Regolamento DORA e Direttiva NIS2: sfide e opportunità per le imprese

Con la crescente digitalizzazione dei servizi e delle operazioni aziendali, la sicurezza informatica è diventata una delle sfide più urgenti per le imprese di tutte le dimensioni. Per rispondere a questa esigenza, l'Unione Europea ha adottato il Digital Operational Resilience Act (Regolamento DORA) e la Direttiva NIS2: questi due importanti provvedimenti hanno lo scopo di innalzare il livello delle misure di cybersecurity al fine di proteggere le organizzazioni dalle minacce cibernetiche, e di garantire la loro continuità operativa e la protezione dei dati trattati. 

Aruba in questo contesto supporta le imprese, e in particolare le PMI, nell'adozione di soluzioni tecnologiche sicure e conformi alla normativa, ponendosi così come partner strategico per affrontare con serenità le sfide della trasformazione digitale.

DORA e NIS2: scopo e soggetti coinvolti

Il Regolamento DORA e la Direttiva NIS2 puntano a rafforzare la resilienza operativa digitale delle aziende e in settori particolarmente rilevanti (identificati come “settori altamente critici” o “settori critici”), in un panorama sempre più connesso, e quindi anche più vulnerabile.

La resilienza operativa digitale è la capacità di un’organizzazione di mantenere operativi i propri sistemi, anche in caso di attacchi o incidenti informatici. I settori critici invece, sono quegli ambiti considerati essenziali per la stabilità economica e il funzionamento di un Paese (reti elettriche, sistemi di trasporto, ospedali, piattaforme tecnologiche come cloud e data center, settore finanziario ecc.). Come è facile intuire, la compromissione di infrastrutture digitali in questi ambiti può portare a conseguenze gravi su vasta scala; la loro protezione è quindi necessaria per garantire la sicurezza sia a livello nazionale che europeo.

DORA e NIS2, pur condividendo l’obiettivo comune, si distinguono sia per i soggetti destinatari sia per l’ambito di applicazione della disciplina.

Regolamento DORA

Il Regolamento DORA si rivolge alle imprese operanti nel settore finanziario e fintech, come le banche, le compagnie assicurative e gli altri fornitori di servizi finanziari. Questi soggetti, insieme alle terze parti critiche che forniscono loro servizi ICT (come piattaforme cloud o servizi di analisi dei dati), devono garantire processi operativi sicuri e capaci di gestire, resistere e reagire tempestivamente alle minacce legate alla sicurezza informatica.

Direttiva NIS2

La Direttiva NIS2, intervenuta ad aggiornare e ampliare la portata della precedente Direttiva NIS1, obbliga invece le organizzazioni pubbliche e private che operano in 18 settori critici o altamente critici ad alzare i livelli di sicurezza informatica.

Ecco i settori coinvolti:

• energia
• trasporti
• settore bancario
• mercati finanziari
• servizi sanitari
• distribuzione acqua potabile
• smaltimento acque reflue
• infrastrutture digitali (data center, reti di telecomunicazione, servizi cloud)
• servizi ICT
• servizi spaziali
• servizi postali
• gestione rifiuti
• fabbricazione e distribuzione di sostanze chimiche
• produzione, trasformazione e distribuzione degli alimenti
• fabbricazione di dispositivi come macchinari medici, computer, mezzi di trasporto
• servizi digitali (come motori di ricerca, piattaforme social)
• ricerca

Categoria a parte è data dalle pubbliche amministrazioni centrali, regionali e locali di altro tipo.

Per quanto riguarda le organizzazioni private, sono obbligate ad adeguarsi solo le imprese di grandi e di medie dimensioni. Per le piccole imprese e le microimprese invece dipende dalla loro importanza nel settore di riferimento. 

Inoltre, ogni impresa è classificata come essenziale o importante a seconda della sua grandezza e del settore in cui opera.

L’impatto di DORA e NIS2 sulle PMI: un’opportunità di crescita

Per le PMI, adeguarsi a DORA e NIS2 non è solo un obbligo, ma un'opportunità strategica. Adottare le misure previste dalla normativa europea infatti offre vantaggi concreti su più fronti:

• sicurezza: investire nella sicurezza informatica riduce l'esposizione agli attacchi, alle violazioni dei dati e alle interruzioni dei servizi, proteggendo così gli asset critici dell'azienda;
• continuità operativa: le imprese che adottano politiche di resilienza digitale possono rimanere operative anche durante eventi imprevisti, minimizzando i tempi di inattività e salvaguardando tanto il fatturato quanto la reputazione aziendale;
• reputazione: la conformità alle normative europee rafforza la fiducia di clienti e partner e migliora l'immagine dell'impresa, che così viene percepita come più affidabile e sicura;
• competitività: le imprese che investono in sicurezza digitale innovando costantemente le proprie infrastrutture non solo proteggono la propria attività, ma diventano anche più competitive e resilienti in un mercato globale sempre più complesso.

Allineare i propri sistemi alla normativa più recente in materia di cybersecurity permetterebbe alle PMI di crescere e consolidare la propria posizione sul mercato, e al tempo stesso contribuire al rafforzamento dell’intero ecosistema digitale europeo.

