{"id":241,"date":"2026-06-19T08:00:00","date_gmt":"2026-06-19T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/19\/nis2-vs-dora-confronto-2026\/"},"modified":"2026-06-19T08:00:00","modified_gmt":"2026-06-19T08:00:00","slug":"nis2-vs-dora-confronto-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/19\/nis2-vs-dora-confronto-2026\/","title":{"rendered":"NIS2 vs DORA: Chi Deve Conformarsi, Sanzioni fino a \u20ac10M [2026]"},"content":{"rendered":"\n

Dal 17 gennaio 2025 ogni istituzione finanziaria dell’Unione Europea opera sotto DORA. Dal 17 ottobre 2024, migliaia di aziende italiane in 18 settori critici devono rispettare la Direttiva NIS2. Due normative diverse, due logiche diverse, sanzioni che raggiungono i \u20ac10 milioni o il 2% del fatturato globale<\/strong>. Capire quale si applica alla tua organizzazione, e dove si sovrappongono, \u00e8 diventato il primo compito del CISO nel 2026.<\/p>\n\n\n\n

Questo confronto analizza ogni dimensione rilevante: ambito di applicazione, obblighi tecnici, tempistiche di notifica degli incidenti, test di resilienza, gestione dei fornitori ICT e costi di conformit\u00e0. I dati provengono da ISACA, Deloitte, EBA e dalle stesse normative UE in testo ufficiale.<\/p>\n\n\n\n

NIS2 e DORA nel 2026: il contesto normativo europeo<\/h2>\n\n\n\n

L’Unione Europea ha costruito negli ultimi due anni un’architettura normativa sulla cybersecurity senza precedenti. La Direttiva NIS2<\/strong> (Direttiva UE 2022\/2555) e il Regolamento DORA<\/strong> (Regolamento UE 2022\/2554) sono i due pilastri di questa architettura. Entrambi affrontano la resilienza digitale, ma da prospettive radicalmente diverse: NIS2 \u00e8 orizzontale, copre 18 settori critici; DORA \u00e8 verticale, si applica esclusivamente al settore finanziario.<\/p>\n\n\n\n

La confusione nasce dal fatto che molte organizzazioni, in particolare le banche, le assicurazioni e le infrastrutture di mercato, ricadono sotto entrambe. Sbagliare la mappatura significa o sottostimare gli obblighi (rischiando sanzioni) o moltiplicare inutilmente i costi di conformit\u00e0 assumendo che le due normative siano identiche quando non lo sono.<\/p>\n\n\n\n

In Italia, il recepimento della NIS2 \u00e8 avvenuto con il D.Lgs. 138\/2024<\/strong>, mentre DORA si applica direttamente senza necessit\u00e0 di recepimento nazionale in quanto regolamento. L’Agenzia per la Cybersicurezza Nazionale (ACN) supervisiona NIS2 in Italia, mentre Banca d’Italia, CONSOB e IVASS vigilano sull’applicazione di DORA per i rispettivi comparti finanziari.<\/p>\n\n\n\n

Il panorama della conformit\u00e0 europeo si \u00e8 cos\u00ec arricchito nel giro di 24 mesi di tre grandi strumenti: NIS2 (ottobre 2024), DORA (gennaio 2025) e il Cyber Resilience Act (con obblighi progressivi fino al 2027). Per le aziende italiane che operano in settori regolamentati, la sovrapposizione di questi framework crea complessit\u00e0 reali, costi concreti e rischi sanzionatori significativi.<\/p>\n\n\n\n

Cos’\u00e8 la Direttiva NIS2: ambito e obiettivi<\/h2>\n\n\n\n

La Direttiva NIS2, entrata in vigore come strumento di recepimento obbligatorio entro il 17 ottobre 2024<\/strong>, sostituisce la precedente NIS1 estendendo significativamente il perimetro di applicazione. La direttiva copre 18 settori critici<\/strong> suddivisi in due categorie.<\/p>\n\n\n\n

I settori ad alta criticit\u00e0<\/strong> (allegato I della direttiva) includono: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanit\u00e0, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT (business-to-business), pubblica amministrazione e spazio. I settori critici<\/strong> (allegato II) includono: servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, industria manifatturiera, fornitori di servizi digitali e organizzazioni di ricerca.<\/p>\n\n\n\n

Le soglie dimensionali per l’applicabilit\u00e0 sono precise. Le entit\u00e0 essenziali<\/strong> devono avere almeno 250 dipendenti oppure un fatturato annuo di almeno \u20ac50 milioni e un totale di bilancio di almeno \u20ac43 milioni. Le entit\u00e0 importanti<\/strong> devono avere almeno 50 dipendenti oppure un fatturato annuo di almeno \u20ac10 milioni. Le microimprese e le piccole imprese sono generalmente escluse, salvo eccezioni specifiche per fornitori DNS, registri dei nomi a dominio di primo livello e fornitori di servizi fiduciari qualificati.<\/p>\n\n\n\n

L’ACN italiana ha stimato che circa 12.000 aziende<\/strong> ricadono nell’ambito NIS2 in Italia. La stima include grandi gruppi industriali, utility energetiche, ospedali pubblici e privati, fornitori di infrastrutture cloud e operatori di telecomunicazioni. La registrazione obbligatoria sulla piattaforma ACN era richiesta entro il primo trimestre del 2025, e molte aziende hanno affrontato difficolt\u00e0 nel comprendere se la propria attivit\u00e0 rientrasse nelle categorie previste dal D.Lgs. 138\/2024.<\/p>\n\n\n\n

Un aspetto spesso sottovalutato di NIS2 \u00e8 il principio di responsabilit\u00e0 del management<\/strong>. Il board e i dirigenti apicali non possono pi\u00f9 semplicemente delegare la cybersecurity al team IT: la direttiva richiede che gli organi di amministrazione approvino le misure di gestione del rischio, ricevano formazione periodica sulla sicurezza informatica e possano essere ritenuti personalmente responsabili in caso di violazioni gravi. Questa disposizione ha cambiato il dibattito sulla cybersecurity nelle sale riunioni italiane, portandola dal livello operativo al livello strategico.<\/p>\n\n\n\n

Cos’\u00e8 il Regolamento DORA: ambito e obiettivi<\/h2>\n\n\n\n

Il Regolamento DORA (Digital Operational Resilience Act) \u00e8 in vigore come regolamento direttamente applicabile dal 17 gennaio 2025<\/strong> in tutti gli Stati membri. A differenza della NIS2, DORA non richiede recepimento nazionale: le sue disposizioni si applicano automaticamente a tutte le entit\u00e0 finanziarie nell’UE, creando per la prima volta un regime uniforme di resilienza digitale per il settore finanziario europeo.<\/p>\n\n\n\n

L’ambito di applicazione comprende 21 categorie di entit\u00e0 finanziarie<\/strong>, tra cui: banche e istituti di credito, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, gestori di fondi di investimento alternativi, gestori di OICVM, controparti centrali, depositari centrali di titoli, sedi di negoziazione, registri delle operazioni, imprese assicurative e riassicurative, intermediari assicurativi, fondi pensionistici aziendali, agenzie di rating del credito, fornitori di servizi per le cripto-attivit\u00e0 (CASP) e istituti di emissione di moneta elettronica.<\/p>\n\n\n\n

