11 Giu DORA e NIS2: una nuova era per la Cybersecurity e la resilienza digitale
L’Unione Europea ha notevolmente rafforzato il quadro normativo volto alla protezione delle infrastrutture digitali e alla resilienza operativa delle aziende, introducendo direttive e regolamenti che ridefiniscono in modo significativo la gestione dei rischi digitali, quali le direttive DORA e NIS2. In questo scenario in rapida evoluzione, diventa di vitale importanza disporre di competenze specifiche e di soluzioni tecnologiche avanzate e mirate su queste direttive, per garantire il pieno rispetto delle nuove disposizioni e trasformare la compliance in un vantaggio competitivo.
Cos’è la NIS2: dettagli operativi
La direttiva NIS2 (Direttiva sulla sicurezza delle reti e dei sistemi informativi) ha sostituito la precedente normativa NIS, con effetto vincolante per gli Stati membri a partire dal 18 ottobre 2024. Il suo ambito di applicazione è stato notevolmente ampliato, includendo ora un’ampia gamma di settori critici ed essenziali, suddivisi in “soggetti essenziali” (come energia, trasporti, sanità, banche, infrastrutture del mercato finanziario, acqua, infrastrutture digitali, pubblica amministrazione) e “soggetti importanti” (tra cui servizi postali, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, alimentari, fabbricazione di macchinari e veicoli, fornitori di servizi digitali essenziali).
La NIS2 introduce obblighi più stringenti in termini di gestione del rischio di cybersecurity, richiedendo alle entità di adottare misure tecniche, operative e organizzative adeguate e proporzionate. Queste includono politiche di analisi del rischio e sicurezza dei sistemi informatici, gestione degli incidenti, continuità operativa (gestione del backup e ripristino in caso di disastro), sicurezza della catena di approvvigionamento (con attenzione ai fornitori terzi), sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi, gestione delle vulnerabilità, test di sicurezza, e formazione del personale. La direttiva ha inoltre stabilito standard elevati per la segnalazione degli incidenti, imponendo agli Stati membri di attivare procedure coordinate per la trasmissione e la condivisione di informazioni in tempo reale. Le entità dovranno notificare gli incidenti significativi alle autorità competenti entro 24 ore dalla prima presa di coscienza, fornire un aggiornamento entro 72 ore, e una relazione finale entro un mese. Questo approccio mira a migliorare la consapevolezza della situazione a livello nazionale e dell’UE.
I 5 pilastri fondamentali di DORA
D’altra parte, la normativa DORA (Digital Operational Resilience) si concentra specificamente sulla resilienza operativa delle istituzioni finanziarie. Riconoscendo l’interdipendenza critica tra il settore finanziario e le tecnologie dell’informazione e della comunicazione (ICT), DORA mira a garantire che gli enti finanziari siano in grado di fronteggiare, resistere e ripristinare le proprie operazioni in caso di gravi interruzioni ICT. Il regolamento è entrato in piena applicazione il 17 gennaio 2025, imponendo ai soggetti interessati (banche, assicurazioni, fondi, infrastrutture del mercato finanziario, ecc.) di implementare un quadro completo basato su cinque pilastri fondamentali:
- Gestione del rischio ICT: un quadro solido per identificare, proteggere, rilevare, rispondere e ripristinare le funzioni aziendali.
- Segnalazione degli incidenti ICT: procedure armonizzate per la classificazione e la notifica degli incidenti maggiori.
- Test di resilienza operativa digitale: conduzione regolare di test di penetrazione avanzati (TLPT) e altri test per valutare la preparazione.
- Gestione del rischio di terze parti ICT: un quadro per la gestione dei rischi derivanti dai fornitori di servizi ICT critici, inclusa la possibilità di una supervisione diretta su questi fornitori da parte delle autorità europee.
- Condivisione di informazioni e intelligence sulle minacce: promozione della condivisione di informazioni sulle minacce cibernetiche tra le entità finanziarie.
