Indice dei contenuti
- Cosa sono DORA e NIS2?
- Come le aziende possono adeguarsi
- Verifica dell’ambito di applicazione
- Pianificazione e valutazione del rischio
- Implementazione di misure di sicurezza avanzate
- Continuità operativa e piani di emergenza
- Monitoraggio continuo e audit
- Sensibilizzazione e formazione
- Gestione dei fornitori ICT
Con l’entrata in vigore della Direttiva NIS2 (Direttiva UE 2022/2555) e del Regolamento DORA, l’Unione Europea introduce un nuovo quadro normativo per migliorare la sicurezza informatica e la resilienza operativa digitale.
Questi provvedimenti sono essenziali per proteggere le infrastrutture digitali e i servizi critici, sempre più vulnerabili a attacchi informatici. Le aziende devono quindi adottare misure concrete per allinearsi alle nuove disposizioni entro il 17 ottobre 2024 per NIS2 e il 17 gennaio 2025 per DORA.
Cosa sono DORA e NIS2?
La Direttiva NIS2
La Direttiva NIS2 aggiorna ed amplia il perimetro della precedente Direttiva NIS, includendo nuovi settori critici come fornitori digitali, servizi postali, e organizzazioni di ricerca. Tra le sue principali novità, introduce:
- obblighi di segnalazione per gli incidenti informatici rilevanti;
- misure di gestione del rischio più rigorose;
- un sistema di sanzioni per il mancato rispetto delle disposizioni.
NIS2 promuove un approccio di sicurezza basato sul rischio, con focus su sicurezza delle reti e protezione contro minacce informatiche.
Il Regolamento DORA
Il Regolamento DORA (Digital Operational Resilience Act) si concentra sulle aziende del settore finanziario e sui loro fornitori di servizi ICT, imponendo:
- requisiti di resilienza operativa digitale;
- valutazioni di rischio estese ai fornitori esterni;
- obblighi di mantenimento della continuità operativa durante incidenti informatici.
DORA rappresenta un passo fondamentale per creare un ecosistema digitale sicuro e affidabile.
Come le aziende possono adeguarsi
Adeguarsi alle normative NIS2 e DORA richiede un approccio integrato e strategico. Non si tratta semplicemente di rispettare le regole, ma di sviluppare una cultura aziendale orientata a migliorare la resilienza operativa digitale e alla prevenzione degli incidenti informatici. Analizziamo in dettaglio le azioni chiave che le aziende devono intraprendere per conformarsi alle nuove disposizioni.
Verifica dell’ambito di applicazione
Il primo passo è determinare se la propria attività rientra tra i soggetti obbligati da NIS2 e DORA. Questo processo di verifica include:
- Analisi del settore di riferimento
NIS2 si applica a un’ampia gamma di settori critici come energia, trasporti, sanità, infrastrutture digitali e fornitori di servizi online. DORA, invece, è specifico per aziende finanziarie e fornitori di servizi ICT.
- Valutazione dell’impatto aziendale
Identificare se i propri processi o servizi hanno un ruolo strategico nella continuità operativa delle infrastrutture critiche dell’Unione Europea.
Una chiara comprensione dell’ambito di applicazione permette di adattare le misure alle specifiche esigenze normative.
Pianificazione e valutazione del rischio
La gestione del rischio è il cuore di entrambe le normative. Le aziende devono implementare un approccio risk-based, che prevede:
- Mappatura delle minacce informatici
Identificare potenziali fonti di attacchi informatici o vulnerabilità interne, come falle nei sistemi o errori umani.
- Valutazione del rischio
Calcolare la probabilità di un incidente e il suo impatto. Questo può essere fatto utilizzando metodologie standardizzate come ISO/IEC 27005 o framework NIST.
- Definizione delle priorità
Assegnare risorse e interventi alle aree con il più alto livello di rischio.
Una buona pianificazione del rischio consente di anticipare i problemi e intervenire prima che si verifichino incidenti gravi.
Implementazione di misure di sicurezza avanzate
Le misure di sicurezza non possono essere generiche, ma devono rispondere alle esigenze specifiche del contesto aziendale. Tra le principali:
- Cifratura dei dati
Proteggere i dati a riposo (archiviati) e in transito (comunicazioni) con tecniche avanzate come crittografia AES-256 o protocolli sicuri come HTTPS e VPN.
- Protezione della reti aziendale
Utilizzare firewall, sistemi IDS/IPS per monitorare e bloccare traffico sospetto, e segmentare le reti per limitare la propagazione degli attacchi.
