Dal 17 gennaio 2025 ogni istituzione finanziaria dell’Unione Europea opera sotto DORA. Dal 17 ottobre 2024, migliaia di aziende italiane in 18 settori critici devono rispettare la Direttiva NIS2. Due normative diverse, due logiche diverse, sanzioni che raggiungono i €10 milioni o il 2% del fatturato globale. Capire quale si applica alla tua organizzazione, e dove si sovrappongono, è diventato il primo compito del CISO nel 2026.
Questo confronto analizza ogni dimensione rilevante: ambito di applicazione, obblighi tecnici, tempistiche di notifica degli incidenti, test di resilienza, gestione dei fornitori ICT e costi di conformità. I dati provengono da ISACA, Deloitte, EBA e dalle stesse normative UE in testo ufficiale.
NIS2 e DORA nel 2026: il contesto normativo europeo
L’Unione Europea ha costruito negli ultimi due anni un’architettura normativa sulla cybersecurity senza precedenti. La Direttiva NIS2 (Direttiva UE 2022/2555) e il Regolamento DORA (Regolamento UE 2022/2554) sono i due pilastri di questa architettura. Entrambi affrontano la resilienza digitale, ma da prospettive radicalmente diverse: NIS2 è orizzontale, copre 18 settori critici; DORA è verticale, si applica esclusivamente al settore finanziario.
La confusione nasce dal fatto che molte organizzazioni, in particolare le banche, le assicurazioni e le infrastrutture di mercato, ricadono sotto entrambe. Sbagliare la mappatura significa o sottostimare gli obblighi (rischiando sanzioni) o moltiplicare inutilmente i costi di conformità assumendo che le due normative siano identiche quando non lo sono.
In Italia, il recepimento della NIS2 è avvenuto con il D.Lgs. 138/2024, mentre DORA si applica direttamente senza necessità di recepimento nazionale in quanto regolamento. L’Agenzia per la Cybersicurezza Nazionale (ACN) supervisiona NIS2 in Italia, mentre Banca d’Italia, CONSOB e IVASS vigilano sull’applicazione di DORA per i rispettivi comparti finanziari.
Il panorama della conformità europeo si è così arricchito nel giro di 24 mesi di tre grandi strumenti: NIS2 (ottobre 2024), DORA (gennaio 2025) e il Cyber Resilience Act (con obblighi progressivi fino al 2027). Per le aziende italiane che operano in settori regolamentati, la sovrapposizione di questi framework crea complessità reali, costi concreti e rischi sanzionatori significativi.
Cos’è la Direttiva NIS2: ambito e obiettivi
La Direttiva NIS2, entrata in vigore come strumento di recepimento obbligatorio entro il 17 ottobre 2024, sostituisce la precedente NIS1 estendendo significativamente il perimetro di applicazione. La direttiva copre 18 settori critici suddivisi in due categorie.
I settori ad alta criticità (allegato I della direttiva) includono: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT (business-to-business), pubblica amministrazione e spazio. I settori critici (allegato II) includono: servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, industria manifatturiera, fornitori di servizi digitali e organizzazioni di ricerca.
Le soglie dimensionali per l’applicabilità sono precise. Le entità essenziali devono avere almeno 250 dipendenti oppure un fatturato annuo di almeno €50 milioni e un totale di bilancio di almeno €43 milioni. Le entità importanti devono avere almeno 50 dipendenti oppure un fatturato annuo di almeno €10 milioni. Le microimprese e le piccole imprese sono generalmente escluse, salvo eccezioni specifiche per fornitori DNS, registri dei nomi a dominio di primo livello e fornitori di servizi fiduciari qualificati.
L’ACN italiana ha stimato che circa 12.000 aziende ricadono nell’ambito NIS2 in Italia. La stima include grandi gruppi industriali, utility energetiche, ospedali pubblici e privati, fornitori di infrastrutture cloud e operatori di telecomunicazioni. La registrazione obbligatoria sulla piattaforma ACN era richiesta entro il primo trimestre del 2025, e molte aziende hanno affrontato difficoltà nel comprendere se la propria attività rientrasse nelle categorie previste dal D.Lgs. 138/2024.
Un aspetto spesso sottovalutato di NIS2 è il principio di responsabilità del management. Il board e i dirigenti apicali non possono più semplicemente delegare la cybersecurity al team IT: la direttiva richiede che gli organi di amministrazione approvino le misure di gestione del rischio, ricevano formazione periodica sulla sicurezza informatica e possano essere ritenuti personalmente responsabili in caso di violazioni gravi. Questa disposizione ha cambiato il dibattito sulla cybersecurity nelle sale riunioni italiane, portandola dal livello operativo al livello strategico.
Cos’è il Regolamento DORA: ambito e obiettivi
Il Regolamento DORA (Digital Operational Resilience Act) è in vigore come regolamento direttamente applicabile dal 17 gennaio 2025 in tutti gli Stati membri. A differenza della NIS2, DORA non richiede recepimento nazionale: le sue disposizioni si applicano automaticamente a tutte le entità finanziarie nell’UE, creando per la prima volta un regime uniforme di resilienza digitale per il settore finanziario europeo.
L’ambito di applicazione comprende 21 categorie di entità finanziarie, tra cui: banche e istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, gestori di fondi di investimento alternativi, gestori di OICVM, controparti centrali, depositari centrali di titoli, sedi di negoziazione, registri delle operazioni, imprese assicurative e riassicurative, intermediari assicurativi, fondi pensionistici aziendali, agenzie di rating del credito, fornitori di servizi per le cripto-attività (CASP) e istituti di emissione di moneta elettronica.
Una differenza fondamentale rispetto alla NIS2: DORA non prevede soglie dimensionali generali. Se un’entità è un’entità finanziaria regolamentata, è soggetta a DORA indipendentemente dal numero di dipendenti o dal fatturato. Questo significa che anche una piccola fintech con 10 dipendenti che ha ottenuto la licenza come istituto di pagamento è pienamente soggetta a tutti gli obblighi DORA, inclusi framework ICT documentato, registro dei fornitori ICT e programma di test di resilienza.
L’obiettivo di DORA è garantire che le entità finanziarie possano resistere, rispondere e riprendersi da tutti i tipi di perturbazioni e minacce legate alle ICT. Secondo l’Autorità Bancaria Europea (EBA), questo richiede un approccio integrato che copre cinque pilastri operativi: gestione del rischio ICT, classificazione e segnalazione degli incidenti, test di resilienza operativa digitale, gestione del rischio ICT di terze parti e scambio di informazioni tra entità finanziarie.
