Il Digital Operational Resilience Act (DORA) è strettamente legato alla gestione dei dati e alla sicurezza del mondo finanziario. In un contesto dove cyber security e data protection sono sempre più interdipendenti e il GDPR costituisce la cornice di riferimento in materia di tutela dei dati personali, la risposta non può che essere nell’integrazione del DORA con il quadro normativo europeo in materia di privacy.
Occorre quindi coniugare resilienza operativa e protezione dei dati personali, adottando governance aziendali che, in un ecosistema sempre più data-driven, muovano le premesse da un’attenta analisi dei punti di contatto esistenti.
Da qui l’inserimento di misure di sicurezza relative ai rischi ICT (Information and Communication Technologies) progettate per rispondere a entrambe le esigenze: resilienza operativa e protezione dei dati.
Inoltre, sarà necessaria una cultura aziendale che promuova la consapevolezza e la formazione continua, con sguardo rivolto all’adeguamento tecnologico, ai processi interni e ai protocolli di comunicazione in caso di incidenti.
Il rischio di duplicazione degli obblighi
Questo, tuttavia, non esclude il pericolo di duplicazione degli obblighi (ad esempio, notifiche multiple per lo stesso incidente), ma Commissione Europea e autorità di vigilanza (ESMA, EBA, EIOPA) sono già al lavoro per fornire linee guida coordinate in grado di garantire che i requisiti del DORA si integrino con quelli del GDPR.
In attesa, pertanto, che il quadro regolamentare si completi di alcune disposizioni che rendano la governance sui rischi ICT e privacy più organica, il consiglio è quello di adottare un approccio aziendale integrato.
Questo articolo è stato pubblicato sul numero di ottobre 2025 di AziendaBanca. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
