DORA (Regulation 2022/2554) is the EU's Digital Operational Resilience Act. It establishes a uniform framework for managing ICT risks in the financial sector. Unlike directives, DORA is directly applicable in all EU member states without national transposition.

When did DORA take effect?

DORA entered into force on January 16, 2023 and applies since January 17, 2025. All financial entities in scope must now comply with its requirements for ICT risk management, incident reporting, resilience testing, and third-party risk management.

Who must comply with DORA?

DORA applies to 21 types of financial entities including banks, insurance companies, investment firms, payment institutions, crypto-asset service providers, and fund managers. It also applies to critical ICT third-party service providers (cloud, SaaS, data analytics) serving the financial sector.

What are the penalties for DORA non-compliance?

Financial entities face administrative fines up to 2% of total annual worldwide turnover. For critical ICT third-party providers, fines can reach up to 5 million euros or 1% of average daily worldwide turnover. National competent authorities can also impose periodic penalty payments.

How does SiteGuardian help with DORA compliance?

SiteGuardian continuously monitors your ICT security posture (TLS/SSL, headers, DNS, email authentication), detects incidents in real time with 4-hour major incident reporting support, runs automated resilience tests from multiple regions, and provides 5-level supplier risk scoring for ICT third-party risk management under DORA Art. 28.

Regolamento UE 2022/2554

DORA è in vigore.
La vostra resilienza ICT è pronta?

Il Digital Operational Resilience Act richiede alle entità finanziarie di gestire i rischi ICT, segnalare gli incidenti entro 4 ore e testare la resilienza operativa — o affrontare sanzioni fino al 2 % del fatturato globale.

In vigore dal 17 gennaio 2025

Scansiona il tuo sito web ora Visualizza i piani di conformità

DORA si applica a voi?

DORA si applica a 21 tipologie di entità finanziarie e ai loro fornitori critici di servizi ICT terzi. Se operate nel settore finanziario dell'UE, molto probabilmente rientrate nell'ambito di applicazione.

Banche

Entità finanziaria

Assicurazioni

Entità finanziaria

Imprese di investimento

Entità finanziaria

Istituti di pagamento

Entità finanziaria

Fornitori di cripto-attività

Entità finanziaria

Gestori di fondi

Entità finanziaria

Agenzie di rating del credito

Entità finanziaria

Fornitori ICT terzi

Fornitore critico

Il costo della non conformità

Entità finanziarie

del fatturato annuo mondiale totale

sanzioni amministrative determinate dalle autorità nazionali competenti

Fornitori critici di ICT terzi

5 M€

o l'1 % del fatturato medio giornaliero mondiale

più pagamenti periodici di penalità per il persistente inadempimento

Le autorità nazionali competenti possono inoltre limitare o sospendere le attività e ritenere la dirigenza personalmente responsabile.

I 5 pilastri di DORA — e cosa monitora SiteGuardian

DORA stabilisce cinque pilastri per la resilienza operativa digitale. SiteGuardian monitora continuamente quattro di essi per la vostra infrastruttura ICT esposta al web.

Art. 5–15

Gestione dei rischi ICT

Monitorati

SiteGuardian fornisce il monitoraggio continuo della postura di sicurezza per la vostra infrastruttura esposta al web: validazione TLS/SSL, tracciamento del ciclo di vita dei certificati, rilevamento delle vulnerabilità, applicazione degli header di sicurezza, verifica DNSSEC e un registro di audit immutabile per dimostrare la governance della gestione dei rischi.

Art. 17–23

Gestione degli incidenti ICT

Monitorati

SiteGuardian rileva gli incidenti in tempo reale, li classifica per gravità e supporta i flussi di segnalazione conformi a DORA — inclusa la notifica iniziale di 4 ore per gli incidenti ICT gravi, le relazioni intermedie di 72 ore e le relazioni finali di 1 mese. I rapporti di incidente precompilati per la vostra autorità nazionale competente vengono generati automaticamente.