La scelta dello strumento giuridico, un regolamento invece di una direttiva, è stata deliberata: la Commissione Europea voleva evitare le asimmetrie di implementazione che avevano caratterizzato la NIS1, dove alcune entità in Stati membri con enforcement più blando godevano di un vantaggio competitivo rispetto a quelle in mercati con supervisori più rigorosi. Con DORA, questa asimmetria non è possibile almeno a livello normativo, anche se differenze nell’enforcement pratico tra le autorità nazionali permangono.
NIS2 vs DORA: tabella comparativa completa
La tabella seguente confronta i parametri chiave delle due normative su 13 dimensioni critiche per la pianificazione della conformità:
| Parametro | NIS2 (Direttiva UE 2022/2555) | DORA (Regolamento UE 2022/2554) |
|---|---|---|
| Strumento giuridico | Direttiva (recepimento nazionale entro ottobre 2024) | Regolamento (applicazione diretta dal 17 gennaio 2025) |
| Settori coperti | 18 settori critici (allegati I e II) | Settore finanziario esclusivamente (21 categorie) |
| Soglia dimensionale | Entità medie e grandi (≥50 dipendenti o ≥€10M fatturato) | Nessuna soglia generale: qualsiasi entità regolamentata |
| Prima notifica incidente | Early warning entro 24 ore dalla rilevazione | Notifica iniziale entro 4 ore dalla classificazione |
| Notifica intermedia | Notifica completa entro 72 ore | Report intermedio entro 72 ore |
| Report finale incidente | Entro 1 mese | Entro 1 mese |
| Sanzione massima (entità essenziali) | €10 milioni o 2% fatturato globale (il maggiore) | 2% fatturato globale annuo + penali giornaliere |
| Sanzione massima (entità importanti) | €7 milioni o 1,4% fatturato globale (il maggiore) | N/A: DORA non differenzia per dimensione dell’entità |
| Responsabilità personale manager | Sospensione temporanea dalle funzioni | Sanzioni personali fino a €1 milione |
| Test di resilienza obbligatori | Test periodici (metodologia flessibile) | TLPT (TIBER-EU) ogni 3 anni per entità significative |
| Gestione fornitori ICT | Obblighi contrattuali per fornitori critici | Registro formale di tutti i fornitori ICT (scadenza 30 aprile 2026) |
| Supervisore in Italia | ACN (Agenzia per la Cybersicurezza Nazionale) | Banca d’Italia, CONSOB, IVASS per settore |
| Costi di conformità stimati | €200K-€800K+ per settore e dimensione | €2M-€5M per la maggior parte delle istituzioni (Deloitte) |
Chi deve conformarsi: criteri di applicabilità dettagliati
Il punto di partenza per qualsiasi CISO o responsabile della conformità è determinare se l’organizzazione ricade sotto NIS2, DORA, entrambe o nessuna delle due. Il processo non è sempre lineare, e molte aziende italiane hanno scoperto solo dopo la data di applicabilità di essere nell’ambito normativo senza saperlo.
Test di applicabilità NIS2
Per la NIS2, il primo filtro è il settore di attività. Se l’organizzazione opera in uno dei 18 settori elencati negli allegati I e II, si passa al secondo filtro: la dimensione. Se l’azienda supera le soglie per entità essenziale (≥250 dipendenti oppure fatturato ≥€50M e bilancio ≥€43M) o per entità importante (≥50 dipendenti o fatturato ≥€10M), è soggetta agli obblighi NIS2 nel rispettivo Stato membro.
Esistono però categorie di entità che devono conformarsi indipendentemente dalla dimensione, tra cui: fornitori di servizi DNS, registri dei nomi a dominio di primo livello, fornitori di servizi di cloud computing, fornitori di data center e reti per la distribuzione di contenuti. Queste eccezioni colpiscono anche piccole imprese ad alto impatto sistemico. Un piccolo provider DNS con 15 dipendenti che gestisce l’infrastruttura per centinaia di aziende è soggetto a NIS2 esattamente come un’utility energetica da 5.000 dipendenti.
Test di applicabilità DORA
Per DORA, il test è più diretto: l’organizzazione è un’entità finanziaria regolamentata nell’UE? Se sì, è soggetta a DORA. Non importa la dimensione. Una piccola neo-banca con licenza bancaria in Italia ha gli stessi obblighi DORA di una grande banca sistemica internazionale. DORA prevede alcune misure proporzionali per le microimprese finanziarie (meno di 10 dipendenti e fatturato o bilancio inferiore a €2 milioni) in specifiche disposizioni, ma queste non costituiscono un’esenzione complessiva dagli obblighi del regolamento.
Il caso delle società fintech è particolarmente rilevante per il mercato italiano, dove negli ultimi anni si sono moltiplicate startup con licenze CONSOB o Banca d’Italia. Un istituto di pagamento con 12 dipendenti e una licenza regolamentare è pienamente soggetto a DORA, inclusi gli obblighi di test di resilienza, registro fornitori ICT e framework di gestione del rischio ICT approvato dal board. Questa realtà ha creato un mercato emergente di soluzioni DORA-as-a-service specificamente progettate per le entità finanziarie di piccole dimensioni.
Obblighi di gestione del rischio ICT: cosa richiedono entrambe
La gestione del rischio ICT è il nucleo operativo di entrambe le normative. Tuttavia, il livello di dettaglio e le strutture richieste differiscono significativamente, con DORA che adotta un approccio notevolmente più prescrittivo.
Sotto NIS2, le entità devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi di sicurezza delle reti e dei sistemi informativi. La direttiva identifica dieci categorie di misure obbligatorie: politiche di analisi dei rischi e sicurezza dei sistemi informativi; gestione degli incidenti; continuità operativa e gestione delle crisi; sicurezza della catena di approvvigionamento; sicurezza nell’acquisizione, sviluppo e manutenzione di sistemi ICT; politiche e procedure di valutazione dell’efficacia; pratiche di igiene informatica di base e formazione; politiche e procedure di crittografia e cifratura; sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset; e uso di soluzioni di autenticazione a più fattori.
Sotto DORA, il framework ICT è più prescrittivo e strutturato. Le entità devono documentare un framework formale di gestione del rischio ICT che copra l’intero ciclo di vita del rischio secondo la sequenza: identificare, proteggere, rilevare, rispondere, ripristinare e apprendere. Il framework deve includere: mappatura completa degli asset ICT con classificazione della criticità, valutazione delle dipendenze critiche interne ed esterne, procedure documentate di controllo degli accessi e gestione delle identità, scansione continua delle vulnerabilità, procedure di backup e disaster recovery verificate periodicamente, e review obbligatoria dell’intero framework almeno una volta all’anno. Il documento finale deve essere approvato formalmente dal board o dall’organo di amministrazione equivalente.