- Gestione degli accessi
Adottare politiche di accesso basate sul principio del minimo privilegio e implementare l’autenticazione a due fattori (2FA) per tutti i dipendenti e partner esterni.
Queste misure rafforzano la sicurezza informatica e riducono il rischio di compromissione dei sistemi.

Continuità operativa e piani di emergenza
La capacità di reagire rapidamente agli incidenti informatici è essenziale per minimizzare i danni e garantire la continuità aziendale. I piani chiave includono:
- Business Continuity Plan (BCP)
Stabilire protocolli chiari per mantenere operative le funzioni aziendali essenziali anche durante un attacco o un’interruzione.
- Disaster Recovery Plan (DRP)
Definire le azioni tecniche per ripristinare rapidamente dati, sistemi e infrastrutture. Questo include l’utilizzo di siti di backup (cold, warm o hot sites) e strumenti di replica dei dati.
La simulazione periodica di scenari di crisi aiuta a testare l’efficacia dei piani e migliorare la preparazione.
Monitoraggio continuo e audit
La conformità a NIS2 e DORA non è un traguardo statico, ma un processo continuo. È necessario stabilire:
- Sistemi di monitoraggio
Utilizzare soluzioni di Endpoint Detection and Response (EDR) e Security Information and Event Management (SIEM) per rilevare attività sospette e analizzare eventi in tempo reale.
- Audit periodici
Condurre verifiche regolari per valutare l’adeguatezza delle misure implementate rispetto ai requisiti normativi.
- Aggiornamenti tecnologici
Garantire che le infrastrutture siano sempre protette contro le minacce emergenti, implementando aggiornamenti software e patch di sicurezza.
Sensibilizzazione e formazione
Gli errori umani rimangono una delle principali cause di incidenti informatici. Per questo motivo, investire nella formazione del personale è cruciale. Le aziende dovrebbero organizzare:
- Sessioni formative periodiche
Istruire i dipendenti sui rischi informatici e sulle misure preventive, come il riconoscimento di email di phishing.
- Simulazioni di attacco
Testare la reazione del personale a scenari realistici, migliorando la loro capacità di rispondere efficacemente.
- Iniziative di sensibilizzazione
Diffondere una cultura aziendale orientata alla sicurezza, coinvolgendo anche i livelli dirigenziali.
Un personale formato è la prima linea di difesa contro le minacce informatiche.
Gestione dei fornitori ICT
Sia NIS2 che DORA pongono grande enfasi sulla gestione della supply chain digitale. Le aziende devono assicurarsi che i loro fornitori rispettino standard di sicurezza adeguati, attraverso:
- Contratti vincolanti
Includere clausole specifiche sui requisiti di sicurezza ICT.
- Valutazioni periodiche
Verificare le misure di sicurezza adottate dai fornitori e richiedere rapporti regolari sulle loro performance.
- Piani di emergenza congiunti
Collaborare con i fornitori per definire strategie di risposta agli incidenti che possano influire sui servizi critici.
Domande e risposte
- Cosa prevede la Direttiva NIS2?
La Direttiva NIS2 introduce obblighi di gestione del rischio e segnalazione per migliorare la sicurezza delle reti nei settori critici.
- Qual è l’obiettivo del Regolamento DORA?
Garantire la resilienza operativa digitale delle aziende finanziarie e dei loro fornitori ICT contro le minacce informatiche.
- Chi deve adeguarsi a NIS2 e DORA?
Aziende di settori critici, fornitori digitali, organizzazioni finanziarie e loro fornitori di servizi ICT.
- Quando entra in vigore la Direttiva NIS2?
NIS2 sarà applicabile dal 17 ottobre 2024.
- Quando sarà applicabile il Regolamento DORA?
Il Regolamento DORA entrerà in vigore il 17 gennaio 2025.
- Quali misure devono adottare le aziende?
Analisi del rischio, protezione delle reti, piani di continuità operativa e formazione del personale.
- Cosa sono il Business Continuity e il Disaster Recovery?
Sono piani operativi per garantire la continuità e il ripristino delle attività in caso di incidenti informatici.
- Qual è la differenza tra NIS2 e DORA?
NIS2 si applica a settori critici e include obblighi di segnalazione, mentre DORA riguarda la resilienza digitale nel settore finanziario.
- Quali sanzioni sono previste per il mancato adeguamento?
Sono previste multe proporzionate alla gravità della violazione, definite a livello nazionale.
- Come le aziende possono monitorare i fornitori ICT?
Attraverso contratti vincolanti e valutazioni periodiche del rischio sui fornitori esterni.