Una differenza fondamentale rispetto alla NIS2: DORA non prevede soglie dimensionali generali<\/strong>. Se un’entit\u00e0 \u00e8 un’entit\u00e0 finanziaria regolamentata, \u00e8 soggetta a DORA indipendentemente dal numero di dipendenti o dal fatturato. Questo significa che anche una piccola fintech con 10 dipendenti che ha ottenuto la licenza come istituto di pagamento \u00e8 pienamente soggetta a tutti gli obblighi DORA, inclusi framework ICT documentato, registro dei fornitori ICT e programma di test di resilienza.<\/p>\n\n\n\n

L’obiettivo di DORA \u00e8 garantire che le entit\u00e0 finanziarie possano resistere, rispondere e riprendersi<\/strong> da tutti i tipi di perturbazioni e minacce legate alle ICT. Secondo l’Autorit\u00e0 Bancaria Europea (EBA), questo richiede un approccio integrato che copre cinque pilastri operativi: gestione del rischio ICT, classificazione e segnalazione degli incidenti, test di resilienza operativa digitale, gestione del rischio ICT di terze parti e scambio di informazioni tra entit\u00e0 finanziarie.<\/p>\n\n\n\n

La scelta dello strumento giuridico, un regolamento invece di una direttiva, \u00e8 stata deliberata: la Commissione Europea voleva evitare le asimmetrie di implementazione che avevano caratterizzato la NIS1, dove alcune entit\u00e0 in Stati membri con enforcement pi\u00f9 blando godevano di un vantaggio competitivo rispetto a quelle in mercati con supervisori pi\u00f9 rigorosi. Con DORA, questa asimmetria non \u00e8 possibile almeno a livello normativo, anche se differenze nell’enforcement pratico tra le autorit\u00e0 nazionali permangono.<\/p>\n\n\n\n

NIS2 vs DORA: tabella comparativa completa<\/h2>\n\n\n\n

La tabella seguente confronta i parametri chiave delle due normative su 13 dimensioni critiche per la pianificazione della conformit\u00e0:<\/p>\n\n\n\n

Parametro<\/th>NIS2 (Direttiva UE 2022\/2555)<\/th>DORA (Regolamento UE 2022\/2554)<\/th><\/tr><\/thead>
Strumento giuridico<\/strong><\/td>Direttiva (recepimento nazionale entro ottobre 2024)<\/td>Regolamento (applicazione diretta dal 17 gennaio 2025)<\/td><\/tr>
Settori coperti<\/strong><\/td>18 settori critici (allegati I e II)<\/td>Settore finanziario esclusivamente (21 categorie)<\/td><\/tr>
Soglia dimensionale<\/strong><\/td>Entit\u00e0 medie e grandi (\u226550 dipendenti o \u2265\u20ac10M fatturato)<\/td>Nessuna soglia generale: qualsiasi entit\u00e0 regolamentata<\/td><\/tr>
Prima notifica incidente<\/strong><\/td>Early warning entro 24 ore dalla rilevazione<\/td>Notifica iniziale entro 4 ore dalla classificazione<\/td><\/tr>
Notifica intermedia<\/strong><\/td>Notifica completa entro 72 ore<\/td>Report intermedio entro 72 ore<\/td><\/tr>
Report finale incidente<\/strong><\/td>Entro 1 mese<\/td>Entro 1 mese<\/td><\/tr>
Sanzione massima (entit\u00e0 essenziali)<\/strong><\/td>\u20ac10 milioni o 2% fatturato globale (il maggiore)<\/td>2% fatturato globale annuo + penali giornaliere<\/td><\/tr>
Sanzione massima (entit\u00e0 importanti)<\/strong><\/td>\u20ac7 milioni o 1,4% fatturato globale (il maggiore)<\/td>N\/A: DORA non differenzia per dimensione dell’entit\u00e0<\/td><\/tr>
Responsabilit\u00e0 personale manager<\/strong><\/td>Sospensione temporanea dalle funzioni<\/td>Sanzioni personali fino a \u20ac1 milione<\/td><\/tr>
Test di resilienza obbligatori<\/strong><\/td>Test periodici (metodologia flessibile)<\/td>TLPT (TIBER-EU) ogni 3 anni per entit\u00e0 significative<\/td><\/tr>
Gestione fornitori ICT<\/strong><\/td>Obblighi contrattuali per fornitori critici<\/td>Registro formale di tutti i fornitori ICT (scadenza 30 aprile 2026)<\/td><\/tr>
Supervisore in Italia<\/strong><\/td>ACN (Agenzia per la Cybersicurezza Nazionale)<\/td>Banca d’Italia, CONSOB, IVASS per settore<\/td><\/tr>
Costi di conformit\u00e0 stimati<\/strong><\/td>\u20ac200K-\u20ac800K+ per settore e dimensione<\/td>\u20ac2M-\u20ac5M per la maggior parte delle istituzioni (Deloitte)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Chi deve conformarsi: criteri di applicabilit\u00e0 dettagliati<\/h2>\n\n\n\n

Il punto di partenza per qualsiasi CISO o responsabile della conformit\u00e0 \u00e8 determinare se l’organizzazione ricade sotto NIS2, DORA, entrambe o nessuna delle due. Il processo non \u00e8 sempre lineare, e molte aziende italiane hanno scoperto solo dopo la data di applicabilit\u00e0 di essere nell’ambito normativo senza saperlo.<\/p>\n\n\n\n

Test di applicabilit\u00e0 NIS2<\/h3>\n\n\n\n

Per la NIS2, il primo filtro \u00e8 il settore di attivit\u00e0<\/strong>. Se l’organizzazione opera in uno dei 18 settori elencati negli allegati I e II, si passa al secondo filtro: la dimensione<\/strong>. Se l’azienda supera le soglie per entit\u00e0 essenziale (\u2265250 dipendenti oppure fatturato \u2265\u20ac50M e bilancio \u2265\u20ac43M) o per entit\u00e0 importante (\u226550 dipendenti o fatturato \u2265\u20ac10M), \u00e8 soggetta agli obblighi NIS2 nel rispettivo Stato membro.<\/p>\n\n\n\n

Esistono per\u00f2 categorie di entit\u00e0 che devono conformarsi indipendentemente dalla dimensione, tra cui: fornitori di servizi DNS, registri dei nomi a dominio di primo livello, fornitori di servizi di cloud computing, fornitori di data center e reti per la distribuzione di contenuti. Queste eccezioni colpiscono anche piccole imprese ad alto impatto sistemico. Un piccolo provider DNS con 15 dipendenti che gestisce l’infrastruttura per centinaia di aziende \u00e8 soggetto a NIS2 esattamente come un’utility energetica da 5.000 dipendenti.<\/p>\n\n\n\n

Test di applicabilit\u00e0 DORA<\/h3>\n\n\n\n

Per DORA, il test \u00e8 pi\u00f9 diretto: l’organizzazione \u00e8 un’entit\u00e0 finanziaria regolamentata nell’UE?<\/strong> Se s\u00ec, \u00e8 soggetta a DORA. Non importa la dimensione. Una piccola neo-banca con licenza bancaria in Italia ha gli stessi obblighi DORA di una grande banca sistemica internazionale. DORA prevede alcune misure proporzionali per le microimprese finanziarie (meno di 10 dipendenti e fatturato o bilancio inferiore a \u20ac2 milioni) in specifiche disposizioni, ma queste non costituiscono un’esenzione complessiva dagli obblighi del regolamento.<\/p>\n\n\n\n