La principale differenza pratica è che DORA richiede documentazione formale e dimostrabilità agli organi di vigilanza, mentre NIS2 lascia maggiore flessibilità sull’implementazione specifica pur mantenendo un perimetro di obblighi chiari. Un istituto finanziario sotto DORA deve poter mostrare al supervisore ogni componente del proprio framework ICT, con policy approvate dal consiglio di amministrazione e tracce audit di tutte le review periodiche. Per NIS2, il livello di documentazione atteso è meno rigidamente prescritto, anche se le autorità di vigilanza nazionali possono richiedere prove di conformità in qualsiasi momento.
Segnalazione degli incidenti: tempistiche a confronto
Le tempistiche di notifica degli incidenti rappresentano una delle differenze operative più concrete tra le due normative. Sbagliare le scadenze significa automaticamente violare la normativa, indipendentemente da quanto efficace sia stata la risposta tecnica all’incidente stesso.
| Fase | NIS2 | DORA |
|---|---|---|
| Prima notifica | Early warning entro 24 ore dalla rilevazione | Notifica iniziale entro 4 ore dalla classificazione dell’incidente |
| Notifica intermedia | Notifica completa entro 72 ore | Report intermedio entro 72 ore |
| Report finale | Report finale entro 1 mese | Report finale entro 1 mese |
| Destinatario | CSIRT nazionale (ACN in Italia) | Autorità competente nazionale (Banca d’Italia, CONSOB, IVASS) |
| Soglia di notifica | Incidenti significativi che impattano la continuità del servizio | Incidenti ICT maggiori classificati secondo i criteri RTS delle ESA |
| Classificazione incidente | Sì, con valutazione dell’impatto su servizi e utenti | Sì, secondo standard tecnici regolatori (RTS) EBA/ESMA/EIOPA |
La differenza più critica per le operazioni quotidiane è la finestra di 4 ore di DORA contro le 24 ore di NIS2 per la prima notifica. Questo non significa necessariamente che l’incidente sia già risolto in 4 ore, ma che la prima comunicazione formale all’autorità competente deve avvenire entro quella finestra dalla classificazione dell’evento come incidente ICT maggiore. Il processo di classificazione stesso deve quindi essere rapido, standardizzato e integrato nel sistema di monitoraggio.
Per soddisfare la finestra di 4 ore di DORA, le entità finanziarie devono avere processi di classificazione degli incidenti almeno parzialmente automatizzati, team di risposta pronti a operare 24 ore su 24, 7 giorni su 7, e canali di comunicazione pre-testati con le autorità competenti. Le istituzioni che hanno condotto drill di risposta agli incidenti nel 2025 hanno scoperto che, senza questi processi in atto, anche 24 ore non sarebbero sufficienti per una notifica di qualità.
DORA richiede che la classificazione degli incidenti avvenga contro criteri precisi definiti negli standard tecnici regolatori (RTS) sviluppati congiuntamente da EBA, ESMA e EIOPA. I parametri di classificazione includono: numero di clienti colpiti, durata dell’interruzione, impatto finanziario, impatto reputazionale e componente geografica dell’incidente. La combinazione di questi parametri determina se l’evento costituisce un “incidente ICT maggiore” soggetto agli obblighi di notifica.
Sanzioni e penali: NIS2 vs DORA nel dettaglio
Il regime sanzionatorio è ciò che trasforma NIS2 e DORA da esercizi formali di documentazione a obblighi aziendali con conseguenze finanziarie reali. I numeri sono significativi, e le autorità di vigilanza europee, dopo una fase iniziale di orientamento, stanno passando all’enforcement attivo.
| Tipo di sanzione | NIS2 | DORA |
|---|---|---|
| Sanzione massima (entità essenziali) | €10 milioni o 2% del fatturato annuo globale (il maggiore dei due) | 2% del fatturato annuo globale |
| Sanzione massima (entità importanti) | €7 milioni o 1,4% del fatturato annuo globale (il maggiore dei due) | N/A (DORA non categorizza per importanza dell’entità) |
| Penali per non conformità continuativa | Non specificate a livello UE (rimesse agli Stati membri) | Fino all’1% del fatturato medio giornaliero per ogni giorno |
| Responsabilità personale dei manager | Sospensione temporanea dall’esercizio delle funzioni manageriali | Sanzioni personali fino a €1 milione per i senior manager |
| Sanzioni per fornitori ICT critici (CTPP) | Non applicabile direttamente ai fornitori terzi | Fino a €5 milioni o 1% del fatturato giornaliero per ogni giorno (fino a 6 mesi) |
| Ordini di cessazione dell’attività | Previsti in casi di violazioni gravi | Previsti per entità persistentemente non conformi |
Un aspetto peculiare di DORA è la responsabilità personale dei manager fino a €1 milione. Questa disposizione modifica radicalmente il profilo di rischio degli amministratori delegati, dei responsabili finanziari e dei chief risk officer delle istituzioni finanziarie europee. Non è più sufficiente che l’organizzazione si conformi in modo adeguato: i dirigenti devono poter dimostrare di aver esercitato supervisione attiva e documentata sulla resilienza digitale della propria organizzazione.
Anche NIS2 introduce la responsabilità degli organi di amministrazione: i dirigenti di entità essenziali possono essere temporaneamente sospesi dall’esercizio delle funzioni manageriali in caso di violazioni gravi. Questa misura, inedita nella normativa europea sulla cybersecurity, rappresenta un segnale chiaro che la compliance non può essere delegata esclusivamente al team IT. Il board deve essere parte attiva del sistema di governance della cybersecurity.
Per i fornitori ICT terzi critici (CTPP), DORA introduce un regime sanzionatorio proprio: fino a €5 milioni o 1% del fatturato medio giornaliero per ogni giorno di non conformità, per un periodo massimo di 6 mesi. Questa disposizione si applica ai fornitori designati come critici dalle Autorità di vigilanza europee e rappresenta una novità assoluta: per la prima volta, i grandi cloud provider che servono il sistema finanziario europeo possono essere sanzionati direttamente dalla normativa europea, senza dover passare attraverso la responsabilità contrattuale delle istituzioni clienti.
Test di resilienza operativa digitale: TLPT e obblighi NIS2
I test di resilienza sono una delle aree dove DORA va significativamente oltre NIS2 in termini di prescrittività, rigorosità metodologica e coinvolgimento delle autorità di vigilanza nel processo di testing.
