Dal 17 gennaio 2025, il Regolamento DORA (UE 2022/2554) è in vigore con piena efficacia. Il Decreto legislativo 23/2025 ne ha recepito le disposizioni nel diritto italiano. Le aziende che non si sono adeguate rischiano limitazioni operative, sanzioni e danni reputazionali.
DORA non riguarda solo banche e assicurazioni. Coinvolge anche i fornitori terzi di servizi ICT che lavorano con enti finanziari. Una PMI che vende software, infrastrutture cloud o servizi IT a una banca rientra negli obblighi del regolamento. Questa è la novità più rilevante per il tessuto imprenditoriale italiano.
I cinque pilastri operativi
DORA si basa su cinque aree. Prima: gestione del rischio ICT. Ogni azienda deve identificare, classificare e monitorare i rischi legati a software, reti e dati. Seconda: segnalazione degli incidenti. Gli incidenti gravi vanno comunicati alla Banca d’Italia secondo modelli e tempi definiti. Terza: test di resilienza. I sistemi informatici devono essere testati con regolarità. Quarta: gestione dei fornitori terzi. Se un fornitore ICT critico ha problemi, l’azienda deve avere un piano alternativo già pronto. Quinta: piani di continuità operativa. Ogni piano deve includere procedure di recupero dati e ripristino dei servizi.
Scadenze concrete nel 2026
Entro il 15 marzo di ogni anno, va aggiornato il registro dei contratti con fornitori ICT. Il registro deve elencare tutti i servizi tecnologici acquistati esternamente. Nel 2026 partono i primi test avanzati TLPT (Threat-Led Penetration Testing) obbligatori per le entita’ finanziarie identificate come critiche dalle autorita’ nazionali. Tutti gli enti soggetti devono inoltre revisionare il proprio framework di gestione del rischio ICT e dimostrare l’efficacia dei controlli attraverso prove documentali.
Chi decide e chi risponde
DORA assegna la responsabilità agli organi di gestione. Il consiglio di amministrazione approva la strategia di resilienza digitale e ne risponde direttamente. Non è possibile delegare tutto al reparto IT. In Italia, la Banca d’Italia supervisiona l’applicazione del regolamento nel settore bancario e finanziario.
Cosa fare concretamente come PMI fornitrice ICT
Se la tua azienda fornisce servizi ICT a enti finanziari, ci sono cinque azioni da avviare. Primo: verifica se rientri tra i fornitori “critici” o “importanti” secondo i criteri dell’Autorità Bancaria Europea. Secondo: aggiorna i contratti con i clienti finanziari includendo le clausole DORA richieste. Terzo: documenta i processi di gestione del rischio e di risposta agli incidenti. Quarto: prepara un piano di continuità operativa con procedure di recupero dati. Quinto: forma il personale sugli obblighi di notifica degli incidenti.
Le microimprese con meno di 10 dipendenti e meno di 2 milioni di euro di fatturato hanno un regime semplificato. Gli obblighi ci sono, ma sono ridotti rispetto alle entità più grandi.
Il contesto normativo del 2026
Il 2026 porta con sé sei regolamenti europei nella loro fase applicativa: NIS2, AI Act, DORA, Cyber Resilience Act, nuovo Regolamento Macchine e Data Act. Non sono regolamenti separati. Si sovrappongono e si integrano. Una PMI che lavora con il settore finanziario può trovarsi soggetta a più di uno di questi obblighi in parallelo.
Chi ha già lavorato sulla conformità NIS2 ha un punto di partenza. La mappatura dei rischi ICT e i processi di notifica degli incidenti sono comuni a entrambe le normative. Per un quadro più ampio sul panorama normativo europeo, leggi anche il nostro approfondimento sulla compliance UE.
Il supporto di 10punto10
10punto10 aiuta le PMI italiane a capire quali obblighi le riguardano e a costruire un piano di adeguamento concreto. Il punto di partenza è sempre un’analisi di quanto già fatto e di cosa manca, senza approcci teorici.
Proteggi la tua azienda
Il panorama delle minacce informatiche evolve ogni giorno. Il team di 10punto10 supporta le PMI italiane con soluzioni di cybersecurity concrete, scalabili e senza complessità inutili.
Contattaci per una consulenza gratuita — analizziamo insieme la postura di sicurezza della tua azienda.