DORA e NIS2: le scadenze

Le imprese del settore finanziario hanno tempo fino al 17 gennaio 2025 per adeguarsi al Regolamento DORA e adottare gli standard tecnici previsti dalla normativa.

Per quanto riguarda la NIS2, per sapere se la direttiva riguarda la propria impresa è necessario registrarsi sulla piattaforma messa a disposizione dall’Acn (Agenzia per la cybersicurezza nazionale, autorità italiana competente per l’applicazione della direttiva) a partire dal 1° dicembre 2024.

Qui, l’impresa deve fornire i dati richiesti e attendere l’esito della valutazione preliminare, che determina se il soggetto rientra o meno nel campo di applicazione della direttiva. 

Le registrazioni si chiuderanno il 28 febbraio 2025, scadenza anticipata al 17 gennaio 2025 in alcuni casi particolari (fornitori di servizi di dominio, cloud, data center, reti di distribuzione dei contenuti, sicurezza, mercati online, motori di ricerca e piattaforme social).

Cosa succederà dopo?

Secondo il programma ipotizzato da Acn:

1. Entro il 31 marzo 2025 (data indicativa), l'Acn comunicherà alle imprese l'eventuale inserimento nell’elenco dei soggetti NIS2, compresa la collocazione tra soggetti essenziali o importanti.
2. Entro il 15 aprile 2025 (data indicativa), l'Acn definirà gli obblighi per le imprese italiane sulla base della normativa.
3. Entro maggio 2025 (data indicativa), le imprese interessate dovranno aggiornare i loro dati sulla piattaforma per perfezionare la registrazione. 

La registrazione al portale si riaprirà ogni anno tra gennaio e febbraio, e, sempre a cadenza annuale, l’Acn aggiornerà l’elenco dei soggetti coinvolti. 

Nel 2026 scadranno poi i termini per ulteriori adempimenti:

• obbligo di notifica degli incidenti secondo le nuove misure indicate da ACN entro il 1° gennaio 2026 (data indicativa);
• obblighi sulle misure di sicurezza (le nuove misure indicate da Acn) indicativamente da metà 2026.

DORA e NIS2: provvedimenti complementari ma distinti

Come abbiamo detto, DORA e NIS2 sono legati da un obiettivo comune: innalzare il livello  della sicurezza informatica e la resilienza operativa digitale in tutta Europa, in modo tendenzialmente uniforme.

Ma pur essendo provvedimenti complementari, è importante notare che non c’è una gerarchia diretta tra loro. DORA è però una normativa specifica di settore che dovrà essere sempre applicata da tutti gli Operatori finanziari.
Le imprese soggette al DORA (e quindi già conformi) non sono obbligate a conformarsi anche alla NIS2 a meno che non operino in settori coperti da entrambi i provvedimenti.

Le sanzioni per il mancato adeguamento a DORA e NIS2

In caso di non conformità le imprese rischiano sanzioni importanti:

• regolamento DORA: le istituzioni finanziarie che non soddisfano i requisiti possono essere sanzionate con multe fino a un massimo di 10 milioni di euro o al 5% del loro fatturato annuo totale;
• direttiva NIS2: in caso di inosservanza degli obblighi, l’Acn può imporre sanzioni commisurate alla violazione, fino ad un massimo di:
  • 10 milioni di euro, o fino al 2% del fatturato annuo in caso di soggetti essenziali;
  • 7 milioni di euro, o fino all’1,4% del fatturato annuo in caso di soggetti importanti.

Ulteriore penalità sta senz’altro nella perdita di competitività dell’impresa e nella compromissione della fiducia di clienti e partner, con un impatto anche grave sull’attività.

Aruba, il tuo partner strategico per affrontare le sfide della trasformazione digitale

In un mondo sempre più digitale e interconnesso, la sicurezza informatica è diventata una priorità per le imprese e per l’intera società. Provvedimenti come DORA e NIS2 sono quindi essenziali per proteggere le aziende e le infrastrutture critiche, ma rispettare i requisiti e stare al passo con i cambiamenti può essere una sfida complessa.

Per questo è fondamentale affidarsi a un partner qualificato. Aruba assiste le imprese nel percorso di adeguamento con soluzioni personalizzate per ogni settore e garantisce sicurezza e compliance in ogni fase, grazie alla sua esperienza e a un’infrastruttura tecnologica avanzata:

• network europeo di data center proprietari conformi allo standard Rating 4 ANSI/TIA;
• certificazioni di sicurezza e Certification Authority accreditate a livello europeo;
• modello avanzato di risk management con monitoraggio continuo delle minacce emergenti e costante aggiornamento delle soluzioni tecnologiche.

Scegliere Aruba come partner quindi significa non solo rispondere tempestivamente alle nuove minacce e ai cambiamenti normativi, ma anche investire in un futuro più sicuro e competitivo, e affrontare con maggiore tranquillità il processo di trasformazione digitale.

Scopri come Aruba può guidarti nel percorso di adeguamento alla normativa europea e inizia ora a costruire la resilienza digitale della tua impresa.