Storia e mission

La nostra storia, i nostri valori, i nostro obiettivi, il nostro ecosistema

SMI Technologies & Consulting

Smart Managed Innovation, servizi ICT

Younified

La nuova azienda specializzata in servizi di assistenza per l’automotive

WYL

Un rivoluzionario sistema di Intelligenza Artificiale al servizio delle tue passioni

SM Innovation Polska

La rivoluzione della service integration. Un riferimento chiave per le imprese del territorio

Younified Platform

Fatture, Time Sheet, Contabilità, Logistica, IOT: servizi per monitorare la tua attività

Whistleblowing

La soluzione di SMI per la gestione delle segnalazioni whistleblowing
22 Gennaio 2025

NIS 2 e DORA: cosa prevedono, differenze e come conformarsi

La crescente complessità del panorama normativo europeo in materia di sicurezza informatica e resilienza digitale richiede alle aziende di affrontare nuove sfide. Tra queste, le normative NIS 2 e DORA rappresentano due pilastri fondamentali per garantire la protezione delle infrastrutture critiche e la continuità operativa nei settori strategici. Mentre la NIS 2 si concentra su una vasta gamma di industrie cruciali, come energia, trasporti e sanità, DORA è specificamente pensata per il settore finanziario, introducendo regole uniformi per la gestione del rischio tecnologico e delle comunicazioni ICT.

Entrambe le normative condividono l’obiettivo di rafforzare la resilienza digitale, ma si differenziano per ambiti di applicazione e modalità di attuazione, imponendo requisiti specifici che le organizzazioni devono rispettare per evitare sanzioni significative e garantire la propria sicurezza operativa. 
Vediamo in dettaglio.

Cosa prevede la direttiva NIS2?

La NIS 2, ufficialmente Direttiva (UE) 2022/2555, rappresenta un passo fondamentale nel rafforzamento della sicurezza informatica e nella resilienza del panorama digitale europeo.  
Entrata in vigore a livello europeo nel 2023 e recepita nel nostro ordinamento con il Decreto Legislativo n.138/2024, in vigore dal 16 ottobre dello scorso anno, questa normativa introduce obblighi più stringenti per le organizzazioni pubbliche e private, imponendo misure di gestione del rischio, reporting degli incidenti e verifiche di conformità. La direttiva si rivolge a enti che operano in settori critici e strategici, sia di grandi che di medie dimensioni, inclusi quelli che forniscono servizi essenziali o infrastrutture critiche. Tra le innovazioni più rilevanti, NIS 2 amplia il campo di applicazione della normativa precedente, includendo più settori e definendo criteri chiari per identificare le organizzazioni soggette, con un focus particolare sulla sicurezza delle catene di approvvigionamento ICT e sui rischi derivanti dai fornitori: la direttiva interessa infatti complessivamente 18 settori strategici, tra i quali energia, trasporti, servizi bancari, infrastrutture dei mercati finanziari, sanità, fornitura di acqua potabile, gestione delle acque reflue, infrastrutture digitali, servizi ICT, amministrazioni pubbliche e il settore spaziale, ovvero ambiti in cui eventuali interruzioni di servizio potrebbero generare conseguenze significative. 
La normativa suddivide le organizzazioni in “Soggetti Essenziali” e “Soggetti Importanti”, in base a criteri come la dimensione aziendale e il fatturato, con l’obiettivo di proporzionare le misure di sicurezza alla scala e all’impatto potenziale delle organizzazioni coinvolte. Sono soggetti essenziali le aziende operanti nei settori definiti ad alta criticità e che, contestualmente, abbiano più di 250 occupati nonché un fatturato annuo superiore ai 50 milioni di euro oppure un totale di bilancio annuo superiore ai 43 milioni di euro; i soggetti indicati come critici dalla direttiva CER, i fornitori di reti pubbliche di comunicazione elettronica e di servizi di comunicazione elettronica accessibili al pubblico, classificati come medie imprese (che abbiano cioè meno di 250 occupati nonché un fatturato annuo non superiore ai 50 milioni di euro oppure un totale di bilancio annuo non superiore ai 43 milioni di euro) i prestatori di servizi fiduciari qualificati, i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi di sistema dei nomi di dominio indipendentemente dalle loro dimensioni; le pubbliche amministrazioni centrali, indipendentemente dalle loro dimensioni.
Anche le imprese di medie dimensioni, con una forza lavoro compresa tra 50 e 250 dipendenti e un fatturato o bilancio tra 10 e 50 milioni di euro, possono essere incluse. Per quanto riguarda le Pubbliche Amministrazioni, i criteri di applicazione sono più flessibili, lasciando agli Stati Membri la possibilità di adattare l’applicazione della direttiva alle specificità nazionali.