Sotto NIS2, le entità devono condurre test di sicurezza periodici come parte delle misure tecniche e organizzative obbligatorie. La direttiva non prescrive una metodologia specifica né una frequenza rigidamente definita, lasciando agli Stati membri e alle entità flessibilità nell’implementazione. In Italia, l’ACN ha pubblicato linee guida che raccomandano penetration test annuali e vulnerability assessment trimestrali per le entità essenziali, ma si tratta di raccomandazioni operative, non di obblighi normativi prescritti con la stessa rigidità di DORA.
Sotto DORA, il quadro è molto più strutturato e prescrittivo. Il Regolamento prescrive un programma completo di test di resilienza operativa digitale che include: valutazioni e scansioni delle vulnerabilità, analisi delle lacune, test di sicurezza delle reti, gap analysis, test di scenario fisico, test end-to-end su tutte le funzioni critiche o importanti, e penetration test standard. La frequenza minima varia per tipo di test, ma il programma complessivo deve essere continuo e documentato.
La misura più impegnativa è il Threat-Led Penetration Testing (TLPT), obbligatorio per le entità identificate dai supervisori come significative. Il TLPT deve essere condotto almeno ogni 3 anni, utilizzando il framework TIBER-EU o un framework nazionale equivalente riconosciuto dalle autorità, con tester esterni qualificati e indipendenti dall’entità testata. I risultati devono essere condivisi con le autorità competenti e devono alimentare piani di remediation documentati e con scadenze precise.
Il TIBER-EU (Threat Intelligence-Based Ethical Red-teaming), sviluppato dalla Banca Centrale Europea e adottato in Italia come TIBER-IT da Banca d’Italia, è il framework di riferimento per i test avanzati. Un TLPT completo per un istituto bancario medio ha un costo stimato tra €50.000 e €150.000, considerando il threat intelligence briefing preliminare, l’impegno del red team esterno per la fase di testing (tipicamente 3-6 mesi), e la gestione del remediation plan. Le grandi banche sistemiche possono sostenere costi significativamente più alti per un perimetro di test più esteso.
Gestione del rischio della supply chain ICT
Sia NIS2 che DORA riconoscono che la catena di approvvigionamento ICT è uno dei vettori di rischio più critici per le organizzazioni moderne. Gli attacchi alla supply chain, come dimostrato da numerosi incidenti nel 2024-2025, possono colpire centinaia di organizzazioni attraverso un singolo fornitore compromesso. Tuttavia, l’approccio delle due normative alla gestione di questo rischio è notevolmente diverso per struttura e prescrittività.
Sotto NIS2, le entità devono garantire la sicurezza nella catena di approvvigionamento, includendo i fornitori e i prestatori di servizi critici nel perimetro di controllo. La direttiva richiede che i rapporti con i fornitori siano governati da clausole contrattuali che impongano standard di sicurezza adeguati, e che le entità conducano valutazioni dei rischi specifici di ogni fornitore chiave. In pratica, questo si traduce in questionari di sicurezza fornitori, audit contrattuali e potenziali clausole di audit o ispezione. I fornitori IT di aziende soggette a NIS2 ricevono richieste sempre più strutturate di documentazione della propria postura di sicurezza.
Sotto DORA, il framework per i fornitori ICT terzi è molto più strutturato e formalizzato. L’obbligo più operativamente rilevante è il Registro delle informazioni, un inventario formale di tutti i rapporti contrattuali con fornitori ICT terzi. Questo registro deve essere: continuamente aggiornato con ogni modifica contrattuale, strutturato secondo i template definiti dagli standard tecnici (RTS) delle ESA, trasmesso annualmente alle autorità nazionali competenti, e inclusivo delle catene di sub-appalto critiche dei fornitori stessi.
La prima scadenza per la trasmissione del registro alle autorità nazionali era il 30 aprile 2026. Le entità che non avevano completato il mapping completo dei propri fornitori ICT in tempo hanno affrontato richieste urgenti da parte dei supervisori nazionali e, in alcuni casi, richieste di spiegazioni formali. La costruzione del registro si è rivelata un’attività molto più laboriosa del previsto per molte istituzioni, che si trovano a gestire centinaia o migliaia di rapporti contrattuali con fornitori ICT a vari livelli della catena di approvvigionamento.
DORA prevede inoltre un regime di supervisione diretta per i fornitori ICT terzi critici (CTPP): quei fornitori che servono un numero significativo di istituzioni finanziarie e rappresentano un rischio sistemico vengono designati dalle Autorità di vigilanza europee e sottoposti a supervisione diretta. Questo è particolarmente rilevante per i grandi cloud provider come AWS, Microsoft Azure e Google Cloud, che sono già in dialogo strutturato con le autorità europee su questi obblighi e hanno avviato programmi dedicati di compliance DORA per i loro clienti del settore finanziario.
Cinque casi pratici: chi ricade sotto quale normativa in Italia
La teoria è utile, ma i casi pratici chiariscono meglio di qualsiasi schema astratto dove si applica quale normativa. Di seguito cinque scenari tipici per il mercato italiano.
Caso 1: Grande banca italiana con operazioni internazionali. Banche come quelle nei gruppi bancari sistemici italiani ricadono sotto entrambe le normative. Come banche regolamentate nell’UE, sono soggette a DORA dal 17 gennaio 2025 per tutti gli aspetti della resilienza digitale operativa. Come entità essenziali nell’ambito bancario del settore ad alta criticità NIS2, sono soggette anche agli obblighi della direttiva. La regola operativa applicata: DORA governa le questioni ICT esplicitamente nel suo ambito, mentre NIS2 si applica agli obblighi non coperti da DORA. I team compliance di questi istituti hanno mappato ogni obbligo NIS2 verso l’equivalente DORA e hanno strutturato programmi unificati dove possibile, riducendo le duplicazioni stimate tra il 25% e il 35%.
Caso 2: Utility energetica con ≥250 dipendenti. Le grandi aziende del settore energetico sono soggette esclusivamente a NIS2 come entità essenziali del settore energetico. Non essendo entità finanziarie regolamentate, DORA non si applica. Gli obblighi NIS2 per queste aziende includono la protezione delle infrastrutture critiche di generazione e distribuzione, la notifica degli incidenti all’ACN entro 24 ore, e la gestione dei rischi legati ai sistemi SCADA e OT (Operational Technology). Il profilo di rischio è diverso da quello di una banca: gli attacchi alle infrastrutture energetiche hanno impatti fisici diretti sulla popolazione, il che rende particolarmente critica la continuità operativa anche in presenza di un incidente informatico.
