In questo periodo, la direttiva NIS 2 (recepita in Italia con il D.lgs. 138/2024), sta ricevendo particolare attenzione.

Nel nostro Paese, si applica a circa 20.000 organizzazioni appartenenti a diversi settori.

L’obiettivo principale della NIS2, come anche del decreto di recepimento, è quello di garantire un elevato livello comune di cyber sicurezza all’interno dell’Unione europea, al fine di migliorare il funzionamento del mercato interno.

A tal fine, la direttiva stabilisce una serie di misure, tra cui l’obbligo per gli Stati membri di adottare strategie nazionali e di designare autorità competenti. Prevede, inoltre, obblighi per i soggetti interessati in materia di gestione dei rischi di cyber sicurezza, notifica degli incidenti, condivisione delle informazioni, nonché vigilanza e misure di enforcement.

Da un confronto “numerico” fra DORA e NIS 2, emerge che la prima normativa può considerarsi un valido riferimento per l’implementazione iniziale della NIS 2 e, successivamente, per la definizione di punti di controllo da utilizzare nelle attività di audit.

Confronto fra DORA e NIS 2

Il decreto legislativo italiano prevede, tra le altre cose, l’adozione della Strategia nazionale di cybersicurezza, l’integrazione della gestione delle crisi informatiche e la designazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) quale Autorità nazionale competente NIS e punto di contatto unico.

Inoltre definisce l’ambito soggettivo di applicazione, estendendolo rispetto a quanto previsto dalla direttiva originaria.

Cos’è DORA

DORA, acronimo del Regolamento (UE) 2022/2554, è invece la normativa sulla resilienza operativa digitale nel settore finanziario.

Con resilienza operativa digitale si intende la capacità delle entità finanziarie di costruire, mantenere e riesaminare la propria integrità e affidabilità operativa, garantendo tutte le capacità necessarie per proteggere i sistemi e le reti Ict da interruzioni e minacce.

In tale ottica, la sicurezza informatica rappresenta un elemento fondamentale della resilienza operativa che il regolamento mira a rafforzare.

La convergenza fra DORA e NIS2

Le finalità di DORA e della NIS2 sono, dunque, convergenti. Tuttavia, DORA costituisce una lex specialis rispetto alla NIS2, e questo potrebbe indurre erroneamente a considerarlo un sottoinsieme della direttiva.

In realtà, è vero il contrario: è la NIS2 a rappresentare un sottoinsieme del quadro delineato da DORA. Quest’ultimo, infatti, si presenta come una normativa ben più analitica e dettagliata nelle sue prescrizioni.

L’analisi comparativa basata su evidenze normative

Procediamo ora a un’analisi comparativa basata su evidenze normative.

Corpus normativo primario

Il d.lgs. 138/2024 dedica alla sicurezza informatica i seguenti articoli:

• 9: strategia nazionale di cybersicurezza;
• 13: quadro nazionale di gestione delle crisi informatiche;
• 15: gruppo nazionale di risposta agli incidenti (CSIRT Italia);
• 23: organi di amministrazione e direttivi;
• 24: obblighi in materia di gestione dei rischi per la sicurezza informatica;
• 25: obblighi di notifica degli incidenti;
• 27: schemi di certificazione della cybersicurezza;
• 28: specifiche tecniche.

Tuttavia, i primi quattro articoli non contengono prescrizioni dirette per i soggetti obbligati. Restano, quindi, soltanto 4 articoli con disposizioni vincolanti in materia di sicurezza informatica.

Invece il regolamento DORA dedica 37 articoli su 64 a requisiti in materia di sicurezza e resilienza Ictr.

Gli articoli rilevanti sono collocati nei seguenti capi:

• II: gestione dei rischi Ict (artt. 5–16);
• III: gestione e notifica degli incidenti ICT (artt. 17–23);
• IV: test di resilienza operativa digitale (artt. 24–27);
• V, sezione I: gestione dei rischi da terze parti (artt. 28–30);
• V, sezione II : fornitori critici (artt. 41–44);
• VI : meccanismi di condivisione delle informazioni (art. 45).

Ad eccezione degli articoli 41–44, che si applicano esclusivamente ai fornitori critici (definiti ai sensi di DORA), tutti gli altri articoli si applicano alle entità finanziarie e trattano aspetti di sicurezza e gestione del rischio Ict.

Normative secondarie ed atti esecutivi

Per la NIS2, il Regolamento di esecuzione (UE) 2024/2690 dettaglia le misure tecniche, operative e organizzative adeguate alla gestione dei rischi Ict (art. 21.2 della direttiva).

È composto da 16 articoli e un allegato tecnico suddiviso in 13 punti. A ciò si aggiungono le linee guida dell’ACN, che specificano le misure minime per soggetti essenziali e importanti, organizzate secondo i sei domini del Cybersecurity Framework italiano.

Nel caso di DORA, si prevede l’adozione di 16 atti normativi integrativi, tra cui regolamenti delegati e di esecuzione. Complessivamente, questi documenti contengono circa 125 articoli relativi alla sicurezza Ict.

DORA e documenti collegati hanno quindi oltre 160 articoli complessivi dedicati alla sicurezza.

La NIS2, includendo i punti dell’allegato tecnico del regolamento 2024/2690 e le misure dell’ACN, raggiunge un totale stimato di circa 40 articoli equivalenti.

Analisi quantitativa del dettaglio prescrittivo

Il divario tra le due normative emerge anche analizzando la quantità di testo dedicato ai medesimi requisiti.

Prendiamo per esempio la continuità operativa. DORA dedica al tema circa 14.000 caratteri, mentre la NIS2 circa 6.600.

Ancor più marcato è il divario nell’ambito della gestione dei fornitori, al quale la NIS2 dedica circa 6.000 caratteri totali, mentre DORA dedica all’argomento circa 21.000 caratteri solo nella normativa principale, a cui si aggiungono due regolamenti delegati specifici per fornitori e subfornitori e un regolamento esecutivo sui modelli informativi standard.

Infine, considerando la lunghezza dei testi normativi, abbiamo che DORA dedica oltre 200 pagine al tema della sicurezza digitale, mentre la NIS2 e i documenti correlati si attestano intorno a 50 pagine complessive.

Cosa emerge dal confronto fra DORA e NIS 2

L’analisi dimostra come DORA rappresenti un corpus normativo significativamente più dettagliato e strutturato rispetto alla NIS2, pur condividendone gli obiettivi di fondo.

Per tale motivo, se si desidera comprendere in modo più preciso come implementare un requisito previsto dalla NIS2, può risultare estremamente utile esaminare cosa prevede DORA in merito.