Il Regolamento DORA: governance e organizzazione interna

DORA Pilastro 1: governance e organizzazione interna – Ruoli, responsabilità e processi decisionali

Il primo pilastro del Regolamento DORA riguarda la governance e organizzazione interna e pone l'accento su un elemento fondamentale: nessun framework di resilienza digitale può funzionare efficacemente senza una governance chiara, ruoli ben definiti e processi decisionali strutturati.

Se il DORA potesse avere una priorità assoluta, questa sarebbe proprio la governance. Perché? Perché tutte le altre componenti – gestione dei rischi, incident response, test di resilienza – dipendono direttamente dalla qualità della governance che le sottende.

Cosa richiede il DORA in materia di governance?

Il Regolamento prescrive che ogni intermediario finanziario deve implementare una governance ICT che include:

A) Definizione chiara dei ruoli e delle responsabilità

Ogni funzione coinvolta nella gestione del rischio ICT deve avere responsabilità esplicite, documentate e comunicate. Non può esserci ambiguità su chi fa cosa. Questo include:

• funzioni ICT e di sicurezza (CIO, CISO o equivalenti),
• responsabilità degli organi con funzione di supervisione strategica e gestione,
• integrazione delle funzioni di risk management, compliance e internal audit,
• chiara distinzione tra ruoli decisionali, esecutivi e di controllo.

L’assenza di chiarezza organizzativa è uno dei principali fattori di non conformità rilevati dalle Autorità. 

B) Processi decisionali per la gestione del rischio ICT

La governance non è solo una questione di organigramma. Richiede processi formali per:

• identificare e classificare i rischi ICT,
• approvare strategie di mitigazione,
• allocare risorse per la resilienza digitale,
• definire e monitorare indicatori di performance (KPI) sulla resilienza digitale.

Ogni decisione rilevante deve essere tracciabile, motivata e coerente con il framework di controllo interno. 

C) Organi dedicati e procedure interne consolidate

Il DORA richiede:

• un comitato di governance ICT (o equivalente)
• procedure documentate per l'escalation di criticità rilevanti
• meccanismi di reporting al board su rischi e vulnerabilità
• il coinvolgimento dell’internal audit nella verifica del sistema di governance ICT

La governance deve essere attiva, non semplicemente dichiarata. 

Sfide operative nell'implementazione

Molte organizzazioni scopriranno che, sebbene dispongano di una struttura IT e di sicurezza, questa non è sempre integrata in una governance formale riconosciuta dalle autorità. Le sfide comuni includono:

DORA richiede un salto di qualità: dalla gestione tecnica alla governance regolamentata del rischio ICT.​

Come strutturare una governance DORA-compliant

Un percorso efficace di adeguamento al Pilastro 1 dovrebbe includere:

1. DORA Governance Assessment: mappare la governance esistente e identificare i gap
2. Ridefinire i ruoli e le responsabilità: chiarire le accountability di ogni funzione
3. Creare o rafforzare il comitato di governance ICT: assicurare frequenza e qualità delle riunioni
4. Documentare processi e procedure: creazione di policy e procedure formali approvate dagli organi competenti
5. Assicurare reporting al board: meccanismi di comunicazione regolari verso i vertici aziendali

Augeos affianca gli intermediari finanziari ex art. 106 TUB nella progettazione e implementazione di modelli di governance ICT pienamente conformi al Regolamento DORA e coerenti con le aspettative di vigilanza.

Prossimi step?

La governance è il fondamento, ma da sola non basta. Nel prossimo articolo esploreremo il secondo pilastro: la gestione del rischio ICT, che definisce come identificare, valutare e mitigare i rischi tecnologici all'interno di un framework strutturato