Caso 3: Grande compagnia assicurativa con operazioni nell’UE. Le imprese assicurative ricadono sotto entrambe le normative. DORA si applica esplicitamente alle imprese di assicurazione e riassicurazione tra le 21 categorie di entità finanziarie. NIS2 si applica perché le infrastrutture finanziarie sono tra i settori ad alta criticità e molte compagnie assicurative superano le soglie dimensionali per entità essenziale. IVASS è l’autorità di vigilanza DORA per il comparto assicurativo in Italia. Il costo di conformità per strutture assicurative di grandi dimensioni è nella fascia superiore della forchetta Deloitte, con programmi TLPT che coinvolgono team di tester certificati TIBER-IT e perimetri di test estesi a centinaia di sistemi critici.
Caso 4: Società fintech con licenza come istituto di pagamento (12 dipendenti). Una startup fintech con 12 dipendenti e licenza come istituto di pagamento è pienamente soggetta a DORA senza alcuna esenzione per dimensione. Questo significa framework ICT documentato e approvato dal board, registro dei fornitori ICT, notifica incidenti entro 4 ore, e un programma completo di test di resilienza. I costi di conformità per un’entità così piccola possono essere proibitivi se affrontati internamente, spingendo verso soluzioni di outsourcing specializzato. Diverse società di consulenza italiane hanno già sviluppato offerte DORA-as-a-service specificamente per le fintech di piccole dimensioni, con costi tipicamente tra €80.000 e €200.000 all’anno.
Caso 5: Fornitore di servizi cloud che serve clienti finanziari. Un provider cloud o data center che serve prevalentemente clienti del settore finanziario è soggetto a NIS2 come fornitore di infrastrutture digitali. Può essere designato come fornitore ICT terzo critico (CTPP) sotto DORA, il che lo assoggetta a supervisione diretta delle ESA. Deve aggiornare i contratti con tutti i clienti finanziari per includere le clausole obbligatorie richieste da DORA (diritti di audit, strategia di uscita, disclosure del sub-appalto, accordi sui livelli di servizio con metriche precise). I grandi cloud provider internazionali hanno team dedicati alla compliance DORA, ma i provider cloud italiani di dimensioni medie si trovano a dover gestire questi obblighi con risorse più limitate.
Costi di conformità: cosa aspettarsi nel 2026
I costi di conformità sono la variabile che trasforma il dibattito normativo in un problema di bilancio concreto per i CFO e i board. I dati disponibili per il 2025-2026 permettono di tracciare un quadro ragionevolmente preciso per diverse tipologie di organizzazioni.
Secondo una ricerca di Deloitte citata nei principali report di settore, il 96% delle istituzioni finanziarie ha stimato i propri costi di conformità DORA, con la maggior parte che indica una forchetta tra €2 milioni e €5 milioni. Questa stima varia significativamente in base a diversi fattori: la maturità preesistente del framework ICT (istituzioni già allineate a TIBER-EU partono avvantaggiate), il numero di fornitori terzi da mappare nel registro (alcune grandi banche gestiscono migliaia di rapporti contrattuali ICT), e le dimensioni della struttura IT complessiva che determina l’ampiezza del perimetro di test.
Per NIS2, i costi di conformità sono più difficili da generalizzare data la diversità dei settori e delle organizzazioni coperte. Un’azienda manifatturiera con 300 dipendenti e sistemi OT dovrà investire in segmentazione di rete e hardening degli endpoint OT, con costi tipicamente nell’ordine di €200.000-€800.000. Un ospedale di medie dimensioni che deve conformarsi alla NIS2 in ambito sanitario ha invece un profilo completamente diverso, con investimenti prioritari in protezione delle cartelle cliniche elettroniche, business continuity clinica e formazione del personale medico sui rischi informatici.
I costi nascosti spesso sottovalutati nelle previsioni iniziali includono: la formazione obbligatoria per il management e il board (sessioni trimestrali di aggiornamento sui rischi ICT), l’aggiornamento dei contratti con tutti i fornitori ICT (un processo che può richiedere mesi per organizzazioni con catene di approvvigionamento complesse), l’implementazione o upgrade dei sistemi SIEM per soddisfare i requisiti di monitoraggio continuo richiesti da entrambe le normative, e le attività di comunicazione strutturata verso le autorità di vigilanza (registrazione ACN, trasmissione del registro DORA, risposta a eventuali richieste di informazioni).
Strumenti e soluzioni per la conformità: prezzi e confronto
| Soluzione | Copertura NIS2 | Copertura DORA | Costo indicativo annuo | Adatta per |
|---|---|---|---|---|
| GRC Platform (es. ServiceNow GRC, RSA Archer) | Alta | Alta | €30.000-€150.000 | Organizzazioni medie e grandi |
| SIEM (es. Splunk, Wazuh Enterprise) | Alta | Media | €20.000-€100.000 | Monitoraggio continuo e log management |
| Vulnerability Management (es. Tenable, Rapid7) | Alta | Alta | €10.000-€50.000 | Scansioni periodiche e gap analysis |
| ICT Third-Party Register Tool | Media | Alta | €8.000-€30.000 | Entità finanziarie soggette a DORA |
| TLPT/Penetration Testing esterno (TIBER-EU) | Media | Alta | €50.000-€150.000 per test | Istituti finanziari significativi |
| Consulenza conformità specializzata | Alta | Alta | €50.000-€500.000 per progetto | Prima implementazione o gap assessment |
| DORA-as-a-Service (provider specializzati) | Media | Alta | €80.000-€200.000 | Fintech piccole con licenza regolamentare |
| Piattaforma e-learning compliance | Media | Media | €5.000-€20.000 | Formazione board e personale a tutti i livelli |
Guida alla migrazione: come adeguarsi in 8 step
Che tu stia aggiornando un framework NIS1 alla NIS2, o costruendo il sistema di conformità DORA da zero, il percorso di migrazione segue una logica comune. Di seguito gli otto passaggi raccomandati, con priorità indicate per entità che devono conformarsi a entrambe le normative.
Step 1: Scoping e mappatura normativa. Prima di qualsiasi investimento tecnologico, determina con precisione quali normative si applicano alla tua organizzazione. Questo richiede un’analisi legale del settore di attività, della struttura societaria e delle soglie dimensionali. Per le entità finanziarie, verifica se la licenza regolamentare rientra nelle 21 categorie dell’articolo 2 di DORA. Per le altre entità, verifica l’elenco dei settori NIS2 e le soglie del D.Lgs. 138/2024. Questo step è critico: deve essere completato prima di qualsiasi altra attività, perché orienta tutte le scelte successive.