Il caso delle societ\u00e0 fintech \u00e8 particolarmente rilevante per il mercato italiano, dove negli ultimi anni si sono moltiplicate startup con licenze CONSOB o Banca d’Italia. Un istituto di pagamento con 12 dipendenti e una licenza regolamentare \u00e8 pienamente soggetto a DORA, inclusi gli obblighi di test di resilienza, registro fornitori ICT e framework di gestione del rischio ICT approvato dal board. Questa realt\u00e0 ha creato un mercato emergente di soluzioni DORA-as-a-service specificamente progettate per le entit\u00e0 finanziarie di piccole dimensioni.<\/p>\n\n\n\n

Obblighi di gestione del rischio ICT: cosa richiedono entrambe<\/h2>\n\n\n\n

La gestione del rischio ICT \u00e8 il nucleo operativo di entrambe le normative. Tuttavia, il livello di dettaglio e le strutture richieste differiscono significativamente, con DORA che adotta un approccio notevolmente pi\u00f9 prescrittivo.<\/p>\n\n\n\n

Sotto NIS2<\/strong>, le entit\u00e0 devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi di sicurezza delle reti e dei sistemi informativi. La direttiva identifica dieci categorie di misure obbligatorie: politiche di analisi dei rischi e sicurezza dei sistemi informativi; gestione degli incidenti; continuit\u00e0 operativa e gestione delle crisi; sicurezza della catena di approvvigionamento; sicurezza nell’acquisizione, sviluppo e manutenzione di sistemi ICT; politiche e procedure di valutazione dell’efficacia; pratiche di igiene informatica di base e formazione; politiche e procedure di crittografia e cifratura; sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset; e uso di soluzioni di autenticazione a pi\u00f9 fattori.<\/p>\n\n\n\n

Sotto DORA<\/strong>, il framework ICT \u00e8 pi\u00f9 prescrittivo e strutturato. Le entit\u00e0 devono documentare un framework formale di gestione del rischio ICT che copra l’intero ciclo di vita del rischio secondo la sequenza: identificare, proteggere, rilevare, rispondere, ripristinare e apprendere<\/strong>. Il framework deve includere: mappatura completa degli asset ICT con classificazione della criticit\u00e0, valutazione delle dipendenze critiche interne ed esterne, procedure documentate di controllo degli accessi e gestione delle identit\u00e0, scansione continua delle vulnerabilit\u00e0, procedure di backup e disaster recovery verificate periodicamente, e review obbligatoria dell’intero framework almeno una volta all’anno. Il documento finale deve essere approvato formalmente dal board o dall’organo di amministrazione equivalente.<\/p>\n\n\n\n

La principale differenza pratica \u00e8 che DORA richiede documentazione formale e dimostrabilit\u00e0 agli organi di vigilanza, mentre NIS2 lascia maggiore flessibilit\u00e0 sull’implementazione specifica pur mantenendo un perimetro di obblighi chiari. Un istituto finanziario sotto DORA deve poter mostrare al supervisore ogni componente del proprio framework ICT, con policy approvate dal consiglio di amministrazione e tracce audit di tutte le review periodiche. Per NIS2, il livello di documentazione atteso \u00e8 meno rigidamente prescritto, anche se le autorit\u00e0 di vigilanza nazionali possono richiedere prove di conformit\u00e0 in qualsiasi momento.<\/p>\n\n\n\n

Segnalazione degli incidenti: tempistiche a confronto<\/h2>\n\n\n\n

Le tempistiche di notifica degli incidenti rappresentano una delle differenze operative pi\u00f9 concrete tra le due normative. Sbagliare le scadenze significa automaticamente violare la normativa, indipendentemente da quanto efficace sia stata la risposta tecnica all’incidente stesso.<\/p>\n\n\n\n

Fase<\/th>NIS2<\/th>DORA<\/th><\/tr><\/thead>
Prima notifica<\/strong><\/td>Early warning entro 24 ore dalla rilevazione<\/td>Notifica iniziale entro 4 ore dalla classificazione dell’incidente<\/td><\/tr>
Notifica intermedia<\/strong><\/td>Notifica completa entro 72 ore<\/td>Report intermedio entro 72 ore<\/td><\/tr>
Report finale<\/strong><\/td>Report finale entro 1 mese<\/td>Report finale entro 1 mese<\/td><\/tr>
Destinatario<\/strong><\/td>CSIRT nazionale (ACN in Italia)<\/td>Autorit\u00e0 competente nazionale (Banca d’Italia, CONSOB, IVASS)<\/td><\/tr>
Soglia di notifica<\/strong><\/td>Incidenti significativi che impattano la continuit\u00e0 del servizio<\/td>Incidenti ICT maggiori classificati secondo i criteri RTS delle ESA<\/td><\/tr>
Classificazione incidente<\/strong><\/td>S\u00ec, con valutazione dell’impatto su servizi e utenti<\/td>S\u00ec, secondo standard tecnici regolatori (RTS) EBA\/ESMA\/EIOPA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La differenza pi\u00f9 critica per le operazioni quotidiane \u00e8 la finestra di 4 ore di DORA<\/strong> contro le 24 ore di NIS2 per la prima notifica. Questo non significa necessariamente che l’incidente sia gi\u00e0 risolto in 4 ore, ma che la prima comunicazione formale all’autorit\u00e0 competente deve avvenire entro quella finestra dalla classificazione dell’evento come incidente ICT maggiore. Il processo di classificazione stesso deve quindi essere rapido, standardizzato e integrato nel sistema di monitoraggio.<\/p>\n\n\n\n

Per soddisfare la finestra di 4 ore di DORA, le entit\u00e0 finanziarie devono avere processi di classificazione degli incidenti almeno parzialmente automatizzati, team di risposta pronti a operare 24 ore su 24, 7 giorni su 7, e canali di comunicazione pre-testati con le autorit\u00e0 competenti. Le istituzioni che hanno condotto drill di risposta agli incidenti nel 2025 hanno scoperto che, senza questi processi in atto, anche 24 ore non sarebbero sufficienti per una notifica di qualit\u00e0.<\/p>\n\n\n\n

DORA richiede che la classificazione degli incidenti avvenga contro criteri precisi definiti negli standard tecnici regolatori (RTS) sviluppati congiuntamente da EBA, ESMA e EIOPA. I parametri di classificazione includono: numero di clienti colpiti, durata dell’interruzione, impatto finanziario, impatto reputazionale e componente geografica dell’incidente. La combinazione di questi parametri determina se l’evento costituisce un “incidente ICT maggiore” soggetto agli obblighi di notifica.<\/p>\n\n\n\n

Sanzioni e penali: NIS2 vs DORA nel dettaglio<\/h2>\n\n\n\n

Il regime sanzionatorio \u00e8 ci\u00f2 che trasforma NIS2 e DORA da esercizi formali di documentazione a obblighi aziendali con conseguenze finanziarie reali. I numeri sono significativi, e le autorit\u00e0 di vigilanza europee, dopo una fase iniziale di orientamento, stanno passando all’enforcement attivo.<\/p>\n\n\n\n