Un elemento distintivo della NIS 2 è l’introduzione di responsabilità personali per i dirigenti di enti essenziali e importanti. Le autorità competenti hanno nuovi poteri di supervisione, come ispezioni, verifiche ad hoc e scansioni di sicurezza e potranno imporre sanzioni amministrative significative in caso di non conformità, che includono multe fino a 10 milioni di euro o il 2% del fatturato globale annuale per gli enti essenziali. Inoltre, la direttiva stabilisce norme rigorose per la segnalazione degli incidenti, con obblighi di notifica che includono un avviso preliminare entro 24 ore dall’identificazione di un evento significativo. 

Cos'è il Regolamento DORA?

Il Digital Operational Resilience Act (DORA) è un regolamento dell'Unione Europea pensato per creare un quadro normativo vincolante e uniforme per la gestione del rischio tecnologico e delle comunicazioni ICT nel settore finanziario. Con l’entrata in vigore prevista per il 17 gennaio 2025, DORA introduce standard tecnici che istituzioni finanziarie e fornitori tecnologici di servizi critici devono implementare per garantire la resilienza operativa e mitigare i rischi ICT. Prima della sua adozione, la gestione del rischio ICT nell’UE era frammentata, con regole che variavano da Stato a Stato, generando difficoltà per le istituzioni finanziarie. DORA risolve questo problema armonizzando le normative a livello europeo, garantendo regole coerenti e rafforzando la sicurezza e la resilienza dell’intero sistema finanziario.

Il regolamento si applica non solo a banche, istituti di credito e società di investimento, ma anche a fornitori di servizi tecnologici critici, come cloud provider e data center, e a piattaforme di finanza alternativa come quelle per asset digitali e crowdfunding. Tra gli obblighi chiave introdotti da DORA vi sono la creazione di framework completi per la gestione del rischio ICT, l’adozione di piani di continuità operativa e di disaster recovery, la regolare verifica dei sistemi tramite test di resilienza operativa e la gestione attiva dei rischi derivanti dai fornitori terzi. La normativa stabilisce inoltre che le autorità competenti di ciascun Stato membro dell’UE, così come le Autorità di Supervisione Europee (ESAs), avranno il compito di vigilare sull’implementazione e sul rispetto delle regole, con sanzioni severe per le entità non conformi.

DORA sottolinea l’importanza della collaborazione tra le istituzioni finanziarie e i loro fornitori ICT, imponendo contratti specifici per la gestione dei rischi derivanti da terze parti. Le imprese finanziarie devono mappare le proprie dipendenze dai fornitori, garantendo una distribuzione equilibrata delle funzioni critiche tra diversi provider per evitare concentrazioni rischiose. Per i fornitori critici, identificati come tali dalla Commissione Europea, è previsto un monitoraggio diretto da parte delle ESAs, con la possibilità di applicare multe significative e di sospendere contratti non conformi. Inoltre, il regolamento incoraggia la condivisione volontaria di informazioni sulle minacce, per migliorare la capacità collettiva di affrontare i rischi e rafforzare la sicurezza dell’intero settore. 