Step 2: Gap assessment rispetto ai requisiti attuali. Conduci un’analisi delle lacune tra la postura di sicurezza attuale e i requisiti delle normative applicabili. Per DORA, usa come riferimento gli RTS pubblicati da EBA, ESMA e EIOPA. Per NIS2, usa le linee guida ACN e standard internazionali come ISO/IEC 27001 come punto di partenza. Il gap assessment deve produrre un piano di remediation con priorità, tempistiche e stime di costo per ciascuna lacuna identificata. La durata tipica di un gap assessment per organizzazioni di medie dimensioni è 4-8 settimane con un team misto interno ed esterno.
Step 3: Governance e accountability del management. Entrambe le normative richiedono il coinvolgimento attivo degli organi di amministrazione. Il board deve approvare le politiche di sicurezza, ricevere formazione periodica sulla cybersecurity, e avere visibilità strutturata sulle metriche di rischio ICT. Aggiorna lo statuto del comitato per il rischio, aggiungi un punto fisso sull’agenda del board per la cybersecurity (almeno trimestrale), e documenta tutte le delibere relative alla gestione del rischio ICT. Questo step serve anche a proteggere i singoli manager dalla responsabilità personale prevista da entrambe le normative.
Step 4: Documentazione del framework ICT. Sviluppa o aggiorna il framework formale di gestione del rischio ICT. Il documento deve coprire politiche, procedure, ruoli e responsabilità per tutte le fasi del ciclo di vita del rischio. Includi l’inventario degli asset ICT critici con classificazione della criticità, e la mappatura delle dipendenze critiche interne ed esterne. Il framework deve essere approvato formalmente dal board e rivisto almeno annualmente. Per entità DORA, questo non è un’opzione ma un prerequisito inderogabile per qualsiasi altro step di conformità.
Step 5: Aggiornamento dei processi di notifica degli incidenti. Ridisegna i processi di incident response per soddisfare le tempistiche normative più stringenti applicabili alla tua organizzazione. Per le entità DORA, l’obiettivo è classificare un incidente e inviare la notifica iniziale entro 4 ore. Questo richiede: criteri di classificazione automatizzati nel sistema di monitoraggio, playbook di risposta pre-approvati, contatti aggiornati delle autorità nazionali competenti, e almeno un esercizio simulato all’anno per testare la capacità di risposta entro i tempi previsti. Per NIS2, la finestra di 24 ore per l’early warning dà più margine ma richiede comunque processi strutturati.
Step 6: Inventario e gestione dei fornitori ICT. Avvia il mapping di tutti i contratti con fornitori ICT. Per DORA, il registro deve includere: nome e identificativo del fornitore, natura e criticità dei servizi forniti, localizzazione dei dati e dei data center, clausole contrattuali di sicurezza esistenti, e valutazione del rischio di concentrazione. Inizia dai fornitori che supportano funzioni critiche o importanti e procedi verso quelli meno critici. Questo step è stato il più sottovalutato in fase di pianificazione: molte istituzioni hanno scoperto di avere un numero di fornitori ICT molto più alto di quanto stimato inizialmente.
Step 7: Pianificazione dei test di resilienza. Implementa un programma di test proporzionato alla tua classificazione normativa. Per NIS2, almeno un penetration test annuale per le entità essenziali è la raccomandazione ACN. Per DORA, un programma completo che include vulnerability assessment trimestrali, penetration test annuali, e TLPT ogni tre anni per le entità significative. Seleziona i fornitori di test con certificazioni riconosciute (CREST, TIBER-EU/TIBER-IT) e assicurati che i contratti includano la consegna di report in formato compatibile con i requisiti di reporting verso le autorità competenti.
Step 8: Formazione e cultura della sicurezza. Implementa programmi di formazione periodica per tutto il personale, con moduli specifici per i ruoli con accesso a sistemi critici e per il management. Il board deve ricevere formazione sui rischi ICT almeno annualmente. NIS2 e DORA richiedono entrambe che le misure di sicurezza includano pratiche di igiene informatica e sensibilizzazione sistematica. Documenta ogni sessione di formazione con data, contenuto, partecipanti e modalità di verifica dell’apprendimento: in caso di verifica da parte delle autorità, questa documentazione è la prova più immediata della serietà e continuità del programma.
Pro e contro: analisi critica di entrambe le normative
NIS2: vantaggi e limiti
Vantaggi: Copertura orizzontale che eleva simultaneamente il livello di sicurezza in 18 settori critici. Flessibilità implementativa che consente alle organizzazioni di scegliere le soluzioni tecniche più adatte al proprio contesto operativo. Proporzionalità per dimensione aziendale che evita di schiacciare le PMI con obblighi sproporzionati. Framework per la supply chain che estende la protezione oltre il perimetro aziendale diretto. Responsabilizzazione strutturata del management che integra la cybersecurity nella governance aziendale a livello di board.
Limiti: Implementazione eterogenea tra gli Stati membri che crea asimmetrie competitive all’interno del mercato unico europeo. Assenza di standard tecnici uniformi che lascia incertezza su cosa costituisca una misura “adeguata” in ogni specifico contesto. Sovrapposizione con DORA per le entità finanziarie che crea complessità di compliance e potenziale duplicazione degli sforzi. Enforcement ancora in fase di consolidamento in diversi Stati membri, con un rischio reale che la normativa rimanga sulla carta per anni in alcuni paesi. Mancanza di un registro EU centralizzato delle entità soggette che rende difficile la mappatura per i fornitori che operano in più Stati membri.
DORA: vantaggi e limiti
Vantaggi: Regolamento direttamente applicabile che elimina le asimmetrie di implementazione tra Stati membri e garantisce un level playing field per il settore finanziario europeo. Standard tecnici prescrittivi (RTS/ITS) che riducono significativamente l’incertezza su cosa sia effettivamente richiesto in ogni area. Framework strutturato per i fornitori ICT critici che affronta i rischi di concentrazione sistemica nell’infrastruttura cloud. Regime di supervisione diretta dei fornitori ICT che colma un gap normativo storico. Responsabilità personale dei manager che crea incentivi concreti per il board a occuparsi attivamente della resilienza digitale.