Tipo di sanzione<\/th>NIS2<\/th>DORA<\/th><\/tr><\/thead>
Sanzione massima (entit\u00e0 essenziali)<\/strong><\/td>\u20ac10 milioni o 2% del fatturato annuo globale (il maggiore dei due)<\/td>2% del fatturato annuo globale<\/td><\/tr>
Sanzione massima (entit\u00e0 importanti)<\/strong><\/td>\u20ac7 milioni o 1,4% del fatturato annuo globale (il maggiore dei due)<\/td>N\/A (DORA non categorizza per importanza dell’entit\u00e0)<\/td><\/tr>
Penali per non conformit\u00e0 continuativa<\/strong><\/td>Non specificate a livello UE (rimesse agli Stati membri)<\/td>Fino all’1% del fatturato medio giornaliero per ogni giorno<\/td><\/tr>
Responsabilit\u00e0 personale dei manager<\/strong><\/td>Sospensione temporanea dall’esercizio delle funzioni manageriali<\/td>Sanzioni personali fino a \u20ac1 milione per i senior manager<\/td><\/tr>
Sanzioni per fornitori ICT critici (CTPP)<\/strong><\/td>Non applicabile direttamente ai fornitori terzi<\/td>Fino a \u20ac5 milioni o 1% del fatturato giornaliero per ogni giorno (fino a 6 mesi)<\/td><\/tr>
Ordini di cessazione dell’attivit\u00e0<\/strong><\/td>Previsti in casi di violazioni gravi<\/td>Previsti per entit\u00e0 persistentemente non conformi<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Un aspetto peculiare di DORA \u00e8 la responsabilit\u00e0 personale dei manager<\/strong> fino a \u20ac1 milione. Questa disposizione modifica radicalmente il profilo di rischio degli amministratori delegati, dei responsabili finanziari e dei chief risk officer delle istituzioni finanziarie europee. Non \u00e8 pi\u00f9 sufficiente che l’organizzazione si conformi in modo adeguato: i dirigenti devono poter dimostrare di aver esercitato supervisione attiva e documentata sulla resilienza digitale della propria organizzazione.<\/p>\n\n\n\n

Anche NIS2 introduce la responsabilit\u00e0 degli organi di amministrazione: i dirigenti di entit\u00e0 essenziali possono essere temporaneamente sospesi dall’esercizio delle funzioni manageriali in caso di violazioni gravi. Questa misura, inedita nella normativa europea sulla cybersecurity, rappresenta un segnale chiaro che la compliance non pu\u00f2 essere delegata esclusivamente al team IT. Il board deve essere parte attiva del sistema di governance della cybersecurity.<\/p>\n\n\n\n

Per i fornitori ICT terzi critici (CTPP)<\/strong>, DORA introduce un regime sanzionatorio proprio: fino a \u20ac5 milioni o 1% del fatturato medio giornaliero per ogni giorno di non conformit\u00e0, per un periodo massimo di 6 mesi. Questa disposizione si applica ai fornitori designati come critici dalle Autorit\u00e0 di vigilanza europee e rappresenta una novit\u00e0 assoluta: per la prima volta, i grandi cloud provider che servono il sistema finanziario europeo possono essere sanzionati direttamente dalla normativa europea, senza dover passare attraverso la responsabilit\u00e0 contrattuale delle istituzioni clienti.<\/p>\n\n\n\n

Test di resilienza operativa digitale: TLPT e obblighi NIS2<\/h2>\n\n\n\n

I test di resilienza sono una delle aree dove DORA va significativamente oltre NIS2 in termini di prescrittivit\u00e0, rigorosit\u00e0 metodologica e coinvolgimento delle autorit\u00e0 di vigilanza nel processo di testing.<\/p>\n\n\n\n

Sotto NIS2<\/strong>, le entit\u00e0 devono condurre test di sicurezza periodici come parte delle misure tecniche e organizzative obbligatorie. La direttiva non prescrive una metodologia specifica n\u00e9 una frequenza rigidamente definita, lasciando agli Stati membri e alle entit\u00e0 flessibilit\u00e0 nell’implementazione. In Italia, l’ACN ha pubblicato linee guida che raccomandano penetration test annuali e vulnerability assessment trimestrali per le entit\u00e0 essenziali, ma si tratta di raccomandazioni operative, non di obblighi normativi prescritti con la stessa rigidit\u00e0 di DORA.<\/p>\n\n\n\n

Sotto DORA<\/strong>, il quadro \u00e8 molto pi\u00f9 strutturato e prescrittivo. Il Regolamento prescrive un programma completo di test di resilienza operativa digitale che include: valutazioni e scansioni delle vulnerabilit\u00e0, analisi delle lacune, test di sicurezza delle reti, gap analysis, test di scenario fisico, test end-to-end su tutte le funzioni critiche o importanti, e penetration test standard. La frequenza minima varia per tipo di test, ma il programma complessivo deve essere continuo e documentato.<\/p>\n\n\n\n

La misura pi\u00f9 impegnativa \u00e8 il Threat-Led Penetration Testing (TLPT)<\/strong>, obbligatorio per le entit\u00e0 identificate dai supervisori come significative. Il TLPT deve essere condotto almeno ogni 3 anni<\/strong>, utilizzando il framework TIBER-EU<\/strong> o un framework nazionale equivalente riconosciuto dalle autorit\u00e0, con tester esterni qualificati e indipendenti dall’entit\u00e0 testata. I risultati devono essere condivisi con le autorit\u00e0 competenti e devono alimentare piani di remediation documentati e con scadenze precise.<\/p>\n\n\n\n

Il TIBER-EU<\/strong> (Threat Intelligence-Based Ethical Red-teaming), sviluppato dalla Banca Centrale Europea e adottato in Italia come TIBER-IT da Banca d’Italia, \u00e8 il framework di riferimento per i test avanzati. Un TLPT completo per un istituto bancario medio ha un costo stimato tra \u20ac50.000 e \u20ac150.000<\/strong>, considerando il threat intelligence briefing preliminare, l’impegno del red team esterno per la fase di testing (tipicamente 3-6 mesi), e la gestione del remediation plan. Le grandi banche sistemiche possono sostenere costi significativamente pi\u00f9 alti per un perimetro di test pi\u00f9 esteso.<\/p>\n\n\n\n

Gestione del rischio della supply chain ICT<\/h2>\n\n\n\n

Sia NIS2 che DORA riconoscono che la catena di approvvigionamento ICT \u00e8 uno dei vettori di rischio pi\u00f9 critici per le organizzazioni moderne. Gli attacchi alla supply chain, come dimostrato da numerosi incidenti nel 2024-2025, possono colpire centinaia di organizzazioni attraverso un singolo fornitore compromesso. Tuttavia, l’approccio delle due normative alla gestione di questo rischio \u00e8 notevolmente diverso per struttura e prescrittivit\u00e0.<\/p>\n\n\n\n

Sotto NIS2<\/strong>, le entit\u00e0 devono garantire la sicurezza nella catena di approvvigionamento, includendo i fornitori e i prestatori di servizi critici nel perimetro di controllo. La direttiva richiede che i rapporti con i fornitori siano governati da clausole contrattuali che impongano standard di sicurezza adeguati, e che le entit\u00e0 conducano valutazioni dei rischi specifici di ogni fornitore chiave. In pratica, questo si traduce in questionari di sicurezza fornitori, audit contrattuali e potenziali clausole di audit o ispezione. I fornitori IT di aziende soggette a NIS2 ricevono richieste sempre pi\u00f9 strutturate di documentazione della propria postura di sicurezza.<\/p>\n\n\n\n

Sotto DORA<\/strong>, il framework per i fornitori ICT terzi \u00e8 molto pi\u00f9 strutturato e formalizzato. L’obbligo pi\u00f9 operativamente rilevante \u00e8 il Registro delle informazioni<\/strong>, un inventario formale di tutti i rapporti contrattuali con fornitori ICT terzi. Questo registro deve essere: continuamente aggiornato con ogni modifica contrattuale, strutturato secondo i template definiti dagli standard tecnici (RTS) delle ESA, trasmesso annualmente alle autorit\u00e0 nazionali competenti, e inclusivo delle catene di sub-appalto critiche dei fornitori stessi.<\/p>\n\n\n\n