Art. 24–27

Test di resilienza operativa digitale

Monitorati

SiteGuardian esegue scansioni di sicurezza automatizzate che coprono la configurazione TLS, gli header di sicurezza HTTP, l'hardening DNS, l'autenticazione email (DMARC/SPF/DKIM) e la validazione dei certificati da più regioni geografiche — fornendo test continui di resilienza di base come richiesto dall'Art. 25.

Art. 28–30

Gestione dei rischi ICT di terze parti

Monitorati

SiteGuardian valuta la postura di sicurezza dei fornitori su 5 livelli di maturità, traccia il rischio di concentrazione per i fornitori ICT critici, monitora la sicurezza TLS ed email di terze parti e supporta la generazione del Registro delle informazioni DORA (Art. 28(3)) per tutti gli accordi contrattuali con fornitori ICT terzi.

Art. 31–44

Sorveglianza dei fornitori critici di ICT terzi

Questo pilastro si applica ai fornitori ICT designati come critici dalle Autorità europee di vigilanza (ESA). Il Lead Overseer conduce ispezioni, emette raccomandazioni e può imporre sanzioni. SiteGuardian non copre direttamente i processi di vigilanza delle ESA.

La conformità a DORA inizia con la visibilità

Scansionate il vostro sito web per valutare la vostra postura di sicurezza ICT. SiteGuardian associa ogni risultato agli articoli DORA — così sapete esattamente a che punto siete.

Scansione di sicurezza gratuita Visualizza i piani di conformità

Gratuito per sempre per 1 monitor. Nessuna carta di credito richiesta.

Domande frequenti

Cos'è DORA?

DORA (Regolamento 2022/2554) è il Regolamento sulla resilienza operativa digitale dell'UE. Crea un quadro completo per la gestione dei rischi ICT nel settore finanziario, coprendo la governance dei rischi, la segnalazione degli incidenti, i test di resilienza, la gestione dei rischi di terze parti e la condivisione delle informazioni. A differenza di una direttiva, DORA è direttamente applicabile in tutti gli Stati membri dell'UE.

Quando è diventato applicabile DORA?

DORA è entrato in vigore il 16 gennaio 2023 ed è pienamente applicabile dal 17 gennaio 2025. Tutte le entità finanziarie rientranti nell'ambito di applicazione e i fornitori critici di ICT terzi devono ora conformarsi ai suoi requisiti.

DORA si applica ai fornitori ICT?

Sì. DORA non si applica solo alle entità finanziarie, ma anche ai loro fornitori critici di servizi ICT terzi — incluse piattaforme cloud, fornitori SaaS, servizi di data analytics e fornitori di software. Le Autorità europee di vigilanza (ESA) designano quali fornitori sono considerati critici e soggetti a vigilanza diretta.

Quali sono le scadenze per la segnalazione degli incidenti secondo DORA?

Per gli incidenti ICT gravi, DORA richiede: una notifica iniziale entro 4 ore dalla classificazione (e non oltre 24 ore dal rilevamento), una relazione intermedia entro 72 ore e una relazione finale entro 1 mese. SiteGuardian tiene traccia di queste scadenze automaticamente e genera rapporti precompilati.

Come aiuta SiteGuardian con la conformità a DORA?

SiteGuardian monitora continuamente la vostra infrastruttura ICT esposta al web per i rischi di sicurezza (TLS, header, DNS, autenticazione email), rileva gli incidenti in tempo reale, esegue test automatizzati di resilienza da più regioni e fornisce una valutazione del rischio dei fornitori su 5 livelli. I risultati sono associati agli articoli DORA e i report di conformità sono pronti per l'audit.

DORA è in vigore. La vostra resilienza ICT è pronta?

DORA si applica a voi?

Il costo della non conformità

I 5 pilastri di DORA — e cosa monitora SiteGuardian

Gestione dei rischi ICT

Gestione degli incidenti ICT

Test di resilienza operativa digitale

Gestione dei rischi ICT di terze parti

Sorveglianza dei fornitori critici di ICT terzi

La conformità a DORA inizia con la visibilità

Domande frequenti

È sicuro?

DORA è in vigore.
La vostra resilienza ICT è pronta?