“Chiarimenti Normativi su DORA e NIS 2 per la Sicurezza delle Istituzioni Finanziarie”

Agosto 16, 2025 Certinews Magazine, E-Magazine, News
"Chiarimenti Normativi su DORA e NIS 2 per la Sicurezza delle Istituzioni Finanziarie"

Con l’avvicinarsi della scadenza per l’applicazione di due normative fondamentali della cybersecurity europea, ovvero DORA (Digital Operational Resilience Act) e la Direttiva NIS 2 (Network and Information Systems Directive), si è reso necessario un chiarimento giuridico significativo per il settore finanziario. Questo chiarimento si basa sul principio della “lex specialis”, secondo il quale DORA ha priorità su NIS 2 per tutte le entità soggette a entrambe le normative.

Cosa significa questo in pratica? Le banche, le compagnie assicurative, le società di investimento e altre istituzioni finanziarie dovranno considerare DORA come la regolazione primaria per garantire la loro resilienza operativa digitale. La ragione è ben delineata: mentre la Direttiva NIS 2 stabilisce requisiti di sicurezza di base applicabili a vari settori critici, DORA è una legislazione specificamente progettata per affrontare i rischi particolari e sistemici del settore finanziario. Di conseguenza, DORA include requisiti significativamente più dettagliati e prescrittivi rispetto a NIS 2.

Questa distinzione si configura come un importante vantaggio per le istituzioni finanziarie, in particolare per i team di compliance e i Chief Information Security Officer (CISO). Infatti, tale chiarimento elimina la necessità di gestire due framework potenzialmente sovrapposti, consentendo a questi professionisti di focalizzarsi esclusivamente sull’implementazione dei controlli dettagliati richiesti da DORA. Questi controlli comprendono, tra l’altro, la gestione del rischio delle tecnologie dell’informazione e della comunicazione (ICT), la segnalazione dettagliata degli incidenti, i test avanzati di resilienza, come i Threat-Led Penetration Tests (TLPT), e la gestione dei fornitori terzi.

È comunque fondamentale sottolineare che NIS 2 non scompare completamente dal panorama per le istituzioni finanziarie. Alcune entità all’interno di un gruppo finanziario potrebbero non rientrare nell’ambito di applicazione di DORA, ma rimanere soggette a NIS 2. Questo significa che la compliance con entrambe le normative potrebbe essere necessaria in determinati contesti. Inoltre, molti fornitori di servizi per le banche, che non sono catalogati come “critici” secondo DORA, rientreranno nei requisiti di NIS 2, il che potrebbe avere un impatto indiretto sulla sicurezza dell’intera catena di fornitura.

La chiarezza riguardo al rapporto tra DORA e NIS 2 è quindi di cruciale importanza per favorire una gestione della sicurezza informatica più efficace nelle istituzioni finanziarie. Questo approccio non solo semplifica la compliance normativa, ma migliora anche la protezione contro i rischi cyber, contribuendo a una resilienza operativa più robusta. È un passo significativo verso un ambiente finanziario europeo più sicuro, dove le istituzioni possono operare con maggiore tranquillità e preparazione rispetto alle minacce informatiche sempre più sofisticate.

Infine, invitiamo tutti i lettori a rimanere aggiornati e a seguirci sui nostri profili social per ulteriori approfondimenti e notizie nel campo della cybersecurity e della resilienza digitale. La sicurezza informatica è un tema cruciale e la tua connessione con noi potrebbe fare la differenza per rimanere informati su come affrontare le sfide del futuro.

Share Button