Differenze tra NIS2 e DORA

Il Digital Operational Resilience Act (DORA) e la Network and Information Security Directive (NIS 2) condividono l’obiettivo di rafforzare la sicurezza informatica e la resilienza digitale, ma si distinguono per ambiti di applicazione, approccio e requisiti specifici. Entrambe cercano di affrontare i crescenti rischi legati alla digitalizzazione e garantire che le organizzazioni che operano in settori critici adottino standard di sicurezza adeguati. 
Tuttavia, mentre NIS 2 si presenta come una direttiva, quindi richiede la trasposizione negli ordinamenti nazionali dei singoli Stati membri entro il 2024, DORA è un regolamento direttamente applicabile, che entrerà in vigore in tutta l'Unione Europea nel gennaio 2025 senza necessità di ulteriori interventi legislativi. Questa differenza di struttura normativa implica che le aziende soggette a DORA debbano adeguarsi più rapidamente rispetto a quelle interessate dalla NIS 2.

Un’altra differenza significativa tra le due normative riguarda l’ambito di applicazione. 
NIS 2 si rivolge a un’ampia gamma di settori considerati critici per la società e l’economia, come energia, trasporti, sanità, infrastrutture digitali e approvvigionamento idrico, puntando a proteggere servizi essenziali per la popolazione e la stabilità economica. 
DORA, invece, è specificamente progettata per il settore finanziario, includendo banche, compagnie assicurative, fornitori di servizi di investimento e altri operatori finanziari. Inoltre, DORA si applica anche ai fornitori di servizi tecnologici critici per il settore finanziario, come i provider di cloud e centri dati, sottolineando la necessità di una resilienza operativa digitale per proteggere l’economia da rischi sistemici. Questa specializzazione di DORA nel settore finanziario riflette la sua vocazione a garantire che istituzioni finanziarie e fornitori ICT seguano standard rigorosi per mitigare i rischi specifici del comparto.

Un aspetto comune tra DORA e NIS 2 è invece l’introduzione di responsabilità personali per i dirigenti, che possono essere chiamati a rispondere in caso di violazioni gravi dei requisiti di sicurezza. Tuttavia, mentre NIS 2 prevede un sistema sanzionatorio articolato per le aziende di settori critici, DORA si concentra maggiormente sui fornitori ICT critici, permettendo agli organi di supervisione europei di imporre multe significative per inadempienze. Infine, le due normative possono sovrapporsi per le istituzioni finanziarie considerate infrastrutture critiche, obbligandole a rispettare sia i requisiti specifici di DORA sia le prescrizioni generali di NIS 2. Questa complementarità sottolinea l’importanza di sviluppare strategie di conformità integrate per garantire la piena adesione a entrambe le normative e rafforzare la sicurezza digitale in modo efficace e coerente.

Come devono prepararsi le aziende per conformarsi a queste normative?

Per prepararsi adeguatamente a rispettare le normative DORA e NIS2, le aziende devono adottare un approccio strategico e proattivo alla sicurezza informatica, implementando una serie di misure fondamentali. 

Inventario

Il primo passo è creare un inventario completo di tutti gli asset IT, inclusi hardware, software, dati e infrastrutture di rete. Questo inventario consente di identificare il perimetro di rischio, comprendere le interdipendenze tra i vari sistemi e individuare le vulnerabilità potenziali. Una mappatura dettagliata degli asset è cruciale sia per l’analisi dei rischi che per la definizione delle politiche di sicurezza.

Cyber hygiene

Parallelamente, è fondamentale migliorare le pratiche di cosiddetta “cyber hygiene” e la consapevolezza dei dipendenti. Le persone sono spesso il punto debole nei sistemi di sicurezza, e attacchi come il phishing rappresentano una minaccia significativa. Le aziende devono investire in programmi di formazione continua che coprano temi quali il riconoscimento delle email sospette, la sicurezza delle password, e l’uso responsabile delle risorse aziendali. Questi programmi possono ridurre drasticamente il rischio di errori umani che potrebbero compromettere la sicurezza.

