Il contesto normativo europeo sta vivendo una trasformazione radicale, che si riflette anche nel panorama ICT.
Tra le novità più rilevanti, la Direttiva NIS2 e il regolamento DORA emergono come pilastri fondamentali per la sicurezza delle infrastrutture critiche e per la resilienza del settore finanziario. Mentre la NIS2 estende e rafforza gli obblighi di sicurezza informatica per le aziende che operano in settori cruciali, DORA – il Digital Operational Resilience Act – punta a garantire la solidità operativa delle istituzioni finanziarie in un contesto sempre più digitalizzato.
NIS2, DORA e la resilienza aziendale
La Direttiva NIS2 è l’evoluzione della NIS originale, entrata in vigore nel 2016, con l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi in tutta l’Unione europea.
Con NIS2, i requisiti di sicurezza sono stati estesi per coprire un numero maggiore di settori, coinvolgendo non solo le infrastrutture critiche tradizionali, come l’energia e i trasporti, ma anche i servizi digitali e i fornitori di ICT. L’approccio è più estensivo e incisivo, includendo anche le piccole e medie imprese che offrono servizi essenziali. Le sanzioni, in caso di inadempienza, possono arrivare fino al 2% del fatturato annuo, rendendo la conformità un fattore cruciale per la sostenibilità aziendale.
DORA si inserisce in un contesto di crescente digitalizzazione dei servizi finanziari, con l’obiettivo di garantire che banche, assicurazioni e altre istituzioni finanziarie possano resistere agli shock operativi, inclusi gli attacchi informatici.
La resilienza operativa digitale non riguarda solo la protezione dagli attacchi, ma anche la capacità di garantire la continuità dei servizi essenziali in caso di crisi.
Nel miglioramento della resilienza delle aziende del settore finanziario le tecnologie ICT giocano un ruolo fondamentale e per i vendor di soluzioni per la cyber security queste normative rappresentano un’importante occasione per sviluppare nuove soluzioni, tecnologie e servizi capaci di supportare le imprese nel raggiungimento e nel mantenimento della conformità. Tuttavia, il rafforzamento della resilienza non si limita all’acquisizione di nuovi strumenti tecnologici, ma richiede anche una revisione delle strategie di gestione del rischio, l’adozione di framework di cyber security come Zero Trust e la costruzione di una cultura interna della sicurezza.
Impatto organizzativo, legale ed economico delle normative NIS2 e DORA
L’implementazione delle normative NIS2 e DORA ha un impatto significativo su vari aspetti delle organizzazioni, influenzando in modo trasversale la gestione operativa, gli obblighi legali e le risorse economiche.
Dal punto di vista organizzativo, le aziende devono rivedere e aggiornare i propri processi interni per garantire una maggiore protezione dei dati e delle infrastrutture critiche. Ciò implica anche una più stretta collaborazione tra i reparti IT, legale e di gestione del rischio per garantire un’adeguata risposta alle nuove esigenze normative.
Sul fronte legale, le normative stabiliscono obblighi stringenti, che includono l’adozione di misure di sicurezza specifiche, la rendicontazione degli incidenti e il rispetto dei requisiti di continuità operativa. La mancata conformità può comportare sanzioni pesanti, verifiche frequenti e ulteriori obblighi di compliance, aumentando il rischio di azioni legali e di perdita di fiducia da parte di clienti e partner.
Dal punto di vista economico, l’adeguamento alle normative NIS2 e DORA richiede investimenti significativi in nuove tecnologie di sicurezza, nella formazione del personale e in servizi di consulenza per l’analisi e la gestione del rischio. Sebbene questi costi possano rappresentare un peso per molte aziende, è importante considerare che un investimento adeguato nella sicurezza informatica costituisce, comunque, un elemento strategico che permette di ridurre i rischi associati a incidenti e attacchi informatici e di rafforzare la posizione dell’azienda sul mercato.
