Secondo una nuova ricerca commissionata da Veeam Software e condotta da Censuswide su un campione di aziende del comparto in Regno Unito, Francia, Germania e Paesi Bassi, il 96% delle organizzazioni ammette che la propria resilienza dei dati non è ancora sufficiente per soddisfare i requisiti richiesti dalla normativa.
Il Digital Operational Resilience Act, in vigore dal gennaio 2025, ha rappresentato una scossa per il panorama ICT delle aziende finanziarie europee. La quasi totalità degli intervistati riconosce oggi la centralità del tema: il 94% delle organizzazioni attribuisce al DORA una priorità maggiore rispetto ai mesi precedenti l’entrata in vigore e il 40% lo identifica come una priorità assoluta nell’ambito della resilienza digitale. Tuttavia, il percorso verso la piena aderenza ai requisiti resta disseminato di difficoltà operative, organizzative ed economiche.
Tra carichi normativi e vincoli economici
Oltre alla volontà di adeguamento, emergono anche le difficoltà concrete che ostacolano l’adozione del regolamento. Il 41% delle organizzazioni segnala un aumento della pressione sui team IT e di sicurezza, mentre il 37% denuncia un incremento dei costi da parte dei fornitori di servizi ICT. Una parte significativa delle aziende – il 22% – percepisce il carico normativo come un limite all’innovazione, mentre un 20% lamenta la mancanza di budget dedicato all’adeguamento.
Sebbene molte organizzazioni abbiano già integrato i requisiti del DORA nei propri programmi di resilienza digitale, permangono aree critiche. Un’azienda su quattro non ha ancora avviato test di continuità operativa, non ha implementato procedure di segnalazione degli incidenti, non ha nominato un responsabile per il DORA o non ha verificato l’integrità e la capacità di recupero dei backup. Inoltre, il 23% delle organizzazioni non ha ancora svolto test specifici sulla resilienza operativa digitale.
Uno degli ostacoli maggiori identificati dal campione riguarda la gestione del rischio dei fornitori terzi, considerata la parte più difficile da implementare da oltre un terzo degli intervistati. Nonostante solo il 20% non abbia ancora adottato misure in questo ambito, la limitata visibilità sulle operazioni dei partner e la complessità delle supply chain ICT rendono questo requisito particolarmente sfidante.
DORA come leva di trasformazione
Secondo Edwin Weijdema, Field CTO EMEA di Veeam, il regolamento europeo rappresenta un’opportunità per spingere le aziende verso un ripensamento strutturale della resilienza digitale. Non si tratta solo di rispondere a un obbligo normativo, ma di abilitare una cultura della resilienza che possa rendere le organizzazioni più solide, reattive e sostenibili nel tempo. Tuttavia, afferma Weijdema, l’adeguamento richiede visione strategica, budget adeguato e integrazione tra competenze IT, sicurezza e compliance.
Per supportare questo percorso, Veeam – in collaborazione con McKinsey – ha sviluppato il Data Resilience Maturity Model (DRMM), un framework metodologico pensato per aiutare le organizzazioni a valutare e migliorare il proprio livello di resilienza dei dati. Il modello integra visione tecnica e organizzativa, fornendo una roadmap per affrontare le sfide poste da regolamenti come il DORA e per consolidare una strategia di continuità operativa su scala aziendale.
Non mancano, tuttavia, le critiche alla formulazione del regolamento: il 22% delle aziende intervistate ritiene che il DORA sarebbe potuto essere progettato con maggiore chiarezza e semplicità, in particolare per quanto riguarda la gestione del rischio dei fornitori esterni.
Oltre la compliance: verso un modello olistico di resilienza
La fotografia emersa dal sondaggio conferma che il DORA sta effettivamente spingendo il settore finanziario a evolversi, ma il traguardo della piena conformità è ancora distante. Il vero nodo non è solo tecnico o normativo, ma culturale: raggiungere la resilienza operativa richiede un approccio olistico in cui l’IT non lavora in silos ma in sinergia con le funzioni di business, di sicurezza e con il top management.
Il regolamento europeo ha dunque acceso i riflettori su un’esigenza sistemica: quella di mettere al centro la resilienza dei dati come fondamento della continuità operativa, della protezione degli asset digitali e della fiducia dei clienti, ma su questo terreno la trasformazione è appena cominciata.