato.
  2. Definire le clausole contrattuali: sviluppare template di clausole contrattuali DORA-compliant.
  3. Negoziare i contratti: prevedere gli elementi contrattuali richiesti da DORA nei nuovi contratti; per quelli esistenti, integrare le previsioni attraverso addendum ad hoc.
  4. Implementare monitoraggio: istituire processi di monitoraggio continuo dei KPI dei fornitori.
  5. Pianificare gli audit: sviluppare un piano pluriennale di audit dei fornitori a supporto di funzioni essenziali.
  6. Gestire incidenti dei fornitori: definire procedure di gestione degli incidenti significativi subiti dai fornitori ICT.
  7. Pianificare la continuità: identificare fornitori alternativi per servizi critici e pianificare meccanismi di failover.

Considerazioni finali su tutti i cinque pilastri di DORA

I cinque pilastri del Regolamento DORA non rappresentano componenti isolate, bensì concorrono unitariamente al raggiungimento della resilienza operativa digitale dell’organizzazione. Una governance debole comprometterebbe la qualità della gestione del rischio; una gestione del rischio insufficiente non preparerebbe l'organizzazione a rispondere agli incidenti; senza test di resilienza, le vulnerabilità rimarrebbero sconosciute e non gestite; infine, l’assenza di un controllo sul rischio derivante dai fornitori ICT esporrebbe l’organizzazione a minacce potenzialmente in grado di incidere sulla operatività dell’intermediario.​

DORA richiede un approccio integrato e olistico alla resilienza digitale.

Prossimi Passi

Augeos supporta gli intermediari finanziari nel percorso di conformità al Regolamento DORA attraverso:

  • analisi e valutazione dello stato attuale rispetto ai cinque pilastri,
  • identificazione di gap e aree di miglioramento,
  • sviluppo di roadmap di adeguamento,
  • supporto nell'implementazione delle misure con identificazione di percorsi di conformità tailor made.

Contattaci per scoprire come strutturare un piano di conformità efficace e sostenibile.

New call-to-action

 


 

Topic: Gestione Incidenti Informatici, Continuità e Resilienza Operativa, DORA

Post Correlati

NIS2: come ottenere la conformità con policy e formazione senza bloccare l’operatività
24 febbraio 2026
Header Scadenze NIS2
Scadenze NIS2: come prepararsi ai due step del 2026 in modo efficace
26 gennaio 2026
header Regolamento DORA: test di resilienza operativa digitale
Il Regolamento DORA: test di resilienza operativa digitale
19 gennaio 2026

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all