DORA e NIS2: la nuova frontiera della cybersecurity in Europa

La crescente digitalizzazione ha creato numerose opportunità, ma ha portato con sé anche rischi significativi, in particolare nell’ambito della sicurezza informatica.

Gli attacchi cyber sono aumentati drasticamente e l’Italia si è rivelata uno degli obiettivi principali di queste minacce. Secondo il rapporto Clusit 2024, nel 2023 il nostro paese ha registrato l’11% degli attacchi informatici globali con un preoccupante incremento del 65% rispetto all’anno precedente. Tra i settori più colpiti spicca quello finanziario che ha subito una pressione intensa: gli attacchi verso banche e istituzioni finanziarie italiane sono aumentati del 286% nel 2023.

Questo scenario risulta particolarmente grave poiché queste istituzioni gestiscono informazioni sensibili e transazioni di alto valore, diventando bersagli privilegiati per i cybercriminali, evidenziando la vulnerabilità delle infrastrutture attuali.

L’evoluzione delle minacce cyber e le risposte italiane

Un ulteriore fattore di rischio è rappresentato dall’uso crescente di strumenti di intelligenza artificiale generativa (GenAI) da parte degli attaccanti. L

a GenAI permette di automatizzare e rendere più sofisticati i tentativi di intrusione, come nel caso di malware avanzati o campagne di phishing personalizzate, aumentando la difficoltà di difesa per le aziende. In risposta a queste minacce, le aziende italiane hanno potenziato gli investimenti in cybersecurity che nel 2023 hanno toccato i 2,15 miliardi di euro con un incremento del 16% rispetto all’anno precedente. Tuttavia, nonostante l’aumento della spesa e la consapevolezza crescente dei rischi, il divario tra le difese adottate e le nuove capacità offensive dei cybercriminali continua ad allargarsi.

In un contesto di attacchi in costante aumento, la resilienza digitale e la sicurezza informatica si affermano come elementi essenziali per proteggere il settore finanziario e prevenire impatti negativi su clienti e partner.

Nuove regolamentazioni e obiettivi

L’Unione Europea ha riconosciuto la necessità di aumentare la capacità di resilienza e risposta a tali rischi intraprendendo un percorso di aggiornamento normativo che ha portato all’adozione della Direttiva (EU) 2022/2555 e del Regolamento (EU) 2022/2554, rispettivamente noti come NIS2 e DORA. L’obiettivo del legislatore europeo consiste nell’introduzione e perfezionamento di un vero e proprio framework di normative a disciplina della sicurezza informatica, al fine di gestire e mitigare gli incidenti informatici sia interni all’organizzazione che presso i fornitori strategici.

NIS2: un nuovo framework per la cybersicurezza

La Direttiva NIS2 aggiorna la precedente Direttiva NIS del 2016 in ottica evolutiva rispetto al crescente livello di digitalizzazione e al mutevole panorama delle minacce cibernetiche. Essa segna un passo significativo verso il rafforzamento della sicurezza informatica in Unione Europea e si pone l’obiettivo di consolidare un framework unitario, colmando le discrasie tra gli stati membri evidenziate dalla prima direttiva NIS.

In particolare, la NIS2 estende l’ambito di applicazione delle norme a nuovi settori e tipologie di entità con l’obiettivo di migliorare la resilienza e la capacità di risposta agli incidenti di sicurezza per enti pubblici e privati. Tra le novità principali si prevede che gli Stati membri siano dotati di team specializzati per la risposta agli incidenti e di un’autorità nazionale competente. Inoltre, la Direttiva promuove una cooperazione più stretta tra gli Stati e incoraggia l’adozione di misure di sicurezza in settori critici come energia, trasporti, finanza, sanità, gestione rifiuti e infrastrutture digitali. Imprese ed operatori essenziali, come fornitori di servizi cloud e mercati online, saranno obbligati a rispettare rigorosi standard di sicurezza e a notificare tempestivamente eventuali incidenti significativi, trasmettendo un preallarme entro 24 e una notifica aggiornata entro 72 ore.

Ma cosa rischiano le imprese che non si conformano alle nuove previsioni? La NIS2 ha indubbiamente incrementato i poteri attribuiti alle autorità competenti che potranno imporre diverse sanzioni amministrative in funzione dell’inquadramento dell’operatore come essenziale (fino a un massimo di 10 milioni di euro o 2% del fatturato annuo) o importante (fino a un massimo di 7 milioni o 1,4% del totale del fatturato annuo).

Il termine ultimo per il recepimento da parte degli stati membri è fissato per il 17 ottobre 2024. In Italia il processo di recepimento si è concluso con l’adozione del Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre ed applicabile dal 16 ottobre scorso.