Gestione delle vulnerabilità

Un'altra priorità è implementare una gestione efficace delle vulnerabilità, che prevede l’adozione di processi per individuare, valutare e risolvere tempestivamente i punti deboli nei sistemi e nelle applicazioni. Questo include l’esecuzione regolare di scansioni delle vulnerabilità e l’applicazione tempestiva di patch di sicurezza. 

Incident detect and response

Altrettanto importante è sviluppare un sistema di rilevamento e risposta agli incidenti. Le aziende devono dotarsi di strumenti come i sistemi di gestione degli eventi di sicurezza (SIEM), intrusion detection systems e team dedicati alla gestione degli incidenti. Questi strumenti sono essenziali per individuare, gestire e mitigare rapidamente le minacce.

Risk management

Oltre ai punti indicati, le aziende dovrebbero integrare procedure di gestione del rischio nei loro processi, valutando regolarmente l'impatto dei rischi ICT sulle operazioni e implementando misure di mitigazione proporzionate. È consigliabile anche adottare piani di continuità operativa e disaster recovery, per garantire la resilienza delle attività in caso di interruzioni. Infine, rafforzare la gestione dei fornitori terzi è essenziale: le aziende devono valutare i rischi associati ai loro partner e assicurarsi che i contratti includano clausole specifiche per la sicurezza e la conformità alle normative.

Il valore della partnership con SMI

SMI si propone come partner strategico per la compliance a quanto richiesto da DORA e NIS2, grazie a un approccio integrato e proattivo che combina Governance, Risk e Compliance con soluzioni di cybersecurity avanzate. Attraverso una gestione strutturata dei rischi, attività di auditing e l'implementazione di strategie allineate ai requisiti normativi, SMI non solo identifica e mitiga le vulnerabilità, ma aiuta anche le organizzazioni a trasformare la conformità normativa in un vantaggio competitivo.

Grazie alla capacità di restituire rapidamente un quadro chiaro del livello di sicurezza e di implementare soluzioni tecnologiche all’avanguardia, SMI consente alle aziende di anticipare i rischi anziché limitarsi a reagire. Questo approccio, supportato da un team multidisciplinare certificato, favorisce la creazione di una cultura del rischio condivisa e una comunicazione più trasparente con tutti gli stakeholder, interni ed esterni. 

NIS 2 e DORA: cosa prevedono, differenze e come conformarsi ultima modifica: 2025-01-22T15:13:41+01:00 da Sara Comi

Altri articoli che potrebbero interessarti:

27 Novembre 2024

Malware: significato, come rimuoverlo, come proteggersi

I malware rappresentano una delle minacce più insidiose nel panorama della sicurezza informatica, con un impatto che spazia dal furto di dati sensibili alla compromissione di intere infrastrutture aziendali. Questi software malevoli evolvono continuamente, adottando tecniche sofisticate per eludere i sistemi di difesa tradizionali e colpire dispositivi personali e reti aziendali. Comprendere la natura dei malware, le loro modalità di propagazione e i danni che possono causare è fondamentale per adottare strategie di prevenzione e risposta efficaci. Questo approfondimento esplora le diverse tipologie di malware, i metodi utilizzati dagli attaccanti e le migliori pratiche per proteggersi in un contesto di minacce sempre più avanzate.
27 Novembre 2023

Next generation firewall: cos’è

L’attuale panorama delle minacce informatiche è costituito da attività sempre più complesse da fronteggiare per la cybersecurity delle aziende, in tutti i settori di business. I cybercriminali si avvalgono di organizzazioni molto efficienti, capaci di sfruttare molti vettori di attacco per penetrare in maniera malevole all’interno dei sistemi IT delle imprese, grazie a tecnologie sempre più evolute, come l’intelligenza artificiale generativa.
23 Novembre 2023

Incident response plan: cos’è e come crearne uno

L’incident response è un insieme di procedure utili a rispondere in maniera efficace agli incidenti di sicurezza informatica. L’obiettivo dell’incident response risiede nel contenere il più possibile i danni, mitigando l’azione nociva, oltre a favorire il ripristino nel minor tempo possibile dei sistemi e dei dati aziendali alla condizione che ha preceduto l’incidente stesso.