In data 16.01.2023 è entrato in vigore il Regolamento UE 2022/2554 – Digital Operational Resilience Act (Regolamento sulla resilienza operativa e digitale per il settore finanziario “Regolamento DORA”), diventato poi attuativo a decorrere dal 17 gennaio 2025. 
Il Regolamento stabilisce obblighi uniformi per le entità finanziarie, compresi i fondi pensione, relativamente alla sicurezza dei sistemi informatici e di rete. Tali obblighi riguardano, tra l’altro, il sistema di gestione dei rischi, la governance e gli accordi contrattuali stipulati dalle entità finanziarie con i fornitori terzi di servizi ICT (cioè servizi riconducibili alle tecnologie dell’informazione e della comunicazione).
Il Regolamento DORA prevede altresì:

• la comunicazione obbligatoria degli attacchi informatici;
• test periodici (es. penetration test o vulnerability test) per verificare la solidità dei sistemi;
• il controllo ed il monitoraggio dei fornitori di servizi digitali critici;
• la definizione di requisiti di sicurezza e continuità operativa per i partner tecnologici
• l’implementazione di strategie per identificare, valutare e mitigare i rischi informatici.

Per i fondi pensioni l’autorità competente ad effettuare controlli in materia è ancora una volta la COVIP.