Inizia la trasformazione. Parla con un esperto

DORA e gestione fornitori ICT: come garantire la resilienza operativa con Atlassian

16 Aprile 2025
Atlassian

Scopri perché DORA non si ferma all’azienda

Il Regolamento DORA (Digital Operational Resilience Act) è ufficialmente applicabile dal 17 gennaio 2025, e coinvolge tutte le realtà finanziarie europee. Come abbiamo approfondito nei nostri precedenti articoli (qui il primo focus e qui il secondo), DORA non si limita a richiedere misure interne per la resilienza digitale, ma si estende anche al controllo delle terze parti ICT.

Queste realtà fornitrici, spesso strategiche, devono essere monitorate, valutate e gestite in modo strutturato per assicurare che non rappresentino un punto debole per l’intero ecosistema aziendale.

SOMMARIO:

Fornitori ICT: cosa richiede DORA oggi
La sfida della visibilità e del controllo: criticità comuni
Verso un modello di governance efficace: processi e strumenti Atlassian

Un approccio continuo alla resilienza digitale

Fornitori ICT: cosa richiede DORA oggi

Il Regolamento DORA attribuisce un ruolo centrale alla gestione dei fornitori ICT, imponendo alle organizzazioni finanziarie una serie di obblighi specifici. Non si tratta solo di un esercizio burocratico: è una richiesta concreta di strutturare i rapporti con i partner tecnologici in modo trasparente e resiliente.

Nello specifico, gli articoli 28-30 del regolamento prevedono che le aziende:

  • Identifichino i fornitori ICT considerati “critici”, cioè quelli che hanno un impatto rilevante sulla resilienza operativa;
  • Monitorino costantemente le performance e i livelli di servizio erogati;
  • Documentino in modo chiaro SLA, controlli, responsabilità e obblighi contrattuali;
  • Definiscano piani di uscita e strategie di mitigazione del rischio in caso di disservizi o cessazione della collaborazione.

Questi requisiti spingono le aziende ad adottare un approccio proattivo e strutturato: ogni relazione deve essere facilmente monitorabile, con flussi documentali e decisionali tracciati. Senza questi elementi, è difficile garantire la conformità e prevenire le vulnerabilità operative.

La sfida della visibilità e del controllo: criticità comuni

Nonostante l’urgenza dettata dall’entrata in vigore di DORA, molte aziende si trovano ancora in difficoltà nell’implementare un controllo efficace sulle terze parti ICT. La mancanza di strumenti centralizzati e di processi condivisi può generare falle significative nel sistema di resilienza digitale.

Tra le criticità più diffuse troviamo:

L’assenza di una mappatura centralizzata dei fornitori, con informazioni frammentate tra più sistemi;

La gestione dei contratti da parte di team diversi, spesso senza una visione comune;

La scarsa tracciabilità delle attività svolte dai partner ICT nel tempo;

L’inesistenza di procedure standard per la valutazione dei rischi o per la gestione delle modifiche contrattuali.

Queste problematiche non solo complicano la governance, ma aumentano la probabilità di incorrere in sanzioni e vulnerabilità operative. DORA impone un cambio di paradigma: la gestione dei fornitori non può più essere reattiva, ma deve diventare parte integrante della strategia di resilienza e sicurezza.

Verso un modello di governance efficace: processi e strumenti

Per rispondere alle richieste di DORA, serve costruire un framework strutturato che includa:

  • Onboarding formalizzato dei fornitori, con raccolta delle informazioni chiave
  • Valutazione dei rischi attraverso checklist digitali e revisione periodica
  • Monitoraggio delle attività tramite ticket e workflow tracciabili
  • Gestione documentale di contratti, SLA e audit tramite spazi collaborativi

Gli strumenti Atlassian offrono un’infrastruttura flessibile per supportare questo modello:

Jira per tracciare le attività operative legate ai fornitori

Confluence per centralizzare policy, contratti, verbali e report

Opsgenie e Statuspage per assicurare continuità e comunicazione efficace in caso di incidenti

Attraverso automazioni, dashboard e flussi personalizzati, è possibile ottenere una gestione proattiva e scalabile dei partner IT, trasformando la compliance in un vantaggio competitivo.

Un approccio continuo alla resilienza digitale

La gestione delle terze parti ICT è uno dei pilastri più delicati introdotti da DORA. Non basta affidarsi a contratti ben scritti: occorre costruire un sistema dinamico, documentato e collaborativo.

Con il supporto di strumenti Atlassian e una governance strutturata, è possibile:

  • Assicurare la conformità normative.
  • Ridurre i rischi operative.
  • Migliorare la trasparenza tra reparti e stakeholder.

Vuoi approfondire questi temi con il punto di vista di un esperto legale e uno solution consultant Atlassian?
Guarda il nostro webinar gratuito:

compliance al regolamento dora: come affrontarla con atlassian
compliance al regolamento dora: come affrontarla con atlassian

You may also like

Contattaci
Contact us