Limiti: Nessuna esenzione per dimensione che può essere sproporzionalmente oneroso per piccole entità finanziarie con risorse limitate. Complessità del Registro delle informazioni che richiede risorse significative per costruzione, manutenzione e aggiornamento continuo. Costi del TLPT potenzialmente proibitivi per istituzioni di dimensioni medie che non hanno un team interno specializzato. Sovrapposizione normativa con NIS2, requisiti BCE, requisiti Pillar II Basilea, GDPR e altri framework settoriali che crea un panorama di compliance sempre più complesso e costoso. Standard tecnici ancora in evoluzione che richiedono monitoraggio continuo delle linee guida ESA per rimanere aggiornati.
Opinioni degli esperti: il settore valuta la coesistenza
Il settore della cybersecurity e della compliance ha espresso posizioni articolate sull’interazione tra NIS2 e DORA nel corso del 2025-2026. La lettura degli esperti chiarisce dove il dibattito normativo si traduce in scelte operative concrete.
ISACA, la principale associazione internazionale di professionisti dell’IT audit e della governance, ha sottolineato che “le imprese possono essere soggette a DORA, NIS2, entrambe o nessuna, evidenziando che la mappatura della conformità deve essere effettuata entità per entità piuttosto che per etichetta di settore”. Questo avvertimento riflette la tendenza pericolosa delle organizzazioni a semplificare eccessivamente lo scoping normativo, assumendo che appartenere a un settore finanziario implichi automaticamente solo DORA, o che non farlo implichi solo NIS2.
Kymatio, specialista in cybersecurity comportamentale e compliance, descrive la relazione tra le due normative come una “coesistenza perfettamente regolamentata”, affermando che “DORA è lo standard di riferimento per il rischio digitale nel settore finanziario”. Questo inquadramento suggerisce che, per le entità finanziarie, DORA dovrebbe essere il punto di partenza della progettazione del framework di conformità, con NIS2 integrata come strato aggiuntivo per gli obblighi non coperti.
Ceeyu, piattaforma di attack surface management, ha chiarito una posizione tecnica importante: “le aziende coperte da entrambe le normative devono ancora conformarsi agli obblighi NIS2 non coperti da DORA”, respingendo l’interpretazione che DORA sostituisca completamente NIS2 per le entità finanziarie. Questa posizione è la più conservativa e probabilmente la più sicura dal punto di vista della gestione del rischio di compliance.
L’Autorità Bancaria Europea (EBA), nel quadro dei lavori sugli standard tecnici DORA, ha enfatizzato che la proporzionalità prevista dal regolamento non equivale a esenzione dagli obblighi fondamentali: anche le entità finanziarie più piccole devono poter dimostrare un framework ICT funzionante. Questa posizione ha implicazioni dirette per le fintech italiane di piccole dimensioni che hanno interpretato la “proporzionalità” come una via d’uscita dagli obblighi più onerosi del regolamento.
Deloitte Italia, nel suo lavoro di advisory sulla readiness DORA condotto nel 2024-2025, ha rilevato che una parte significativa delle istituzioni finanziarie italiane aveva completato meno del 60% delle attività di conformità richieste entro la data di applicabilità del 17 gennaio 2025. Le aree con i gap più critici erano il Registro delle informazioni sui fornitori ICT (costruzione e strutturazione secondo i template RTS) e la documentazione del framework ICT con approvazione formale del board.
5 raccomandazioni per caso d’uso: quale percorso seguire
Sulla base dell’analisi condotta, cinque scenari tipici con la raccomandazione operativa più efficiente per ciascuno.
Raccomandazione 1: Istituto bancario o di credito di medie dimensioni. Sei soggetto a entrambe le normative. Costruisci un programma di conformità unificato con DORA come framework principale per tutte le questioni ICT, e integra gli obblighi NIS2 specifici come componenti aggiuntivi. Avvia dalla governance del board e dal Registro dei fornitori ICT (obblighi più urgenti con scadenze ravvicinate), poi procedi con il framework ICT completo e il programma di test. Stima un budget di conformità iniziale tra €1,5M e €4M a seconda della maturità preesistente, con costi ricorrenti annui tra €500K e €1,5M.
Raccomandazione 2: Azienda manifatturiera con ≥250 dipendenti. Sei soggetto esclusivamente a NIS2 come entità essenziale nel settore manifatturiero. Priorità: governance del management e sicurezza della supply chain. Molte aziende manifatturiere italiane sottovalutano i rischi legati ai sistemi OT e SCADA. Investi in segmentazione di rete tra IT e OT, aggiorna i contratti con i fornitori di automazione industriale per includere clausole di sicurezza, e pianifica un penetration test che includa i sistemi operativi e non solo l’infrastruttura IT tradizionale.
Raccomandazione 3: Startup fintech con licenza regolamentare (sotto 50 dipendenti). Sei soggetto a DORA anche con pochi dipendenti. Non esiste un percorso semplificato. La raccomandazione più efficiente è esternalizzare la compliance a un provider specializzato che offra DORA-as-a-service, con costi tipicamente tra €80.000 e €200.000 all’anno. Questo è significativamente meno costoso rispetto a costruire internamente tutta la capacità richiesta. Valuta anche se la struttura societaria e la licenza attuale possono essere ottimizzate per ridurre il perimetro normativo complessivo.
Raccomandazione 4: Ospedale o struttura sanitaria con ≥50 dipendenti. Sei soggetto a NIS2 nel settore ad alta criticità della sanità. Priorità: continuità operativa clinica e protezione dei dati sanitari. Gli ospedali italiani sono stati tra i bersagli più colpiti da ransomware negli ultimi due anni. NIS2 richiede piani di business continuity testati, backup sicuri e segregati, e procedure di risposta agli incidenti che garantiscano la continuità delle cure anche in presenza di un attacco informatico. Coordina la compliance NIS2 con gli obblighi GDPR (particolarmente stringenti per i dati sanitari) per evitare duplicazioni costose e per massimizzare l’efficienza degli investimenti in sicurezza.
Raccomandazione 5: Provider cloud o data center con clienti finanziari. Sei soggetto a NIS2 come fornitore di infrastrutture digitali. Potresti essere designato come fornitore ICT terzo critico (CTPP) sotto DORA. Agisci proattivamente: registrati presso l’ACN per NIS2 e monitora le comunicazioni delle ESA sulla designazione dei CTPP. Se hai clienti finanziari significativi, avvia un programma di revisione contrattuale per includere tutte le clausole obbligatorie DORA (audit rights, exit strategy, subcontracting disclosure). La compliance ai requisiti contrattuali DORA è diventata un fattore competitivo: i clienti finanziari danno preferenza ai provider che dimostrano maturità su questi obblighi.
