NIS 2 e DORA: Due Facce della Stessa Medaglia Cyber

Il panorama della sicurezza informatica europea è in continua evoluzione, e le recenti direttive NIS 2 e DORA ne sono la prova più lampante. Ma cosa significano realmente queste normative per le aziende e le istituzioni?

NIS 2 e DORA: L'Europa stringe le maglie della cybersecurity

Il panorama della sicurezza informatica europea è in continua evoluzione, e le recenti direttive NIS 2 e DORA ne sono la prova più lampante. Ma cosa significano realmente queste normative per le aziende e le istituzioni? E, soprattutto, come si inseriscono nel complesso mosaico della resilienza digitale? Andiamo a fondo, esplorando le convergenze e le differenze tra queste due importanti normative che stanno ridisegnando gli obblighi di cybersecurity nel Vecchio Continente.

La direttiva NIS 2, recepita in Italia con il D.lgs. 138/2024, è un pilastro fondamentale per garantire un elevato livello comune di sicurezza informatica in tutta l'Unione Europea. Il suo obiettivo è chiaro: migliorare il funzionamento del mercato interno attraverso una cyber-resilienza rafforzata. Questa direttiva si rivolge a circa 20.000 organizzazioni in diversi settori, imponendo misure per la gestione dei rischi, la notifica degli incidenti e la condivisione delle informazioni. Non è un compito da poco, considerando la vastità e la complessità del tessuto economico europeo.

DORA: La Specializzazione Finanziaria della Resilienza

Dall'altra parte abbiamo DORA, acronimo di Digital Operational Resilience Act (Regolamento UE 2022/2554). Questa normativa è la risposta specifica del settore finanziario alle crescenti minacce cibernetiche. Non si tratta di un generico invito alla sicurezza, ma di un regolamento che mira a rafforzare la capacità delle entità finanziarie di costruire, mantenere e riesaminare la propria integrità e affidabilità operativa. In pratica, DORA vuole assicurarsi che banche, assicurazioni e altre istituzioni finanziarie siano in grado di proteggere i loro sistemi e reti ICT da interruzioni e minacce, garantendo la continuità dei servizi essenziali. La sicurezza informatica qui non è un'opzione, ma un elemento intrinseco della resilienza operativa.

Convergenze e Divergenze: Un Confronto Illuminante

Le finalità di DORA e NIS 2 sono, in fondo, convergenti: entrambe puntano a una maggiore sicurezza e resilienza digitale. Tuttavia, come sottolineato da Giancarlo Butti di Cybersecurity360 AI, DORA si configura come una lex specialis rispetto alla NIS 2. Questo significa che, pur operando nello stesso campo, DORA è molto più dettagliata e analitica nelle sue prescrizioni, agendo quasi come un "sottoinsieme esteso" del quadro generale definito dalla NIS 2. Pensateci: se la NIS 2 è la mappa generale del rischio cyber, DORA è la cartina topografica dettagliata per il territorio finanziario.

Un'analisi comparativa basata sulle evidenze normative rivela un divario significativo nel dettaglio prescrittivo. Il decreto legislativo italiano di recepimento della NIS 2 dedica pochi articoli alla sicurezza informatica, concentrandosi più sulla strategia nazionale e sulla gestione delle crisi. Al contrario, DORA dedica ben 37 articoli su 64 a requisiti specifici di sicurezza e resilienza ICT, coprendo la gestione dei rischi, la notifica degli incidenti, i test di resilienza operativa digitale e la gestione dei rischi da terze parti. Questo è un segnale chiaro: il settore finanziario, per sua natura, richiede un approccio molto più granulare e rigoroso.

Anche a livello di normative secondarie e atti esecutivi, la differenza è notevole. Mentre la NIS 2 si avvale di un regolamento di esecuzione con 16 articoli e un allegato tecnico, e si integra con le linee guida dell'ACN, DORA prevede ben 16 atti normativi integrativi, tra regolamenti delegati e di esecuzione, per un totale di oltre 125 articoli dedicati alla sicurezza ICT. Questo porta DORA e i suoi documenti collegati a superare i 160 articoli complessivi, contro i circa 40 "equivalenti" della NIS 2. La mole di lavoro per conformarsi a DORA è, di conseguenza, decisamente maggiore.

L'Importanza del Dettaglio: Continuità Operativa e Fornitori Terzi

Il divario emerge con forza quando si analizzano requisiti specifici. Prendiamo la continuità operativa: DORA le dedica circa 14.000 caratteri, mentre la NIS 2 si ferma a circa 6.600. Ancora più marcata la differenza nella gestione dei fornitori: la NIS 2 ne parla per circa 6.000 caratteri, DORA per ben 21.000 caratteri solo nella normativa principale, a cui si aggiungono due regolamenti delegati specifici e un regolamento esecutivo sui modelli informativi standard. Questo evidenzia come DORA non lasci nulla al caso quando si tratta di esternalizzazioni e dipendenze da terze parti, un punto cruciale per la resilienza del settore finanziario.

In sintesi, la NIS 2 fornisce una base solida e necessaria per la cybersecurity in Europa, ma DORA la eleva a un livello superiore per il settore finanziario, offrendo un framework molto più dettagliato e prescrittivo. Quindi, se la vostra azienda rientra nell'ambito di applicazione di entrambe le normative, è fondamentale adottare un approccio sinergico. Utilizzare le specifiche di DORA come guida per l'implementazione dei requisiti della NIS 2 può essere una strategia vincente, garantendo non solo la conformità, ma anche una robusta postura di sicurezza che va oltre il minimo indispensabile. In un mondo sempre più interconnesso, la resilienza digitale non è un lusso, ma una necessità impellente. E l'Europa, con queste direttive, sta dimostrando di averlo capito bene.