La prima scadenza per la trasmissione del registro alle autorit\u00e0 nazionali era il 30 aprile 2026<\/strong>. Le entit\u00e0 che non avevano completato il mapping completo dei propri fornitori ICT in tempo hanno affrontato richieste urgenti da parte dei supervisori nazionali e, in alcuni casi, richieste di spiegazioni formali. La costruzione del registro si \u00e8 rivelata un’attivit\u00e0 molto pi\u00f9 laboriosa del previsto per molte istituzioni, che si trovano a gestire centinaia o migliaia di rapporti contrattuali con fornitori ICT a vari livelli della catena di approvvigionamento.<\/p>\n\n\n\n

DORA prevede inoltre un regime di supervisione diretta per i fornitori ICT terzi critici (CTPP)<\/strong>: quei fornitori che servono un numero significativo di istituzioni finanziarie e rappresentano un rischio sistemico vengono designati dalle Autorit\u00e0 di vigilanza europee e sottoposti a supervisione diretta. Questo \u00e8 particolarmente rilevante per i grandi cloud provider come AWS, Microsoft Azure e Google Cloud, che sono gi\u00e0 in dialogo strutturato con le autorit\u00e0 europee su questi obblighi e hanno avviato programmi dedicati di compliance DORA per i loro clienti del settore finanziario.<\/p>\n\n\n\n

Cinque casi pratici: chi ricade sotto quale normativa in Italia<\/h2>\n\n\n\n

La teoria \u00e8 utile, ma i casi pratici chiariscono meglio di qualsiasi schema astratto dove si applica quale normativa. Di seguito cinque scenari tipici per il mercato italiano.<\/p>\n\n\n\n

Caso 1: Grande banca italiana con operazioni internazionali.<\/strong> Banche come quelle nei gruppi bancari sistemici italiani ricadono sotto entrambe le normative<\/strong>. Come banche regolamentate nell’UE, sono soggette a DORA dal 17 gennaio 2025 per tutti gli aspetti della resilienza digitale operativa. Come entit\u00e0 essenziali nell’ambito bancario del settore ad alta criticit\u00e0 NIS2, sono soggette anche agli obblighi della direttiva. La regola operativa applicata: DORA governa le questioni ICT esplicitamente nel suo ambito, mentre NIS2 si applica agli obblighi non coperti da DORA. I team compliance di questi istituti hanno mappato ogni obbligo NIS2 verso l’equivalente DORA e hanno strutturato programmi unificati dove possibile, riducendo le duplicazioni stimate tra il 25% e il 35%.<\/p>\n\n\n\n

Caso 2: Utility energetica con \u2265250 dipendenti.<\/strong> Le grandi aziende del settore energetico sono soggette esclusivamente a NIS2<\/strong> come entit\u00e0 essenziali del settore energetico. Non essendo entit\u00e0 finanziarie regolamentate, DORA non si applica. Gli obblighi NIS2 per queste aziende includono la protezione delle infrastrutture critiche di generazione e distribuzione, la notifica degli incidenti all’ACN entro 24 ore, e la gestione dei rischi legati ai sistemi SCADA e OT (Operational Technology). Il profilo di rischio \u00e8 diverso da quello di una banca: gli attacchi alle infrastrutture energetiche hanno impatti fisici diretti sulla popolazione, il che rende particolarmente critica la continuit\u00e0 operativa anche in presenza di un incidente informatico.<\/p>\n\n\n\n

Caso 3: Grande compagnia assicurativa con operazioni nell’UE.<\/strong> Le imprese assicurative ricadono sotto entrambe le normative<\/strong>. DORA si applica esplicitamente alle imprese di assicurazione e riassicurazione tra le 21 categorie di entit\u00e0 finanziarie. NIS2 si applica perch\u00e9 le infrastrutture finanziarie sono tra i settori ad alta criticit\u00e0 e molte compagnie assicurative superano le soglie dimensionali per entit\u00e0 essenziale. IVASS \u00e8 l’autorit\u00e0 di vigilanza DORA per il comparto assicurativo in Italia. Il costo di conformit\u00e0 per strutture assicurative di grandi dimensioni \u00e8 nella fascia superiore della forchetta Deloitte, con programmi TLPT che coinvolgono team di tester certificati TIBER-IT e perimetri di test estesi a centinaia di sistemi critici.<\/p>\n\n\n\n

Caso 4: Societ\u00e0 fintech con licenza come istituto di pagamento (12 dipendenti).<\/strong> Una startup fintech con 12 dipendenti e licenza come istituto di pagamento \u00e8 pienamente soggetta a DORA<\/strong> senza alcuna esenzione per dimensione. Questo significa framework ICT documentato e approvato dal board, registro dei fornitori ICT, notifica incidenti entro 4 ore, e un programma completo di test di resilienza. I costi di conformit\u00e0 per un’entit\u00e0 cos\u00ec piccola possono essere proibitivi se affrontati internamente, spingendo verso soluzioni di outsourcing specializzato. Diverse societ\u00e0 di consulenza italiane hanno gi\u00e0 sviluppato offerte DORA-as-a-service specificamente per le fintech di piccole dimensioni, con costi tipicamente tra \u20ac80.000 e \u20ac200.000 all’anno.<\/p>\n\n\n\n

Caso 5: Fornitore di servizi cloud che serve clienti finanziari.<\/strong> Un provider cloud o data center che serve prevalentemente clienti del settore finanziario \u00e8 soggetto a NIS2<\/strong> come fornitore di infrastrutture digitali. Pu\u00f2 essere designato come fornitore ICT terzo critico (CTPP) sotto DORA, il che lo assoggetta a supervisione diretta delle ESA. Deve aggiornare i contratti con tutti i clienti finanziari per includere le clausole obbligatorie richieste da DORA (diritti di audit, strategia di uscita, disclosure del sub-appalto, accordi sui livelli di servizio con metriche precise). I grandi cloud provider internazionali hanno team dedicati alla compliance DORA, ma i provider cloud italiani di dimensioni medie si trovano a dover gestire questi obblighi con risorse pi\u00f9 limitate.<\/p>\n\n\n\n

Costi di conformit\u00e0: cosa aspettarsi nel 2026<\/h2>\n\n\n\n

I costi di conformit\u00e0 sono la variabile che trasforma il dibattito normativo in un problema di bilancio concreto per i CFO e i board. I dati disponibili per il 2025-2026 permettono di tracciare un quadro ragionevolmente preciso per diverse tipologie di organizzazioni.<\/p>\n\n\n\n

Secondo una ricerca di Deloitte citata nei principali report di settore, il 96% delle istituzioni finanziarie ha stimato i propri costi di conformit\u00e0 DORA<\/strong>, con la maggior parte che indica una forchetta tra \u20ac2 milioni e \u20ac5 milioni<\/strong>. Questa stima varia significativamente in base a diversi fattori: la maturit\u00e0 preesistente del framework ICT (istituzioni gi\u00e0 allineate a TIBER-EU partono avvantaggiate), il numero di fornitori terzi da mappare nel registro (alcune grandi banche gestiscono migliaia di rapporti contrattuali ICT), e le dimensioni della struttura IT complessiva che determina l’ampiezza del perimetro di test.<\/p>\n\n\n\n