DORA: la gestione dei rischi ICT

Il RegolamentoDORA si pone due obiettivi principali:

gestire i rischi ICT nel settore finanziario;
armonizzare le normative esistenti nei vari Stati membri dell’UE.

Con DORA, l’UE vuole introdurre un quadro unico per la gestione dei rischi ICT, eliminando conflitti tra normative nazionali e garantendo maggiore resilienza e uniformità tra tutti gli operatori del settore.

Gli impatti del Regolamento sono rilevanti su vari fronti. In primo luogo, rafforza la sicurezza informatica, richiedendo alle imprese di implementare misure tecniche e organizzative più rigorose per proteggere i propri sistemi e dati. In secondo luogo, DORA impone una maggiore trasparenza nella gestione dei rischi IT con obblighi di segnalazione degli incidenti e audit periodici. Inoltre, viene regolamentato l’utilizzo di fornitori terzi di servizi tecnologici, come il cloud, imponendo loro requisiti di sicurezza e controlli continui.

Il fine ultimo di DORA consiste nell’aumentare la fiducia nel settore finanziario e garantire la stabilità anche al verificarsi di incidenti informatici. Il regolamento mira a minimizzare i rischi sistemici legati alle interconnessioni digitali, assicurando che il sistema finanziario continui a funzionare anche in presenza di problemi connessi ai sistemi informatici, contribuendo così alla resilienza complessiva del mercato.

A differenza della Direttiva NIS2 che richiede un recepimento da parte di ciascuno stato membro, il Regolamento DORA è direttamente applicabile a partire dal 17 gennaio 2025.

Conclusioni e impatti per le aziende

La Direttiva NIS2 e il Regolamento DORA segnano un’importante evoluzione normativa nel campo della cybersicurezza e la loro entrata in vigore rappresenta una sfida significativa per molte aziende.

L’impatto di queste normative è notevole: aziende di tutti i settori, in particolare quelle finanziarie, sono chiamate a rivedere le proprie strategie di sicurezza, investendo in tecnologie e competenze specializzate. L’adeguamento a NIS2 e DORA rappresenta una sfida complessa, ma è fondamentale per garantire la continuità operativa e proteggere i dati sensibili di clienti e stakeholder.

Le aziende devono adottare una cultura della sicurezza informatica che possa consentire tutti i livelli dell’organizzazione e investire in soluzioni tecnologiche e processi adeguati. Una valutazione iniziale della propria postura di sicurezza è senza dubbio un punto di partenza fondamentale per identificare le aree di miglioramento e definire un piano di adeguamento personalizzato ed efficace nel tempo.

Soluzioni InfoCert – Tinexta Group

Il polo Cyber del Gruppo Tinexta ha definito un framework di servizi per supportare e agevolare l’adeguamento di operatori e fornitori impattati dal Regolamento DORA e dalla Direttiva NIS2, tramite una proposizione modulare che combina consulenza specialistica ad asset proprietari quali strumenti di analisi del rischio e piattaforme di monitoraggio della sicurezza.

Tramite un team di consulenti specializzati potremo supportarti nello svolgimento di una analisi dello stato di conformità della tua organizzazione rispetto alle normative e best practices in ambito di sicurezza informatica, ivi inclusi i requisiti previsti dal Regolamento DORA e dalla Direttiva NIS2. Tramite una Dashboard dedicata potrai invece avere una panoramica chiara e sintetica dello stato dei livelli conformità (e relativa esposizione a rischio) della tua organizzazione, monitorando e gestendo la conformità aziendale alle normative, alle politiche interne e agli standard di settore, dal punto di vista organizzativo e tecnologico.

Potrai avere una visione aggregata delle informazioni provenienti da diversi centri di competenza, al fine di ridurre la dispersione delle informazioni e migliorare la comunicazione interna, restituire una visione aggiornata delle attività, nonché dello stato di sicurezza, dell’intera organizzazione e facilitare il processo decisionale e il coordinamento delle risorse.

DORA e NIS2: la nuova frontiera della cybersecurity in Europa

L’evoluzione delle minacce cyber e le risposte italiane

Nuove regolamentazioni e obiettivi

NIS2: un nuovo framework per la cybersicurezza

DORA: la gestione dei rischi ICT

Conclusioni e impatti per le aziende

Soluzioni InfoCert – Tinexta Group

Non perderti le ultime innovazioni del mondo digitale!

Non perderti le ultime innovazioni del mondo digitale!

I nuovi dettagli operativi del registro EPREL: un passo avanti verso una maggiore sicurezza e trasparenza

Riconoscimento facciale negli aeroporti e dati biometrici: il parere EDPB e la compatibilità con il GDPR

Ai Act approvato dal Consiglio Europeo: novità e obiettivi della legge sull’IA

Modificare fattura elettronica inviata: che cos’è la nota di credito e come si compila?

Scopri tutte le promozioni di InfoCert per passare al digitale