“Confronto tra DORA e NIS 2: Normative per la Sicurezza IT e la Resilienza Operativa”

Settembre 21, 2025 Certinews Magazine, E-Magazine, News
"Confronto tra DORA e NIS 2: Normative per la Sicurezza IT e la Resilienza Operativa"

Il panorama della governance e della sicurezza IT è in continua evoluzione, e le normative sono strumenti cruciali per migliorare la resilienza delle organizzazioni. Recentemente, un’importante analisi comparativa ha messo in luce le differenze e le similitudini tra due normative fondamentali: il Digital Operational Resilience Act (DORA) e la Direttiva NIS 2. Questa analisi è destinata a diventare un riferimento prezioso per tutti gli operatori del settore, in particolare per coloro che si occupano della compliance normativa.

DORA si propone di garantire che le istituzioni finanziarie e gli altri soggetti coinvolti nel mercato operativo digitale possano resistere, rispondere e riprendersi da eventi avversi. La normativa è caratterizzata da requisiti rigorosi in materia di sicurezza e resilienza operativa. D’altra parte, la Direttiva NIS 2 amplia i requisiti di sicurezza per le infrastrutture critiche, assicurando che i servizi essenziali siano adeguatamente protetti contro minacce cibernetiche.

L’analisi tra DORA e NIS 2, attuata in un recente white paper, ha rivelato punti chiave di confronto. In particolare, si distingue per la sua capacità di chiarire la complessità delle normative attuali, fornendo ai professionisti del settore una comprensione approfondita degli obblighi.

Uno dei principali ambiti di disamina riguarda il reporting degli incidenti. DORA richiede un processo di classificazione e segnalazione molto più dettagliato e strutturato, con scadenze multiple che le organizzazioni devono rispettare. Questo approccio garantisce che ogni incidente venga trattato con la dovuta attenzione e che le informazioni pertinenti siano comunicate tempestivamente. Al contrario, NIS 2 adotta un metodo a due fasi: una notifica iniziale di un incidente deve essere fornita entro 24 ore e, successivamente, deve essere presentata una relazione finale entro un mese. Questo differente approccio può influire non solo sulla reazione immediata alle minacce, ma anche sulla trasparenza complessiva della gestione degli incidenti.

Un altro punto focale dell’analisi riguarda i requisiti generali di sicurezza. DORA adotta un atteggiamento più prescrittivo, richiedendo esplicitamente test di penetrazione avanzati, noti come Threat-Led Penetration Testing (TLPT). Questi test rappresentano una misura fondamentale per comprendere in modo proattivo le vulnerabilità esistenti e per verificarne la sicurezza in un contesto simile a quello reale. D’altro canto, NIS 2 si limita a indicare un insieme di misure minime di gestione del rischio, senza specificare metodi di valutazione altrettanto dettagliati. Le organizzazioni devono quindi adattare le loro strategie di sicurezza tenendo conto di queste differenze significative.

Un aspetto particolarmente innovativo di DORA è la sua attenzione alla gestione dei fornitori di servizi ICT critici. La normativa stabilisce un quadro di sorveglianza diretta su questi fornitori, che si traduce in un livello di controllo più approfondito rispetto a quello previsto da NIS 2. Quest’ultima normativa, infatti, richiede solamente che le aziende gestiscano i rischi legati alla loro catena di approvvigionamento, senza imporsi un controllo diretto sulle terze parti. Questa differenza pone le organizzazioni di fronte a sfide uniche, sottolineando l’importanza di sviluppare un approccio di gestione del rischio che consideri le relazioni con i fornitori, al fine di garantire la resilienza a lungo termine.

L’analisi proposta nel paper si rivela uno strumento estremamente utile per i Chief Information Security Officer (CISO) e per tutti i responsabili della compliance. Consente loro di mappare i controlli esistenti, identificare le lacune nelle pratiche di sicurezza attuali e sviluppare un programma di conformità integrato che risponda efficientemente ai requisiti di entrambi i regolamenti. Questo approccio rappresenta un passo essenziale per migliorare non solo la compliance normativa, ma anche la sicurezza complessiva delle operazioni aziendali.

In conclusione, il crescente panorama normativo, che include DORA e NIS 2, richiede un impegno costante da parte delle organizzazioni per garantire la sicurezza e la resilienza operativa. La concordanza e le divergenze tra queste normative sono fondamentali per comprendere l’evoluzione del settore e la gestione dei rischi associati. Invitiamo tutti gli interessati a rimanere aggiornati su questi temi seguendo i nostri profili social, dove condividiamo ulteriori

Share Button