Regolamento UE · DORA

DORA — Digital Operational Resilience Act

Regolamento UE 2022/2554 sulla resilienza operativa digitale del settore finanziario e assicurativo. ICT risk management, incident reporting, third-party risk, testing.

Riferimento normativoRegulation (EU) 2022/2554 In vigore17 gennaio 2025
Parla con un compliance engineer Torna al hub compliance

Cos'è DORA e chi è obbligato?

DORA (Digital Operational Resilience Act) è il Regolamento UE 2022/2554 che armonizza i requisiti di resilienza operativa digitale del settore finanziario europeo. Applicabile dal 17 gennaio 2025, copre 5 pilastri: (1) ICT risk management framework; (2) gestione e segnalazione incidenti ICT alle autorità (IVASS per le assicurazioni italiane); (3) digital operational resilience testing inclusi TLPT; (4) gestione del rischio di provider ICT terzi; (5) information sharing fra entità su minacce informatiche. Le compagnie assicurative, MGA e broker strutturati sono nel perimetro come \"entità finanziarie\". NewPicass 14.Net, in quanto fornitore terzo di servizi ICT, supporta il cliente vigilato fornendo controlli nativi, evidenze, certificazioni e collabora attivamente nei processi di incident reporting e TLPT.

Articoli chiave per IT

I 5 capitoli operativi di DORA

Art. 5-16
ICT Risk Management

Governance del rischio ICT

Identificazione asset critici, classificazione, controlli, encryption, asset register, gestione vulnerabilità. NewPicass mantiene asset register interno, classification policy, patch management 30 giorni per critical.

Art. 17-23
Incident Reporting

Classificazione e segnalazione incidenti ICT

Definizione di incident \"major\" (criteri art. 18), notifica entro 4h iniziali, 72h intermedie, 1 mese finale. NewPicass notifica cliente entro 30 min dalla scoperta, fornisce log tecnici e RCA per la submission regolatoria.

Art. 24-27
Operational Resilience Testing

Test di resilienza periodici + TLPT

Test di sicurezza obbligatori almeno annuali (vulnerability assessment, scenario-based, red team) + TLPT triennali per entità di maggior dimensione. NewPicass conduce pen-test annuali con report condivisibile sotto NDA.

Art. 28-30
Third-Party ICT Risk

Gestione fornitori ICT critici

Due diligence pre-contratto, contratto-tipo con clausole DORA-compliant (subcontracting, audit right, exit, data location), monitoraggio continuo, exit strategy. NewPicass fornisce contract template DORA-aligned.

Art. 45-49
Information Sharing

Scambio informazioni minacce

Partecipazione volontaria a meccanismi di information sharing su threat intelligence fra entità finanziarie. NewPicass partecipa a CERT-Finanza nazionale per i suoi clienti vigilati italiani.

Vendor vs Cliente

Cosa fa NewPicass 14.Net vs cosa resta a te

Coperto dalla piattaforma

  • Audit trail immutabile retention 10 anni
  • Encryption in transit (TLS 1.3) e at rest (AES-256)
  • Due data center active-active in UE
  • RPO ≤ 15 min, RTO ≤ 1 ora
  • BCP testato trimestralmente + DR test annuale
  • Incident notification al cliente entro 30 min
  • ISO 27001:2023 certificato + SOC 2 Type II
  • Penetration test annuale
  • Contract template DORA-aligned

Responsabilità cliente vigilato

  • ICT risk management framework interno
  • Decisione su classificazione \"major\" incident
  • Submission incident report al regolatore (IVASS)
  • Esercizio TLPT triennali (se in scope)
  • Due diligence pre-contratto sul vendor
  • ICT policy aziendale
  • Formazione dipendenti su cyber awareness
  • Definizione propria exit strategy
  • Partecipazione information sharing
Moduli e persona coinvolti
Modulo 01

Back-office polizze fideiussorie

Ciclo di vita completo della polizza fideiussoria: emissione, rinnovo, appendici, svincolo, con audit trail immutabile.

