Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la guida pratica

Integrazione DORA-NIS2: evitare i doppioni nei processi di gestione del rischio

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Per le organizzazioni che operano all’intersezione tra il settore finanziario e le infrastrutture critiche, il rischio concreto non è tanto la minaccia cyber in sé, quanto la “paralisi da compliance” ossia una proliferazione di processi ridondanti, silos informativi e duplicazioni burocratiche. Ecco come evitarlo

Pubblicato il 7 mag 2026
Marco Toiati

Ingegnere, IT Security Manager

DORA NIS2
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Gerarchia normativa: il DORA è lex specialis rispetto a NIS2; però le sovrapposizioni impongono un framework di governance unificato per evitare paralisi da compliance.
  • Gestione rischio e inventario: quadro unificato per asset e processi, metodologia quantitativa, registro unico e rispetto scadenze ACN (misure entro 31/07/2027, report annuale 1/5-30/6).
  • Terze parti e incidenti: standardizzare TPRM, registro fornitori e IRP unico con tassonomia comune per notifiche a ACN, Banca d’Italia/IVASS.
Riassunto generato con AI

L’entrata in vigore del Regolamento (UE) 2022/2554, noto come DORA (Digital Operational Resilience Act), e il recepimento della Direttiva (UE) 2022/2555 (NIS2) nel nostro ordinamento nazionale attraverso il D.lgs. 138/2024, hanno delineato un nuovo paradigma per la resilienza digitale europea.

Per le organizzazioni che operano all’intersezione tra il settore finanziario e le infrastrutture critiche, il rischio concreto non è tanto la minaccia cyber in sé, quanto la “paralisi da compliance” ossia una proliferazione di processi ridondanti, silos informativi e duplicazioni burocratiche che possono paradossalmente indebolire la postura di sicurezza invece di rafforzarla.

NIS2 e AI Act: la compliance aziendale di fronte agli agenti AI

Integrazione DORA-NIS2: il principio di specialità e l’illusione della separazione

Il punto di partenza fondamentale per ogni CISO o Risk Manager è comprendere il rapporto gerarchico tra le due norme.

Come sottolineato nel Considerando 16 del Regolamento DORA, quest’ultimo costituisce una lex specialis rispetto alla NIS2. Ciò significa che, per le entità finanziarie, i requisiti di gestione del rischio ICT, la gestione degli incidenti e i test di resilienza previsti da DORA prevalgono sulle disposizioni corrispondenti della NIS2.

Tuttavia, il termine “prevalgono” non deve essere interpretato come “escludono”. Esistono aree grigie, specialmente per i gruppi multinazionali o per i fornitori di servizi digitali che servono sia banche che operatori energetici, dove le due normative si sovrappongono in modo stringente.

L’obiettivo deve essere la creazione di un framework di governance unificato.

Gestione del rischio ICT: dall’inventario degli asset alla resilienza dei processi

Il cuore pulsante di entrambe le normative è l’analisi del rischio. DORA richiede alle entità finanziarie di mantenere un quadro di gestione del rischio ICT “solido, completo e ben documentato” (Art. 6). Parallelamente, la NIS2 impone “misure di gestione dei rischi di sicurezza informatica” che siano proporzionate al rischio (Art. 21).

A partire da gennaio 2026, in Italia è terminata la fase di tolleranza transitoria. Secondo la Determinazione ACN n. 127434 del 13 aprile 2026, i soggetti iscritti per la prima volta nell’elenco NIS nel 2026 devono ora rispettare tempistiche tassative:

  • Misure di sicurezza: l’adozione delle misure tecniche e organizzative previste dalle linee guida ACN deve essere completata entro il 31 luglio 2027.
  • Censimento asset e servizi: tra il primo maggio e il 30 giugno di ogni anno, le aziende devono comunicare tramite il portale ACN l’elenco aggiornato delle attività e dei servizi, assegnando a ciascuno una categoria di rilevanza.

Per evitare doppioni, l’organizzazione deve adottare un approccio basato sui processi di business piuttosto che sui singoli asset tecnologici. Nel dettaglio:

  1. Mappatura unificata: non è pensabile gestire due registri degli asset separati. Il registro deve includere attributi che soddisfino sia la granularità richiesta da DORA (identificazione delle funzioni aziendali critiche) sia i requisiti di dipendenza della NIS2 (catena di approvvigionamento).
  2. Metodologia di risk assessment: L’integrazione richiede una metodologia quantitativa o semi-quantitativa che permetta di mappare le vulnerabilità tecniche rispetto all’impatto operativo.

