Il settore finanziario e storicamente all'avanguardia nella cybersicurezza — e ci mancherebbe, gestisce il denaro di tutti. Ma con la NIS2, anche le banche e le istituzioni finanziarie devono adeguarsi a nuovi obblighi. E la situazione si complica perche il settore e soggetto anche al DORA (Digital Operational Resilience Act), un regolamento europeo specifico per la resilienza operativa digitale del settore finanziario.
Due normative europee sulla cybersicurezza per lo stesso settore? Come si integrano? Dove si sovrappongono? Chi vigila su cosa? Facciamo ordine.
NIS2 e DORA: due normative, un obiettivo
La NIS2 e una direttiva orizzontale che si applica a tutti i settori critici. Il DORA e un regolamento verticale specifico per il settore finanziario. La buona notizia: la NIS2 stessa riconosce il DORA come lex specialis — dove il DORA e piu specifico, prevale sulla NIS2. In pratica, per banche e istituzioni finanziarie, il DORA e la normativa principale di riferimento, con la NIS2 che si applica per gli aspetti non coperti dal DORA.
| Aspetto | NIS2 | DORA |
|---|---|---|
| Ambito | Tutti i settori critici | Solo settore finanziario |
| Tipo normativo | Direttiva (va recepita) | Regolamento (direttamente applicabile) |
| Autorita vigilanza | ACN | Banca d'Italia, CONSOB, IVASS |
| Gestione rischio ICT | Requisiti generali | Requisiti dettagliati e specifici |
| Test resilienza | Raccomandato | Obbligatorio (TLPT per i grandi) |
| Fornitori ICT critici | Supply chain security generale | Framework specifico per fornitori ICT critici |
| Notifica incidenti | 24h pre-notifica, 72h notifica | Tempistiche allineate ma via canali settoriali |
Cosa deve fare una banca
Per una banca italiana, l'adeguamento richiede di soddisfare primariamente il DORA e poi verificare gli aspetti residuali NIS2. In pratica, le banche che sono gia conformi alle circolari di Banca d'Italia sulla continuita operativa e alla normativa EBA sugli ICT risk hanno gia una base solida. Il DORA aggiunge: test di resilienza avanzati (TLPT — Threat-Led Penetration Testing), gestione specifica dei fornitori ICT critici, requisiti di reporting piu dettagliati.
Fornitori ICT del settore finanziario
Un aspetto cruciale del DORA e la supervisione diretta dei fornitori ICT critici del settore finanziario. Le autorita europee (ESAs) designeranno i fornitori ICT critici (tipicamente i grandi cloud provider) che saranno soggetti a supervisione diretta. Questo crea un obbligo a cascata: le banche devono valutare e monitorare tutti i loro fornitori ICT, con requisiti specifici per quelli critici.
Assicurazioni e istituti di pagamento
Non solo le banche: il DORA si applica anche a compagnie assicurative, fondi pensione, istituti di pagamento, IMEL, societa di gestione del risparmio e fintech. Molti di questi soggetti, specialmente i piu piccoli, devono ancora avviare l'adeguamento. Il principio di proporzionalita del DORA aiuta — le misure devono essere proporzionate alla dimensione e al profilo di rischio — ma gli obblighi di base restano.