Apri modulo Modulo 12

KYC & onboarding digitale

Identificazione SPID/CIE/eIDAS, screening AML/PEP/sanzioni, verifica beneficial owner e refresh continuo.

Apri modulo Persona 05

Compagnie assicurative — back-office, supervisione rete, compliance

Sistema core per compagnie surety: gestione portafoglio multi-ramo, supervisione rete coverholder, claims, riassicurazione, audit trail IVASS-ready, due data center con failover.

Apri persona Persona 04

MGA — Managing General Agent: underwriting, riassicurazione

Motore di sottoscrizione configurabile, gestione binder e line slip, riassicurazione facoltativa e per trattato, reporting Solvency II Pillar III.

Apri persona Persona 01

Coverholder & MGA — gestione delegated authority

Emissione multi-compagnia sotto binding authority, generazione automatica BDX, audit trail per coverholder audit Lloyd's e IVASS.

Apri persona
FAQ

Domande frequenti su DORA

DORA si applica alle compagnie assicurative italiane?

Sì. Il Regolamento UE 2022/2554 si applica a tutte le "entità finanziarie" che includono esplicitamente compagnie di assicurazione e riassicurazione (art. 2 §1 lett. g/h), intermediari assicurativi e riassicurativi sopra una soglia di organizzazione (art. 2 §1 lett. m). In Italia: tutte le compagnie vigilate IVASS, broker e MGA strutturati, MGA. È applicabile dal 17 gennaio 2025.

DORA si applica anche ai fornitori IT come NewPicass 14.Net?

Indirettamente, sì. NewPicass 14.Net non è una "entità finanziaria" ma è un "fornitore terzo di servizi ICT" (ICT third-party service provider) per i clienti vigilati. Il cliente vigilato è responsabile della due diligence sul fornitore (art. 28-30); noi siamo responsabili di fornire le evidenze richieste (certificazioni, SLA, incident notification, exit strategy).

Cosa significa "ICT incident reporting" in DORA?

L'art. 17-23 di DORA richiede che le entità finanziarie classifichino, gestiscano e segnalino gli incidenti ICT "maggiori" alle autorità competenti (IVASS in Italia) entro tempi stringenti (initial 4h, intermediate 72h, final 1 mese). NewPicass 14.Net notifica il cliente entro 30 minuti dalla scoperta di un incidente che lo coinvolge, fornendo log tecnici, root cause, mitigazione, per consentire al cliente di rispettare le proprie scadenze regolatorie.

Cosa sono i "TLPT" (Threat-Led Penetration Tests)?

Art. 26-27 di DORA richiedono alle entità finanziarie di maggiori dimensioni (categorizzate dal regolatore) di condurre TLPT — penetration test orchestrate basate su threat intelligence, condotte da provider certificati — almeno ogni 3 anni. Per i nostri clienti che ricadono nel scope TLPT, NewPicass 14.Net partecipa al perimetro di test fornendo accesso controllato all'infrastruttura di test e supportando il piano di remediation.

Avete un Business Continuity Plan testato?

Sì. Due data center in active-active con failover automatico (RPO ≤ 15 min, RTO ≤ 1 ora) testati trimestralmente con tabletop exercise + un esercizio annuale di switch live (notturno, con sign-off post-test). I report di test sono disponibili sotto NDA nel Trust Center.

Posso disdire il contratto velocemente in caso di problemi?

Sì. Conformemente a DORA art. 28 §7 e §8 sui "contracts with critical ICT third-party providers", il nostro contratto-tipo include: clausola di exit-right con preavviso ragionevole anche prima della naturale scadenza in caso di gravi inadempimenti documentati, exit strategy operativa documentata (data export in formati standard, supporto migrazione), audit right del cliente o del regolatore. I termini operativi sono nel framework contrattuale.

Compliance check · 45 minuti

Verifica con noi la tua compliance DORA

45 minuti con un compliance engineer. Esaminiamo la copertura della piattaforma su questo framework e identifichiamo cosa resta da chiudere lato cliente.

Prenota compliance check Domande sicurezza via email