Come ampiamente previsto fin dalla sua approvazione, dal 17 gennaio di quest’anno entra in vigore il Digital Operational Resilience Act (DORA), regolamento dell’Unione Europea che introduce nuovi standard per rafforzare la resilienza operativa digitale nel settore finanziario. Una normativa che si propone di creare un quadro uniforme per la gestione dei rischi tecnologici e delle comunicazioni ICT, garantendo che istituzioni finanziarie e fornitori critici di servizi tecnologici siano pronti a prevenire, gestire e mitigare le interruzioni dovute a guasti IT o attacchi informatici.
L’impatto di DORA è particolarmente significativo, dal momento che arriva a interessare circa 22.000 istituzioni finanziarie in tutta l’UE, che dovranno adeguarsi a requisiti stringenti in tempi relativamente brevi.
DORA mira a colmare le lacune normative esistenti, armonizzando le regole che, fino ad oggi, variavano da Stato a Stato. La normativa si applica a banche, assicurazioni, società di investimento e fornitori di servizi tecnologici come cloud provider e data center. Tra le principali disposizioni, DORA prevede l’obbligo di sviluppare framework di gestione del rischio ICT, piani di continuità operativa e disaster recovery, nonché test regolari di resilienza operativa. Inoltre, sottolinea l’importanza di mappare le dipendenze dai fornitori terzi per evitare concentrazioni rischiose e migliorare la sicurezza lungo l’intera supply chain. Grazie a un approccio collaborativo, DORA mira anche a incentivare la condivisione di informazioni sulle minacce tra le organizzazioni coinvolte.
LEGGI ANCHE: Regolamento DORA cos’è e perché è una rivoluzione per il finance
DORA e NIS 2: due normative a confronto
Come abbiamo avuto modo di sottolineare in più occasioni, per il mondo della sicurezza e della resilienza, la quasi concomitante entrata in vigore di due regolamenti chiave, DORA e NIS2, pone non poche sfide per le imprese e per i fornitori di soluzioni e servizi digitali.
In realtà, pur condividendo l’obiettivo comune di rafforzare la sicurezza informatica e la resilienza digitale, DORA e la direttiva NIS 2 presentano differenze significative.
In primis, NIS 2 è una direttiva, il che significa che gli Stati membri devono recepirla nei propri ordinamenti nazionali entro il 2024. DORA, invece, essendo un regolamento, sarà direttamente applicabile in tutta l’UE a partire dal 2025, senza necessità di ulteriori interventi legislativi nazionali. Questa distinzione implica che le organizzazioni soggette a DORA debbano muoversi più rapidamente per adeguarsi ai nuovi standard rispetto a quelle coperte da NIS 2.
Un’altra differenza sostanziale riguarda l’ambito di applicazione. NIS 2 si rivolge a un’ampia gamma di settori critici, tra cui energia, trasporti, sanità e infrastrutture digitali, puntando a proteggere servizi essenziali per la società e l’economia. DORA, invece, si concentra esclusivamente sul settore finanziario, includendo istituzioni come banche, assicurazioni e fornitori ICT critici, con un focus particolare sulla resilienza operativa per prevenire rischi sistemici. Questa specializzazione rende DORA un regolamento estremamente rilevante per il settore finanziario, ma lascia a NIS 2 il compito di tutelare una più ampia varietà di settori strategici.
Un approccio integrato per affrontare le sfide normative
Nonostante le differenze, entrambe le normative prevedono la responsabilità personale dei dirigenti per garantire la conformità e introducono sanzioni significative in caso di inadempienza. Le aziende che operano nel settore finanziario e rientrano anche tra le infrastrutture critiche devono rispettare sia DORA sia NIS 2, sviluppando strategie di conformità integrate. Questa complementarità normativa sottolinea l’importanza di un approccio olistico per rafforzare la sicurezza digitale e affrontare le sfide di un panorama tecnologico sempre più complesso e interconnesso.