Per NIS2, i costi di conformit\u00e0 sono pi\u00f9 difficili da generalizzare data la diversit\u00e0 dei settori e delle organizzazioni coperte. Un’azienda manifatturiera con 300 dipendenti e sistemi OT dovr\u00e0 investire in segmentazione di rete e hardening degli endpoint OT, con costi tipicamente nell’ordine di \u20ac200.000-\u20ac800.000. Un ospedale di medie dimensioni che deve conformarsi alla NIS2 in ambito sanitario ha invece un profilo completamente diverso, con investimenti prioritari in protezione delle cartelle cliniche elettroniche, business continuity clinica e formazione del personale medico sui rischi informatici.<\/p>\n\n\n\n

I costi nascosti spesso sottovalutati nelle previsioni iniziali includono: la formazione obbligatoria per il management e il board (sessioni trimestrali di aggiornamento sui rischi ICT), l’aggiornamento dei contratti con tutti i fornitori ICT (un processo che pu\u00f2 richiedere mesi per organizzazioni con catene di approvvigionamento complesse), l’implementazione o upgrade dei sistemi SIEM per soddisfare i requisiti di monitoraggio continuo richiesti da entrambe le normative, e le attivit\u00e0 di comunicazione strutturata verso le autorit\u00e0 di vigilanza (registrazione ACN, trasmissione del registro DORA, risposta a eventuali richieste di informazioni).<\/p>\n\n\n\n

Strumenti e soluzioni per la conformit\u00e0: prezzi e confronto<\/h2>\n\n\n\n
Soluzione<\/th>Copertura NIS2<\/th>Copertura DORA<\/th>Costo indicativo annuo<\/th>Adatta per<\/th><\/tr><\/thead>
GRC Platform (es. ServiceNow GRC, RSA Archer)<\/strong><\/td>Alta<\/td>Alta<\/td>\u20ac30.000-\u20ac150.000<\/td>Organizzazioni medie e grandi<\/td><\/tr>
SIEM (es. Splunk, Wazuh Enterprise)<\/strong><\/td>Alta<\/td>Media<\/td>\u20ac20.000-\u20ac100.000<\/td>Monitoraggio continuo e log management<\/td><\/tr>
Vulnerability Management (es. Tenable, Rapid7)<\/strong><\/td>Alta<\/td>Alta<\/td>\u20ac10.000-\u20ac50.000<\/td>Scansioni periodiche e gap analysis<\/td><\/tr>
ICT Third-Party Register Tool<\/strong><\/td>Media<\/td>Alta<\/td>\u20ac8.000-\u20ac30.000<\/td>Entit\u00e0 finanziarie soggette a DORA<\/td><\/tr>
TLPT\/Penetration Testing esterno (TIBER-EU)<\/strong><\/td>Media<\/td>Alta<\/td>\u20ac50.000-\u20ac150.000 per test<\/td>Istituti finanziari significativi<\/td><\/tr>
Consulenza conformit\u00e0 specializzata<\/strong><\/td>Alta<\/td>Alta<\/td>\u20ac50.000-\u20ac500.000 per progetto<\/td>Prima implementazione o gap assessment<\/td><\/tr>
DORA-as-a-Service (provider specializzati)<\/strong><\/td>Media<\/td>Alta<\/td>\u20ac80.000-\u20ac200.000<\/td>Fintech piccole con licenza regolamentare<\/td><\/tr>
Piattaforma e-learning compliance<\/strong><\/td>Media<\/td>Media<\/td>\u20ac5.000-\u20ac20.000<\/td>Formazione board e personale a tutti i livelli<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Guida alla migrazione: come adeguarsi in 8 step<\/h2>\n\n\n\n

Che tu stia aggiornando un framework NIS1 alla NIS2, o costruendo il sistema di conformit\u00e0 DORA da zero, il percorso di migrazione segue una logica comune. Di seguito gli otto passaggi raccomandati, con priorit\u00e0 indicate per entit\u00e0 che devono conformarsi a entrambe le normative.<\/p>\n\n\n\n

Step 1: Scoping e mappatura normativa.<\/strong> Prima di qualsiasi investimento tecnologico, determina con precisione quali normative si applicano alla tua organizzazione. Questo richiede un’analisi legale del settore di attivit\u00e0, della struttura societaria e delle soglie dimensionali. Per le entit\u00e0 finanziarie, verifica se la licenza regolamentare rientra nelle 21 categorie dell’articolo 2 di DORA. Per le altre entit\u00e0, verifica l’elenco dei settori NIS2 e le soglie del D.Lgs. 138\/2024. Questo step \u00e8 critico: deve essere completato prima di qualsiasi altra attivit\u00e0, perch\u00e9 orienta tutte le scelte successive.<\/p>\n\n\n\n

Step 2: Gap assessment rispetto ai requisiti attuali.<\/strong> Conduci un’analisi delle lacune tra la postura di sicurezza attuale e i requisiti delle normative applicabili. Per DORA, usa come riferimento gli RTS pubblicati da EBA, ESMA e EIOPA. Per NIS2, usa le linee guida ACN e standard internazionali come ISO\/IEC 27001 come punto di partenza. Il gap assessment deve produrre un piano di remediation con priorit\u00e0, tempistiche e stime di costo per ciascuna lacuna identificata. La durata tipica di un gap assessment per organizzazioni di medie dimensioni \u00e8 4-8 settimane con un team misto interno ed esterno.<\/p>\n\n\n\n

Step 3: Governance e accountability del management.<\/strong> Entrambe le normative richiedono il coinvolgimento attivo degli organi di amministrazione. Il board deve approvare le politiche di sicurezza, ricevere formazione periodica sulla cybersecurity, e avere visibilit\u00e0 strutturata sulle metriche di rischio ICT. Aggiorna lo statuto del comitato per il rischio, aggiungi un punto fisso sull’agenda del board per la cybersecurity (almeno trimestrale), e documenta tutte le delibere relative alla gestione del rischio ICT. Questo step serve anche a proteggere i singoli manager dalla responsabilit\u00e0 personale prevista da entrambe le normative.<\/p>\n\n\n\n

Step 4: Documentazione del framework ICT.<\/strong> Sviluppa o aggiorna il framework formale di gestione del rischio ICT. Il documento deve coprire politiche, procedure, ruoli e responsabilit\u00e0 per tutte le fasi del ciclo di vita del rischio. Includi l’inventario degli asset ICT critici con classificazione della criticit\u00e0, e la mappatura delle dipendenze critiche interne ed esterne. Il framework deve essere approvato formalmente dal board e rivisto almeno annualmente. Per entit\u00e0 DORA, questo non \u00e8 un’opzione ma un prerequisito inderogabile per qualsiasi altro step di conformit\u00e0.<\/p>\n\n\n\n

Step 5: Aggiornamento dei processi di notifica degli incidenti.<\/strong> Ridisegna i processi di incident response per soddisfare le tempistiche normative pi\u00f9 stringenti applicabili alla tua organizzazione. Per le entit\u00e0 DORA, l’obiettivo \u00e8 classificare un incidente e inviare la notifica iniziale entro 4 ore. Questo richiede: criteri di classificazione automatizzati nel sistema di monitoraggio, playbook di risposta pre-approvati, contatti aggiornati delle autorit\u00e0 nazionali competenti, e almeno un esercizio simulato all’anno per testare la capacit\u00e0 di risposta entro i tempi previsti. Per NIS2, la finestra di 24 ore per l’early warning d\u00e0 pi\u00f9 margine ma richiede comunque processi strutturati.<\/p>\n\n\n\n