Sinergie tra NIS2 e DORA per una sicurezza integrata
Sebbene NIS2 e DORA abbiano obiettivi e target differenti (la NIS2 si concentra su una vasta gamma di infrastrutture, mentre DORA ha un focus specifico sul settore finanziario), le sinergie tra le due normative sono evidenti e fondamentali per costruire un ecosistema ICT sicuro e resiliente. La cyber security non è più una questione confinata a singoli settori: le interconnessioni tra settori diversi richiedono un approccio unificato e coordinato. La necessità di proteggere le infrastrutture critiche e garantire la resilienza operativa nel settore finanziario significa che sia le organizzazioni pubbliche che quelle private devono collaborare per sviluppare soluzioni trasversali in grado di affrontare minacce sempre più sofisticate.
Entrambe condividono un’attenzione particolare alla gestione dei rischi e alla continuità operativa. Le aziende del settore ICT, che spesso forniscono servizi sia a infrastrutture critiche sia al settore finanziario, possono offrire soluzioni che soddisfino contemporaneamente i requisiti di entrambe le normative.
Questo approccio integrato non solo riduce i costi di compliance, ma rafforza la resilienza complessiva delle aziende e la fiducia di clienti e partner. L’adozione di tecnologie come la segmentazione delle reti, la gestione avanzata delle identità digitali e l’autenticazione multifattoriale sono esempi di come le sinergie tra NIS2 e DORA possano concretizzarsi in soluzioni pratiche.
La situazione italiana nell’adeguamento alle nuove normative
Il Decreto Legislativo n. 138/2024, che recepisce la NIS2 in Italia, introduce obblighi precisi per le aziende pubbliche e private, definendo le competenze dell’Agenzia per la Cybersicurezza Nazionale (ACN) delineando le sanzioni per chi non si conforma.
Secondo stime dell’ACN, in Italia sono circa 50mila i nuovi soggetti coinvolti dalla NIS2, che si aggiungono a quelli già interessati dalla precedente direttiva NIS. Per quanto riguarda il Regolamento DORA, non sono disponibili stime precise sul numero di aziende italiane interessate probabilmente a causa della complessità del settore finanziario e alla varietà di entità coinvolte.
L’Italia, come molti altri Paesi europei, si sta muovendo per adeguarsi con investimenti rilevanti in infrastrutture di sicurezza e formazione del personale, ma il percorso verso la piena conformità presenta ancora sfide significative. Le infrastrutture critiche italiane, così come le istituzioni finanziarie, devono affrontare problemi strutturali legati alla complessità degli interventi e alla necessità di un forte coordinamento tra pubblico e privato. Molte aziende stanno cercando di adattarsi agli standard richiesti, ma c’è ancora bisogno di maggiore consapevolezza e investimenti in tecnologie e formazione del personale. Inoltre, il governo italiano ha avviato iniziative per supportare le PMI e le istituzioni finanziarie nel raggiungimento della conformità, attraverso fondi dedicati e campagne di sensibilizzazione sulla cyber security.
DORA e la catena del valore digitale
DORA non si limita a imporre alle istituzioni finanziarie di adottare misure di resilienza operativa, ma estende la sua portata lungo tutta la catena del valore digitale. Ciò significa che anche i fornitori di servizi ICT, cloud provider e partner esterni sono soggetti a verifiche e requisiti di sicurezza. Questo aspetto è cruciale perché, in un ambiente sempre più interconnesso, la vulnerabilità di un singolo partner può compromettere l’intero ecosistema. Le aziende devono quindi valutare attentamente i loro fornitori, assicurandosi che siano conformi agli standard richiesti e integrino nella loro operatività i principi di resilienza operativa previsti da DORA. In tal modo la catena del valore non è più un insieme di entità separate, ma un tessuto connettivo dove la sicurezza di ciascuna parte influisce direttamente sulla resilienza complessiva.