E-time | the software company
A chi si applicano DORA e NIS2?
Il Regolamento DORA si rivolge agli operatori del comparto finanziario. Sono inclusi numerosi soggetti come banche, compagnie di assicurazione e imprese di investimento oltre ai fornitori ICT di rilevanza critica, ad esempio servizi cloud e centri dati che supportano le attività degli intermediari finanziari.
La Direttiva NIS 2, invece, ha un raggio d’azione molto più ampio. Coinvolge settori strategici sia pubblici sia privati: energia, trasporti, sanità, infrastrutture digitali e pubbliche amministrazioni. All’interno di questo perimetro, gli operatori vengono classificati come Enti Essenziali (EE) o Enti Importanti (IE), secondo parametri quali dimensione dell’organizzazione e volume economico.
Nel caso in cui un soggetto finanziario sia sottoposto a entrambe le discipline, si applicano prioritariamente le norme di DORA, che operano come quadro speciale rispetto alle disposizioni generali della NIS 2.
Quali sono le differenze tra DORA e NIS2
Sebbene entrambe le normative DORA (Digital Operational Resilience Act) e NIS 2 abbiamo come obiettivo principale quello di rafforzare la resilienza digitale e la sicurezza informatica nell’UE, presentano caratteristiche e ambiti di applicazione distinti.
La differenza principale riguarda la forma giuridica in quanto DORA è un regolamento, applicabile direttamente in tutti gli Stati membri senza necessità di recepimento, garantendo quindi uniformità nell’implementazione. La NIS2, invece, è una direttiva, che definisce obiettivi generali ma lascia ai singoli Paesi la libertà di tradurli nelle rispettive legislazioni, con possibili differenze di interpretazione e applicazione.
L’ambito di applicazione rappresenta un altro elemento distintivo: DORA si concentra sul settore finanziario, operando come quadro speciale per banche, assicurazioni, fondi e fornitori ICT critici. NIS 2 ha invece un raggio d’azione più ampio, includendo entità specifiche.
Infine, DORA si caratterizza per un livello di dettaglio e precisione superiore nelle prescrizioni operative e nei requisiti di resilienza digitale, tanto da poter essere considerata un riferimento pratico anche per l’attuazione della NIS 2 nel settore finanziario.
Gestione del rischio ICT secondo la NIS2 e DORA
Sia DORA sia NIS 2 impongono obblighi stringenti per la gestione del rischio ICT, con l’obiettivo di rafforzare la resilienza digitale delle organizzazioni. Entrambe le normative enfatizzano la necessità di un modello di governance che incorpori la cybersecurity nelle strategie aziendali e attribuisca responsabilità dirette agli organi di vertice.
Per quanto riguarda il rischio ICT, DORA adotta un approccio strutturato, prevedendo l’adozione di framework completi per la gestione dei rischi, lo sviluppo di piani di continuità operativa e strategie di disaster recovery, e l’implementazione di procedure proattive per monitorare e mitigare i rischi legati ai fornitori terzi.
Per la gestione del rischio ICT, la direttiva NIS 2 definisce misure minime obbligatorie, ponendo particolare attenzione alla sicurezza dei fornitori e della catena di approvvigionamento. Sul fronte della notifica degli incidenti, la normativa stabilisce obblighi specifici, prevedendo l’invio tempestivo dalla rilevazione di eventi significativi.
Requisiti di reporting degli incidenti secondo la NIS2 e DORA
Sia NIS 2 sia DORA definiscono obblighi chiari per la gestione e la notifica degli incidenti di sicurezza.
La NIS 2 prevede l’obbligo di segnalare gli incidenti di sicurezza alle autorità competenti, trasmettendo un avviso preliminare al CSIRT (Computer Security Incident Response Team) entro 24 ore dalla scoperta dell’evento e completando la notifica ufficiale entro 72 ore dal verificarsi dell’incidente informatico.
DORA, invece, stabilisce un processo di segnalazione più dettagliato e stringente per la classificazione, gestione e notifica degli incidenti ICT, con l’obiettivo di assicurare che le infrastrutture finanziarie possano resistere e operare senza interruzioni anche in caso di attacchi gravi.
Rexguard: la soluzione per la compliance normativa
Rexguard è una piattaforma GRC (Governance, Risk & Compliance) pensata per gestire in modo centralizzato e coordinato tutti gli aspetti della sicurezza digitale. Supporta la gestione di incidenti, vulnerabilità, non conformità, azioni correttive e audit, offrendo una panoramica completa e integrata dello stato di sicurezza dell’organizzazione.
Grazie all’automazione dei flussi di lavoro e alla gestione strutturata dei processi, Rexguard permette di rispondere rapidamente agli incidenti, di monitorare costantemente i rischi ICT e di mantenere sotto controllo tutte le attività necessarie per rispettare i requisiti normativi. In particolare, la piattaforma facilita la conformità a NIS 2 e DORA, fornendo strumenti per la gestione dei rischi e la reportistica obbligatoria agli organi di vigilanza, semplificando la governance della sicurezza e aumentando la resilienza digitale dell’organizzazione.
Scopri la piattaforma GRC di E-time