Step 6: Inventario e gestione dei fornitori ICT.<\/strong> Avvia il mapping di tutti i contratti con fornitori ICT. Per DORA, il registro deve includere: nome e identificativo del fornitore, natura e criticit\u00e0 dei servizi forniti, localizzazione dei dati e dei data center, clausole contrattuali di sicurezza esistenti, e valutazione del rischio di concentrazione. Inizia dai fornitori che supportano funzioni critiche o importanti e procedi verso quelli meno critici. Questo step \u00e8 stato il pi\u00f9 sottovalutato in fase di pianificazione: molte istituzioni hanno scoperto di avere un numero di fornitori ICT molto pi\u00f9 alto di quanto stimato inizialmente.<\/p>\n\n\n\n

Step 7: Pianificazione dei test di resilienza.<\/strong> Implementa un programma di test proporzionato alla tua classificazione normativa. Per NIS2, almeno un penetration test annuale per le entit\u00e0 essenziali \u00e8 la raccomandazione ACN. Per DORA, un programma completo che include vulnerability assessment trimestrali, penetration test annuali, e TLPT ogni tre anni per le entit\u00e0 significative. Seleziona i fornitori di test con certificazioni riconosciute (CREST, TIBER-EU\/TIBER-IT) e assicurati che i contratti includano la consegna di report in formato compatibile con i requisiti di reporting verso le autorit\u00e0 competenti.<\/p>\n\n\n\n

Step 8: Formazione e cultura della sicurezza.<\/strong> Implementa programmi di formazione periodica per tutto il personale, con moduli specifici per i ruoli con accesso a sistemi critici e per il management. Il board deve ricevere formazione sui rischi ICT almeno annualmente. NIS2 e DORA richiedono entrambe che le misure di sicurezza includano pratiche di igiene informatica e sensibilizzazione sistematica. Documenta ogni sessione di formazione con data, contenuto, partecipanti e modalit\u00e0 di verifica dell’apprendimento: in caso di verifica da parte delle autorit\u00e0, questa documentazione \u00e8 la prova pi\u00f9 immediata della seriet\u00e0 e continuit\u00e0 del programma.<\/p>\n\n\n\n

Pro e contro: analisi critica di entrambe le normative<\/h2>\n\n\n\n

NIS2: vantaggi e limiti<\/h3>\n\n\n\n

Vantaggi:<\/strong> Copertura orizzontale che eleva simultaneamente il livello di sicurezza in 18 settori critici. Flessibilit\u00e0 implementativa che consente alle organizzazioni di scegliere le soluzioni tecniche pi\u00f9 adatte al proprio contesto operativo. Proporzionalit\u00e0 per dimensione aziendale che evita di schiacciare le PMI con obblighi sproporzionati. Framework per la supply chain che estende la protezione oltre il perimetro aziendale diretto. Responsabilizzazione strutturata del management che integra la cybersecurity nella governance aziendale a livello di board.<\/p>\n\n\n\n

Limiti:<\/strong> Implementazione eterogenea tra gli Stati membri che crea asimmetrie competitive all’interno del mercato unico europeo. Assenza di standard tecnici uniformi che lascia incertezza su cosa costituisca una misura “adeguata” in ogni specifico contesto. Sovrapposizione con DORA per le entit\u00e0 finanziarie che crea complessit\u00e0 di compliance e potenziale duplicazione degli sforzi. Enforcement ancora in fase di consolidamento in diversi Stati membri, con un rischio reale che la normativa rimanga sulla carta per anni in alcuni paesi. Mancanza di un registro EU centralizzato delle entit\u00e0 soggette che rende difficile la mappatura per i fornitori che operano in pi\u00f9 Stati membri.<\/p>\n\n\n\n

DORA: vantaggi e limiti<\/h3>\n\n\n\n

Vantaggi:<\/strong> Regolamento direttamente applicabile che elimina le asimmetrie di implementazione tra Stati membri e garantisce un level playing field per il settore finanziario europeo. Standard tecnici prescrittivi (RTS\/ITS) che riducono significativamente l’incertezza su cosa sia effettivamente richiesto in ogni area. Framework strutturato per i fornitori ICT critici che affronta i rischi di concentrazione sistemica nell’infrastruttura cloud. Regime di supervisione diretta dei fornitori ICT che colma un gap normativo storico. Responsabilit\u00e0 personale dei manager che crea incentivi concreti per il board a occuparsi attivamente della resilienza digitale.<\/p>\n\n\n\n

Limiti:<\/strong> Nessuna esenzione per dimensione che pu\u00f2 essere sproporzionalmente oneroso per piccole entit\u00e0 finanziarie con risorse limitate. Complessit\u00e0 del Registro delle informazioni che richiede risorse significative per costruzione, manutenzione e aggiornamento continuo. Costi del TLPT potenzialmente proibitivi per istituzioni di dimensioni medie che non hanno un team interno specializzato. Sovrapposizione normativa con NIS2, requisiti BCE, requisiti Pillar II Basilea, GDPR e altri framework settoriali che crea un panorama di compliance sempre pi\u00f9 complesso e costoso. Standard tecnici ancora in evoluzione che richiedono monitoraggio continuo delle linee guida ESA per rimanere aggiornati.<\/p>\n\n\n\n

Opinioni degli esperti: il settore valuta la coesistenza<\/h2>\n\n\n\n

Il settore della cybersecurity e della compliance ha espresso posizioni articolate sull’interazione tra NIS2 e DORA nel corso del 2025-2026. La lettura degli esperti chiarisce dove il dibattito normativo si traduce in scelte operative concrete.<\/p>\n\n\n\n

ISACA<\/strong>, la principale associazione internazionale di professionisti dell’IT audit e della governance, ha sottolineato che “le imprese possono essere soggette a DORA, NIS2, entrambe o nessuna, evidenziando che la mappatura della conformit\u00e0 deve essere effettuata entit\u00e0 per entit\u00e0 piuttosto che per etichetta di settore”. Questo avvertimento riflette la tendenza pericolosa delle organizzazioni a semplificare eccessivamente lo scoping normativo, assumendo che appartenere a un settore finanziario implichi automaticamente solo DORA, o che non farlo implichi solo NIS2.<\/p>\n\n\n\n

Kymatio<\/strong>, specialista in cybersecurity comportamentale e compliance, descrive la relazione tra le due normative come una “coesistenza perfettamente regolamentata”, affermando che “DORA \u00e8 lo standard di riferimento per il rischio digitale nel settore finanziario”. Questo inquadramento suggerisce che, per le entit\u00e0 finanziarie, DORA dovrebbe essere il punto di partenza della progettazione del framework di conformit\u00e0, con NIS2 integrata come strato aggiuntivo per gli obblighi non coperti.<\/p>\n\n\n\n

Ceeyu<\/strong>, piattaforma di attack surface management, ha chiarito una posizione tecnica importante: “le aziende coperte da entrambe le normative devono ancora conformarsi agli obblighi NIS2 non coperti da DORA”, respingendo l’interpretazione che DORA sostituisca completamente NIS2 per le entit\u00e0 finanziarie. Questa posizione \u00e8 la pi\u00f9 conservativa e probabilmente la pi\u00f9 sicura dal punto di vista della gestione del rischio di compliance.<\/p>\n\n\n\n

L’Autorit\u00e0 Bancaria Europea (EBA)<\/strong>, nel quadro dei lavori sugli standard tecnici DORA, ha enfatizzato che la proporzionalit\u00e0 prevista dal regolamento non equivale a esenzione dagli obblighi fondamentali: anche le entit\u00e0 finanziarie pi\u00f9 piccole devono poter dimostrare un framework ICT funzionante. Questa posizione ha implicazioni dirette per le fintech italiane di piccole dimensioni che hanno interpretato la “proporzionalit\u00e0” come una via d’uscita dagli obblighi pi\u00f9 onerosi del regolamento.<\/p>\n\n\n\n