La gestione delle terze parti: il vero banco di prova

Uno dei pilastri di DORA è il monitoraggio del rischio derivante da terze parti (TPRM – Third-Party Risk Management). La NIS2, d’altro canto, pone un’enfasi senza precedenti sulla sicurezza della supply chain. Il rischio di duplicazione qui è altissimo: audit ripetuti allo stesso fornitore, questionari di assessment discordanti, clausole contrattuali che si sovrappongono in modo confuso.

Citando Diritto Bancario (2026), “il rapporto tra DORA e NIS2 non si configura come un’alternativa tra discipline concorrenti, ma come un modello di specialità integrata”. Per rendere operativa questa integrazione, è necessario:

  • Standardizzare i criteri di selezione dei fornitori basandoli sugli standard internazionali (ISO/IEC 27001:2022) integrati dai requisiti specifici di DORA sulle “funzioni essenziali o importanti”.
  • Creare un registro unificato dei fornitori, capace di tracciare se un fornitore è un “Critical ICT Third-Party Provider” ai sensi di DORA o un “Fornitore di Servizi Digitali” sotto NIS2.

Segnalazione degli incidenti: verso il Single Point of Contact

La gestione degli incidenti rappresenta l’area di maggiore attrito operativo. DORA impone tempi di notifica strettissimi per gli incidenti gravi, mentre la NIS2 introduce un sistema a tre fasi (pre-notifica entro 24h, notifica entro 72h, relazione finale).

L’integrazione in questo caso deve avvenire a livello di Incident Response Plan (IRP). Un errore comune è avere due team o due procedure separate.

L’organizzazione deve implementare un sistema di classificazione unico che utilizzi i criteri più restrittivi tra i due framework.

Se un incidente colpisce un servizio che è sia “critico” per DORA che “essenziale” per NIS2, la tassonomia deve essere armonizzata per permettere un’unica attività di analisi che alimenti entrambi i flussi di reporting verso le autorità competenti (ACN per NIS2, Banca d’Italia/IVASS per DORA).

Conclusione: la compliance come driver di efficienza

In definitiva, l’integrazione DORA-NIS2 non deve essere vista come un mero esercizio legale. Come riportato nelle analisi di ICT Security Magazine (2025), le organizzazioni che riescono ad armonizzare questi requisiti possono ottenere una riduzione del 40% del rischio di sanzioni e un miglioramento del 50% nei tempi di risposta operativa.

Evitare i doppioni significa passare da una “difesa burocratica” a una resilienza dinamica. La governance non deve essere un peso, ma il motore che permette all’azienda di navigare la complessità del panorama delle minacce moderno senza affogare nella carta.

Bibliografia di riferimento

  1. Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio, del 14 dicembre 2022, relativo alla resilienza operativa digitale per il settore finanziario (DORA).
  2. Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione (NIS2).
  3. D.Lgs. 5 settembre 2024, n. 138, Recepimento della direttiva (UE) 2022/2555 (NIS2) nell’ordinamento italiano.
  4. Diritto Bancario (2026), “NIS2 e DORA: tra specificità e profili di coordinamento”. Disponibile su: dirittobancario.it.
  5. ICT Security Magazine (2025), “NIS2, DORA e CER: navigare la convergenza normativa europea sulla cybersecurity”.
  6. ENISA (2024), “Technical Guidance on the implementation of NIS2 security measures”.
  7. Toiati, M. (2025), “GDPR e DORA: sinergie e differenze tra i pilastri regolatori dell’Europa digitale”, CyberSecurity360.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Marco Toiati
Ingegnere, IT Security Manager

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Vulnerabilità in Apple iOs per attacchi mirati: la patch è urgente

  • sicurezza mobile

    Vulnerabilità in Apple iOS, basta un'immagine per sferrare attacchi mirati: patch urgente

    26 Ago 2025

    di Mirella Castigli

    Condividi
  • Aggiornamenti Microsoft Patch Tuesday

  • update

    Aggiornamenti Microsoft marzo 2026: corrette due zero-day e la prima vulnerabilità scoperta dall’IA

    11 Mar 2026

    di Paolo Tarsitano

    Condividi
  • IA e rischio d’impresa guida EDPS

  • l'analisi

    IA e rischio d’impresa: la guida EDPS parla anche alle aziende

    10 Dic 2025

    di Tania Orrù

    Condividi
  • WhatsApp aziendale e privacy; WhatsApp introduce le impostazioni restrittive dell'account: come attivarle su iPhone e Android; La crittografia end-to-end su iOS 26.5 per i messaggi RCS: un'alternativa agli insicuri SMS tra iPhone e Android

  • la sanzione

    WhatsApp aziendale e privacy: perché serve il consenso per aggiungere dipendenti nei gruppi

    21 Ott 2025

    di Chiara Ponti

    Condividi
0
Lascia un commento, la tua opinione conta.x