Con l’approssimarsi della scadenza per l’applicazione di due regolamenti fondamentali nel panorama della cybersecurity europea, ovvero il Digital Operational Resilience Act (DORA) e la Direttiva NIS 2, un importante chiarimento giuridico ha preso forma per il settore finanziario. Il principio della “lex specialis” stabilisce che DORA ha la precedenza su NIS 2 per tutte le entità soggette a entrambi i regolamenti. Questo implica che banche, compagnie assicurative, società di investimento e altre istituzioni finanziarie devono considerare DORA come normativa di riferimento principale per la loro resilienza operativa digitale.
La distinzione tra queste norme è cruciale: mentre NIS 2 definisce un livello base di sicurezza applicabile a una vasta gamma di settori critici, DORA rappresenta una legislazione “speciale”, progettata specificamente per affrontare i rischi unici e sistemici del settore finanziario. Essa include una serie di requisiti più dettagliati e prescrittivi, rispondendo in modo mirato alle sfide che le istituzioni finanziarie si trovano ad affrontare in un contesto sempre più digitalizzato.
Questa chiarezza normativa riveste un’importanza strategica per i team di compliance e i Chief Information Security Officer (CISO) delle aziende del settore. Infatti, elimina la duplicazione degli sforzi e la confusione che potrebbe derivare da due framework normativi sovrapposti. Invece di dover destreggiarsi tra le disposizioni di entrambe le normative, i professionisti possono orientarsi verso l’implementazione delle misure specifiche di DORA. Queste includono aspetti come la gestione del rischio delle tecnologie dell’informazione e della comunicazione (ICT), la segnalazione dettagliata degli incidenti, i test di resilienza avanzati, come i Test di Stress di Resilienza Operativa (TLPT), e la gestione dei fornitori terzi.
Tuttavia, è fondamentale notare che NIS 2 non sarà completamente marginalizzata nel contesto finanziario. Vi sono delle entità all’interno di alcuni gruppi finanziari che potrebbero non rientrare nell’ambito di applicazione di DORA, ma che sono comunque soggette a NIS 2. Inoltre, è importante sottolineare che molti fornitori di servizi alle banche, che non sono considerati “critici” secondo DORA, saranno pienamente soggetti agli obblighi di NIS 2. Questa situazione potrebbe influenzare indirettamente la sicurezza dell’intera catena di fornitura.
In sostanza, la differenziazione tra DORA e NIS 2 non solo semplifica il panorama normativo per le istituzioni finanziarie, ma offre anche l’opportunità di affinare ulteriormente la propria strategia di gestione del rischio informatico. L’adozione di standard elevati di resilienza operativa digitale è essenziale in un’epoca in cui le minacce informatiche diventano sempre più sofisticate e pervasive.
La capacità delle istituzioni finanziarie di rispondere in modo efficace a incidenti di sicurezza non è solo una questione di conformità normativa, ma rappresenta un aspetto cruciale della loro reputazione e del loro rapporto di fiducia con i clienti. I consumatori e gli investitori si aspettano sempre di più che le organizzazioni adottino misure proattive per proteggere dati sensibili e garantire l’integrità delle operazioni.
Con l’implementazione di DORA, le istituzioni finanziarie sono chiamate a intraprendere un percorso di continua evoluzione e miglioramento. Comportamenti di compliance più chiari e mirati possono non solo contribuire a un ambiente operativo più sicuro, ma possono anche fungere da vantaggio competitivo, mettendo in evidenza un impegno tangibile verso la sicurezza e la stabilità del settore.
In conclusione, questo è un momento decisivo per il settore finanziario, con la necessità di adattarsi rapidamente a un contesto normativo in evoluzione. Le istituzioni devono prepararsi a affrontare le sfide future con soluzioni robuste e conformi agli standard più elevati. Invitiamo i lettori a restare aggiornati e a seguire i nostri profili social, dove continueremo a condividere ulteriori approfondimenti e novità sulla cybersecurity e sull’evoluzione delle normative nel settore.