Deloitte Italia<\/strong>, nel suo lavoro di advisory sulla readiness DORA condotto nel 2024-2025, ha rilevato che una parte significativa delle istituzioni finanziarie italiane aveva completato meno del 60% delle attivit\u00e0 di conformit\u00e0 richieste entro la data di applicabilit\u00e0 del 17 gennaio 2025. Le aree con i gap pi\u00f9 critici erano il Registro delle informazioni sui fornitori ICT (costruzione e strutturazione secondo i template RTS) e la documentazione del framework ICT con approvazione formale del board.<\/p>\n\n\n\n

5 raccomandazioni per caso d’uso: quale percorso seguire<\/h2>\n\n\n\n

Sulla base dell’analisi condotta, cinque scenari tipici con la raccomandazione operativa pi\u00f9 efficiente per ciascuno.<\/p>\n\n\n\n

Raccomandazione 1: Istituto bancario o di credito di medie dimensioni.<\/strong> Sei soggetto a entrambe le normative. Costruisci un programma di conformit\u00e0 unificato con DORA come framework principale per tutte le questioni ICT, e integra gli obblighi NIS2 specifici come componenti aggiuntivi. Avvia dalla governance del board e dal Registro dei fornitori ICT (obblighi pi\u00f9 urgenti con scadenze ravvicinate), poi procedi con il framework ICT completo e il programma di test. Stima un budget di conformit\u00e0 iniziale tra \u20ac1,5M e \u20ac4M a seconda della maturit\u00e0 preesistente, con costi ricorrenti annui tra \u20ac500K e \u20ac1,5M.<\/p>\n\n\n\n

Raccomandazione 2: Azienda manifatturiera con \u2265250 dipendenti.<\/strong> Sei soggetto esclusivamente a NIS2 come entit\u00e0 essenziale nel settore manifatturiero. Priorit\u00e0: governance del management e sicurezza della supply chain. Molte aziende manifatturiere italiane sottovalutano i rischi legati ai sistemi OT e SCADA. Investi in segmentazione di rete tra IT e OT, aggiorna i contratti con i fornitori di automazione industriale per includere clausole di sicurezza, e pianifica un penetration test che includa i sistemi operativi e non solo l’infrastruttura IT tradizionale.<\/p>\n\n\n\n

Raccomandazione 3: Startup fintech con licenza regolamentare (sotto 50 dipendenti).<\/strong> Sei soggetto a DORA anche con pochi dipendenti. Non esiste un percorso semplificato. La raccomandazione pi\u00f9 efficiente \u00e8 esternalizzare la compliance a un provider specializzato che offra DORA-as-a-service, con costi tipicamente tra \u20ac80.000 e \u20ac200.000 all’anno. Questo \u00e8 significativamente meno costoso rispetto a costruire internamente tutta la capacit\u00e0 richiesta. Valuta anche se la struttura societaria e la licenza attuale possono essere ottimizzate per ridurre il perimetro normativo complessivo.<\/p>\n\n\n\n

Raccomandazione 4: Ospedale o struttura sanitaria con \u226550 dipendenti.<\/strong> Sei soggetto a NIS2 nel settore ad alta criticit\u00e0 della sanit\u00e0. Priorit\u00e0: continuit\u00e0 operativa clinica e protezione dei dati sanitari. Gli ospedali italiani sono stati tra i bersagli pi\u00f9 colpiti da ransomware negli ultimi due anni. NIS2 richiede piani di business continuity testati, backup sicuri e segregati, e procedure di risposta agli incidenti che garantiscano la continuit\u00e0 delle cure anche in presenza di un attacco informatico. Coordina la compliance NIS2 con gli obblighi GDPR (particolarmente stringenti per i dati sanitari) per evitare duplicazioni costose e per massimizzare l’efficienza degli investimenti in sicurezza.<\/p>\n\n\n\n

Raccomandazione 5: Provider cloud o data center con clienti finanziari.<\/strong> Sei soggetto a NIS2 come fornitore di infrastrutture digitali. Potresti essere designato come fornitore ICT terzo critico (CTPP) sotto DORA. Agisci proattivamente: registrati presso l’ACN per NIS2 e monitora le comunicazioni delle ESA sulla designazione dei CTPP. Se hai clienti finanziari significativi, avvia un programma di revisione contrattuale per includere tutte le clausole obbligatorie DORA (audit rights, exit strategy, subcontracting disclosure). La compliance ai requisiti contrattuali DORA \u00e8 diventata un fattore competitivo: i clienti finanziari danno preferenza ai provider che dimostrano maturit\u00e0 su questi obblighi.<\/p>\n\n\n\n

Verdetto: NIS2 o DORA, chi governa la cybersecurity della tua azienda?<\/h2>\n\n\n\n

La risposta dipende da un fattore fondamentale: sei un’entit\u00e0 finanziaria regolamentata nell’UE?<\/strong><\/p>\n\n\n\n

Se s\u00ec, DORA \u00e8 il punto di partenza. \u00c8 pi\u00f9 prescrittiva, direttamente applicabile in tutti gli Stati membri, e i supervisori finanziari (Banca d’Italia, CONSOB, IVASS) hanno una tradizione di enforcement pi\u00f9 strutturata rispetto alle neonate strutture NIS2. Per le aree di sovrapposizione, DORA funge da lex specialis e si applica con priorit\u00e0. Ma NIS2 rimane rilevante per gli obblighi che DORA non copre esplicitamente, e ignorarla costituisce una violazione normativa distinta con le proprie sanzioni.<\/p>\n\n\n\n

Se non sei un’entit\u00e0 finanziaria, NIS2 \u00e8 la tua normativa di riferimento. L’applicazione varia per settore e dimensione, ma le 12.000 aziende italiane stimate nell’ambito NIS2 non possono permettersi di aspettare l’enforcement per iniziare ad adeguarsi. Le sanzioni fino a \u20ac10 milioni e la responsabilit\u00e0 personale dei manager rendono il costo dell’inazione superiore al costo della conformit\u00e0 per qualsiasi organizzazione di dimensioni medie o grandi.<\/p>\n\n\n\n

Per le entit\u00e0 soggette a entrambe, la strategia pi\u00f9 efficiente \u00e8 costruire un framework unificato che soddisfi i requisiti pi\u00f9 stringenti di DORA per le aree coperte da entrambe, e integrare gli obblighi NIS2 non coperti da DORA come strati aggiuntivi. Questa architettura evita la duplicazione degli sforzi e riduce i costi complessivi di conformit\u00e0 tra il 20% e il 35% rispetto a due programmi paralleli e indipendenti.<\/p>\n\n\n\n

Il 2026 \u00e8 l’anno in cui i supervisori europei passeranno definitivamente dalla fase di implementazione a quella di enforcement attivo. Le organizzazioni che hanno trattato NIS2 e DORA come esercizi formali di documentazione scopriranno che le autorit\u00e0 richiedono prove di funzionamento reale dei controlli, non solo di esistenza sulla carta. Chi ha investito nella conformit\u00e0 sostanziale, non solo formale, sar\u00e0 significativamente meglio posizionato per affrontare questa nuova fase.<\/p>\n\n\n\n

Copertura correlata<\/h2>\n\n\n\n