Con l’entrata in vigore del Regolamento delegato (UE) 2024/1772, le imprese finanziarie dovranno segnalare gli incidenti ICT secondo sei parametri standardizzati e soglie definite. Un passo decisivo verso una resilienza digitale proattiva.

Dal 2025, ogni incidente ICT assume un’identità precisa.
Con l’introduzione dei sei criteri di classificazione e delle relative soglie, l’Europa detta un nuovo standard nella gestione delle minacce digitali.
Il cuore della normativa è la tempestività e la chiarezza: un incidente che supera anche uno solo di questi parametri sarà considerato “significativo” e dovrà essere notificato alle autorità competenti entro poche ore.
Le aziende finanziarie non possono più permettersi un approccio frammentario o reattivo: DORA spinge verso un ciclo continuo di prevenzione, risposta e apprendimento.
Una trasformazione culturale oltre che tecnologica.

DORA: cos’è e cosa prevede il Regolamento Delegato 2024/1772

Il Regolamento (UE) 2022/2554, noto come DORA – Digital Operational Resilience Act, è entrato ufficialmente in vigore il 17 gennaio 2025.
A integrarlo è arrivato il Regolamento delegato (UE) 2024/1772, pubblicato nella Gazzetta Ufficiale del 25 giugno 2024.
Questo specifica i criteri per la classificazione degli incidenti legati alle TIC (tecnologie dell’informazione e comunicazione) e le minacce informatiche, le soglie per la loro rilevanza e le modalità di segnalazione.
Destinato a una vasta gamma di enti finanziari, il regolamento punta a uniformare e semplificare le regole di notifica, riducendo le ambiguità normative e aumentando la reattività del settore in caso di crisi.

I sei criteri chiave per classificare un incidente ICT

Il Regolamento individua sei parametri per valutare la gravità di un incidente ICT:

  1. impatto sugli utenti e reputazione: numero di clienti o controparti colpiti;
  2. durata dell’interruzione: tempo in cui il servizio è rimasto inattivo;
  3. estensione geografica: se l’incidente coinvolge più Stati membri;
  4. perdita o compromissione dei dati: in termini di riservatezza, integrità o disponibilità;
  5. servizi essenziali colpiti: quanto l’incidente ha impattato le funzioni critiche;
  6. impatto economico: sia in valore assoluto che rispetto al profilo dell’impresa.
6 criteri iper classificar rischio informatico
DALL•E X EKO365

Se uno o più di questi parametri superano le soglie stabilite, l’incidente è classificato come major.
In quel caso, scattano obblighi precisi e tempistiche stringenti per la notifica alle autorità competenti e agli stakeholder.

Notifiche e comunicazione: tempi, destinatari e responsabilità

Le segnalazioni sono articolate in tre fasi:

  1. notifica iniziale: entro 4 ore dalla classificazione dell’incidente come “major”, e comunque non oltre 24 ore dalla scoperta.
  2. relazione intermedia: entro 72 ore dalla prima notifica.
  3. relazione finale: entro un mese, con l’analisi delle cause e le azioni correttive.

Oltre alle autorità (Banca d’Italia, IVASS, Consob, Covip), le imprese devono informare anche i clienti e partner impattati. È inoltre prevista la possibilità di segnalare su base volontaria anche le minacce significative, non ancora sfociate in incidenti.

Time line DORA
DALL•E X EKO365

Root cause analysis e apprendimento continuo

La normativa non si limita alla segnalazione. Richiede un’indagine approfondita delle cause di ogni incidente, attraverso analisi tecniche e organizzative.
Il report finale deve includere le root causes, ossia le origini strutturali del problema. Questo passaggio è fondamentale per trasformare l’evento in una lezione appresa e aggiornare policy e misure preventive.

Perché EKO365 segue con attenzione il Regolamento DORA

EKO365, come provider di servizi Microsoft 365 per PMI e società regolamentate, integra i principi del DORA nei propri servizi di gestione del rischio ICT. Valutazione delle vulnerabilità, simulazioni di attacchi, automazione dei flussi di gestione e formazione degli utenti sono strumenti già adottati per garantire sicurezza, resilienza e conformità.

La trasparenza e l’etica che guidano l’attività di EKO365, come dichiarato nel nostro Codice Etico , sono perfettamente allineati con lo spirito del Regolamento DORA: prevenzione, responsabilità e miglioramento continuo.

Approccio DORA per fasi
DALL•E X EKO365