Verdetto: NIS2 o DORA, chi governa la cybersecurity della tua azienda?
La risposta dipende da un fattore fondamentale: sei un’entità finanziaria regolamentata nell’UE?
Se sì, DORA è il punto di partenza. È più prescrittiva, direttamente applicabile in tutti gli Stati membri, e i supervisori finanziari (Banca d’Italia, CONSOB, IVASS) hanno una tradizione di enforcement più strutturata rispetto alle neonate strutture NIS2. Per le aree di sovrapposizione, DORA funge da lex specialis e si applica con priorità. Ma NIS2 rimane rilevante per gli obblighi che DORA non copre esplicitamente, e ignorarla costituisce una violazione normativa distinta con le proprie sanzioni.
Se non sei un’entità finanziaria, NIS2 è la tua normativa di riferimento. L’applicazione varia per settore e dimensione, ma le 12.000 aziende italiane stimate nell’ambito NIS2 non possono permettersi di aspettare l’enforcement per iniziare ad adeguarsi. Le sanzioni fino a €10 milioni e la responsabilità personale dei manager rendono il costo dell’inazione superiore al costo della conformità per qualsiasi organizzazione di dimensioni medie o grandi.
Per le entità soggette a entrambe, la strategia più efficiente è costruire un framework unificato che soddisfi i requisiti più stringenti di DORA per le aree coperte da entrambe, e integrare gli obblighi NIS2 non coperti da DORA come strati aggiuntivi. Questa architettura evita la duplicazione degli sforzi e riduce i costi complessivi di conformità tra il 20% e il 35% rispetto a due programmi paralleli e indipendenti.
Il 2026 è l’anno in cui i supervisori europei passeranno definitivamente dalla fase di implementazione a quella di enforcement attivo. Le organizzazioni che hanno trattato NIS2 e DORA come esercizi formali di documentazione scopriranno che le autorità richiedono prove di funzionamento reale dei controlli, non solo di esistenza sulla carta. Chi ha investito nella conformità sostanziale, non solo formale, sarà significativamente meglio posizionato per affrontare questa nuova fase.
Copertura correlata
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- Cyber Resilience Act: 15M€ e 3 Scadenze UE
- GDPR 2026: €7,1 Miliardi di Sanzioni, TikTok €530M e 443 Violazioni al Giorno
- Wazuh vs Splunk: SIEM Open Source Gratis vs $69.000/Anno
- Cyber Europe 2026: 5.000 Esperti Testano la Risposta UE su Ferrovie e Porti
Domande frequenti su NIS2 e DORA
NIS2 e DORA si applicano contemporaneamente alle stesse aziende?
Sì, per molte entità finanziarie. Le banche, le compagnie assicurative e le infrastrutture di mercato sono soggette a entrambe. Il principio operativo è che DORA si applica come lex specialis per le questioni ICT esplicitamente nel suo ambito, mentre NIS2 copre gli obblighi non indirizzati da DORA. Non è possibile usare la conformità DORA come sostituto completo della conformità NIS2: le due normative si sovrappongono ma non si sostituiscono reciprocamente.
Una piccola fintech con pochi dipendenti deve conformarsi a DORA?
Sì, se ha una licenza come entità finanziaria regolamentata nell’UE (istituto di pagamento, impresa di investimento, CASP, ecc.). DORA non prevede soglie dimensionali generali. Le microimprese finanziarie hanno accesso a alcune misure proporzionali in specifiche disposizioni, ma non sono esonerate dalla conformità al framework complessivo. La raccomandazione per le entità più piccole è considerare soluzioni DORA-as-a-service fornite da provider specializzati, con costi tra €80.000 e €200.000 all’anno.
Qual è la differenza principale tra i regimi di notifica degli incidenti?
La differenza più operativa è la finestra per la prima notifica: 4 ore per DORA (dalla classificazione dell’incidente) contro 24 ore per NIS2 (dalla rilevazione). Entrambe prevedono una notifica intermedia a 72 ore e un report finale entro un mese. La struttura DORA è più granulare nella classificazione, richiedendo l’applicazione di criteri standardizzati definiti negli RTS delle autorità di vigilanza europee, mentre NIS2 lascia maggiore flessibilità nei criteri di classificazione degli incidenti significativi.
Cosa sono i fornitori ICT terzi critici (CTPP) sotto DORA?
Sono i fornitori di servizi ICT designati dalle Autorità di vigilanza europee (EBA, ESMA, EIOPA) come sistemicamente rilevanti per il settore finanziario europeo. Una volta designati, sono soggetti a supervisione diretta delle ESA, incluse ispezioni e richieste di informazioni senza dover passare attraverso i clienti finanziari. La designazione comporta obblighi aggiuntivi e potenziali sanzioni fino a €5 milioni o 1% del fatturato giornaliero per ogni giorno di non conformità, per un massimo di 6 mesi.
Il TLPT è obbligatorio per tutte le entità finanziarie?
No. Il Threat-Led Penetration Testing è obbligatorio per le entità identificate dai supervisori come significative, in base a criteri come dimensione, profilo di rischio sistemico e interconnessione con l’ecosistema finanziario. Per le entità non designate per il TLPT, DORA richiede comunque un programma di test che includa vulnerability assessment, penetration test standard e test end-to-end. Quando richiesto, il TLPT deve essere condotto ogni 3 anni con il framework TIBER-EU o equivalente nazionale.
Quali rischi personali corrono i manager in caso di non conformità?
Sotto DORA, i senior manager di entità non conformi possono essere soggetti a sanzioni personali fino a €1 milione. Sotto NIS2, i dirigenti di entità essenziali possono essere temporaneamente sospesi dall’esercizio delle funzioni manageriali. In entrambi i casi, la documentazione delle decisioni del board relative alla gestione del rischio ICT è la principale protezione dei singoli manager in caso di indagini. Un board che approva formalmente le politiche di sicurezza e riceve formazione periodica è in posizione molto più difendibile rispetto a uno che delega tutto al team IT.
NIS2 e DORA si applicano anche alle aziende extra-UE?
Entrambe si applicano alle entità che operano o forniscono servizi nell’UE, indipendentemente dalla sede legale. Un’azienda con sede negli USA che eroga servizi di pagamento in Italia è soggetta a DORA per quelle attività. Un provider cloud con sede in Israele che gestisce infrastrutture critiche per clienti italiani può essere soggetto a NIS2 come fornitore di infrastrutture digitali. L’applicazione extraterritoriale è un aspetto che molte aziende non comunitarie stanno ancora comprendendo nelle proprie strategie di compliance europee.