DORA ha ricevuto ulteriori aggiornamenti attraverso il rilascio degli Standard Tecnici Regolamentari (RTS) e degli Standard Tecnici di Attuazione (ITS) da parte delle Autorità Europee di Vigilanza (EBA, ESMA, EIOPA), fornendo dettagli pratici e operativi per l’implementazione delle disposizioni del regolamento.
Ambito, obiettivi e proporzionalità
Le nuove normative puntano a tutelare non solo infrastrutture critiche tradizionali, ma anche servizi essenziali e operatori che contribuiscono in maniera diretta o indiretta alla sicurezza nazionale ed europea. La direttiva NIS2, attraverso l’ampliamento del suo perimetro applicativo e l’introduzione di criteri più rigorosi per la gestione dei rischi informatici, mira a garantire una risposta coordinata e tempestiva agli eventi di sicurezza. L’obiettivo dichiarato è quello di migliorare la capacità di reazione delle reti nazionali di emergenza e di tutti gli attori coinvolti.
DORA, invece, si rivolge specificamente al settore finanziario, riconoscendo la centralità di questi istituti nel mantenimento della stabilità economica dell’UE. Il regolamento impone l’adozione e il mantenimento di sistemi interni di controllo e monitoraggio robusti, nonché misure che permettano una gestione rapida ed efficace degli incidenti informatici.
Un aspetto fondamentale di entrambe le normative è la gestione del rischio di terze parti e della catena di approvvigionamento. DORA, in particolare, introduce un quadro dettagliato per la gestione dei rischi derivanti da fornitori di servizi ICT critici, permettendo persino alle autorità di vigilanza di monitorare direttamente questi fornitori, indipendentemente dalla loro sede geografica. NIS2, similmente, enfatizza la necessità di affrontare i rischi derivanti dai fornitori e dalla catena di fornitura, imponendo alle entità di garantire che anche i loro partner siano conformi a standard di sicurezza elevati.
È importante sottolineare il principio di proporzionalità che guida l’applicazione di queste normative. Gli obblighi imposti devono essere proporzionati alla dimensione dell’entità, alla sua esposizione al rischio e alla criticità dei servizi che fornisce. Questo assicura che le normative siano implementabili in modo efficace da un’ampia gamma di organizzazioni, dalle grandi imprese alle PMI.
Una soluzione per queste sfide complesse
Le recenti normative hanno posto sul tavolo una serie di sfide operative e strategiche per le imprese, in particolare quelle legate alla necessità di integrare sistemi legacy con soluzioni tecnologiche all’avanguardia. La diversità e la complessità dei requisiti normativi posti da NIS2 e DORA impongono una revisione profonda degli assetti organizzativi, l’implementazione di nuove procedure di gestione del rischio e degli incidenti, e una maggiore attenzione alla formazione e consapevolezza del personale. Le aziende si trovano a dover ridisegnare la propria struttura di sicurezza, monitorando costantemente la presenza di vulnerabilità e predisponendo canali di comunicazione efficienti e rapidi in caso di incidenti, anche lungo la complessa catena di fornitura.
Le difficoltà riscontrate durante il periodo degli aggiornamenti normativi hanno evidenziato l’importanza di soluzioni tecniche avanzate e di un approccio consulenziale che sappia integrare la gestione dei dati, il monitoraggio in tempo reale, la valutazione continua del rischio e la risposta immediata alle criticità.
È per questo che partner specializzati come Augustas si sono affermati per la capacità di offrire soluzioni tecnologiche avanzate e consulenza mirata, garantendo alle organizzazioni il pieno rispetto delle nuove disposizioni e la trasformazione della compliance in un vantaggio competitivo. Anche per questo Augustas si è posta in prima fila nella fornitura di soluzioni tailor-made per supportare le imprese nell’adeguamento ai requisiti imposti da NIS2 e DORA.
Ogni strumento e servizio offerto da Augustas viene personalizzato in base alle esigenze specifiche del cliente, garantendo un’integrazione perfetta con i processi esistenti e una rapida adozione/compliance rispetto ai nuovi standard di sicurezza.
L’obiettivo è trasformare il vincolo della conformità normativa in una nuova opportunità di sviluppo e di rafforzamento della resilienza operativa in un contesto globale caratterizzato da concrete e complesse minacce digitali.