Cybersecurity, nuove regole con NIS2 e DORA: cosa cambia in Europa

Il 2025 segna un punto di svolta per la cybersecurity in Europa con l’entrata in vigore di NIS2 (Network and Information Systems) e DORA (Digital Operational Resilience Act), due normative fondamentali per rafforzare la resilienza digitale.

L’obiettivo è proteggere infrastrutture critiche, ridurre il rischio di attacchi informatici e garantire una gestione più strutturata delle minacce.

Negli ultimi anni, la crescente digitalizzazione ha aumentato l’esposizione di aziende e istituzioni a cyber attacchi sempre più sofisticati, con conseguenze economiche e operative significative.

Per questo motivo, l’Unione Europea ha introdotto un quadro normativo più rigido, imponendo alle organizzazioni obblighi stringenti in termini di prevenzione, gestione del rischio e risposta agli incidenti.

In particolare, mentre NIS2 ha l’obiettivo di prevenire e gestire gli attacchi informatici che colpiscono infrastrutture e settori critici, rafforzando la capacità di risposta e recupero di fronte a tali minacce, Dora punta a garantire la resilienza operativa digitale nel settore finanziario, assicurando la continuità delle attività anche in caso di gravi interruzioni informatiche.

In questo scenario, le aziende dovranno bilanciare la protezione dei dati e i requisiti di sicurezza, evitando sovrapposizioni e complicazioni operative.

Senza un approccio integrato ed efficiente, il rischio è di incorrere in vulnerabilità e rallentamenti che potrebbero compromettere la stabilità nel lungo periodo.

La NIS2

La direttiva NIS2, in vigore dal 17 gennaio 2023 e recepita in Italia con il Dlgs 138/2024, estende gli obblighi di sicurezza a settori critici come energia, trasporti, sanità, acqua e rifiuti, settore digitale e Ict.

La direttiva impone requisiti più rigorosi per la gestione dei rischi informatici, la segnalazione degli incidenti, la definizione di strategie di risposta e il ripristino delle operazioni. Prevede inoltre test di sicurezza periodici e misure specifiche per il controllo del supply chain.

Le aziende italiane coinvolte, suddivise in “essenziali” e “importanti”, devono registrarsi al portale dell’ACN (Agenzia per la Cybersicurezza Nazionale). In particolare, i fornitori di cloud, data center, servizi gestiti e mercati online si sono già registrati entro il 17 gennaio 2025, mentre gli altri soggetti avranno tempo fino al 28 febbraio 2025.

Entro aprile, l’ACN notificherà l’inserimento nell’elenco ufficiale dei soggetti NIS e definirà gli obblighi di sicurezza e segnalazione degli incidenti. Dal gennaio 2026, scatterà l’obbligo di comunicare gli attacchi informatici e di completare le misure di sicurezza entro ottobre dello stesso anno.

Il DORA

Il regolamento DORA introduce un quadro normativo unificato per la gestione del rischio ICT nel settore finanziario europeo, imponendo standard tecnici rigorosi per la gestione del rischio informatico per banche, istituti di credito, società di investimento e piattaforme di criptovalute.

Il regolamento obbliga queste entità, insieme ai loro fornitori tecnologici critici, entro il 17 gennaio 2025, a implementare protocolli avanzati di governance, monitoraggio delle minacce, resilienza operativa e gestione del rischio delle terze parti.

L’obiettivo è quello di gestire in modo efficace i rischi legati alle tecnologie ICT nel settore finanziario e uniformare le normative già in vigore nei vari Stati membri dell’UE.

Le nuove sfide per le PMI

Se le grandi istituzioni finanziarie e assicurative si sono già attivate, molte PMI sono ancora in ritardo nell’adeguarsi ai nuovi standard.

Oltre alla compliance normativa, devono affrontare la complessità del monitoraggio della supply chain e della gestione dei fornitori critici, evitando conflitti tra diverse regolamentazioni.

L’adeguamento non si limita alla fase iniziale, ma richiede un monitoraggio costante da parte di più dipartimenti aziendali per garantire continuità operativa e sicurezza.

Senza un approccio strategico e investimenti adeguati, il rischio è di subire vulnerabilità e rallentamenti che potrebbero compromettere la competitività nel lungo periodo.