NIS2, DORA e CER: navigare la convergenza normativa europea sulla cybersecurity

La convergenza normativa europea sulla cybersecurity costituisce uno snodo cruciale nel percorso di rafforzamento della resilienza digitale dell’Unione Europea. L’integrazione tra NIS2, DORA e CER delinea un’architettura regolatoria complessa, in cui si intrecciano sicurezza informatica, gestione del rischio e continuità operativa. Questa evoluzione riflette la volontà di superare approcci settoriali frammentati, orientandosi verso un modello di governance unitaria e proporzionata.

L’architettura normativa europea in materia di cybersecurity ha raggiunto un livello di complessità senza precedenti con l’entrata in vigore quasi simultanea di tre pilastri regolamentari: la direttiva NIS2, il regolamento DORA e la direttiva CER. Questa convergenza temporale non è casuale, ma riflette una strategia deliberata dell’Unione Europea per costruire un ecosistema di resilienza digitale e fisica interconnesso. Tuttavia, come evidenziato nell’analisi dell’impatto normativo sulle entità finanziarie, le sovrapposizioni normative, le specificità settoriali e i diversi approcci implementativi generano interrogativi operativi significativi per le organizzazioni coinvolte.

Il presente articolo offre un’analisi tecnico-scientifica dell’interazione tra queste normative, esaminando i punti di convergenza, le tensioni interpretative e le strategie di compliance integrata. Attraverso l’analisi di documenti ufficiali ENISA, EBA, ACN e della letteratura specialistica, delineeremo un framework operativo per navigare questo complesso panorama normativo, con particolare attenzione al contesto italiano dove, secondo quanto emerso al Forum ICT Security 2024, si stima che le nuove normative interesseranno oltre 50.000 aziende.

Introduzione e quadro teorico

Lo stato dell’arte della regolamentazione cybersecurity nell’UE

L’evoluzione del framework normativo europeo in materia di sicurezza informatica rappresenta una risposta sistemica alla crescente digitalizzazione dei servizi critici e all’escalation delle minacce cibernetiche. La direttiva NIS2, recepita in Italia con il decreto legislativo 138/2024, si applica a migliaia di organizzazioni appartenenti a 18 settori critici, con l’obiettivo principale di garantire un elevato livello comune di cybersicurezza all’interno dell’Unione europea.

Parallelamente, il regolamento DORA (Digital Operational Resilience Act) è diventato pienamente applicabile dal 17 gennaio 2025, stabilendo un quadro normativo armonizzato per la resilienza operativa digitale nel settore finanziario. La terza componente di questo trittico normativo, la direttiva CER (Critical Entities Resilience), recepita in Italia con il decreto legislativo 134/2024, si concentra sulla resilienza fisica e operativa dei soggetti critici, integrando la dimensione cibernetica con quella fisica.

Questa proliferazione normativa solleva una questione fondamentale: stiamo assistendo a una stratificazione incoerente di obblighi o a un’architettura integrata di protezione? La risposta, come vedremo, è più sfumata di quanto possa apparire.

Il principio della lex specialis: DORA come eccezione paradigmatica

Come chiarito nell’analisi dei rapporti tra NIS2 e altre normative, il regolamento DORA costituisce lex specialis rispetto alla direttiva NIS2, in virtù del criterio di specialità (lex specialis derogat generali). Dunque, tutti i soggetti rientranti nell’ambito di applicazione soggettivo del DORA non saranno assoggettati dalla NIS2. Questa affermazione, apparentemente semplice, nasconde complessità interpretative significative.

Tuttavia, secondo l’analisi comparativa approfondita pubblicata recentemente, DORA non è un sottoinsieme della direttiva NIS2. In realtà, è vero il contrario: è la NIS2 a rappresentare un sottoinsieme del quadro delineato da DORA, che si presenta come una normativa ben più analitica e dettagliata nelle sue prescrizioni. Questo ribaltamento prospettico è cruciale: mentre NIS2 fornisce una baseline orizzontale applicabile a 18 settori critici, DORA offre un framework verticale, profondamente specializzato per il settore finanziario. Il regolamento DORA (UE 2022/2554) si compone di 64 articoli organizzati in 9 capi, offrendo una disciplina molto più articolata e granulare rispetto al regolamento di esecuzione NIS2 (UE) 2024/2690, che conta 15 articoli più un allegato tecnico dettagliato.

Sorprendentemente, questa maggiore granularità di DORA può trasformarsi in un vantaggio anche per le entità non finanziarie. Come osservato nell’analisi tecnica, se si desidera comprendere in modo più preciso come implementare un requisito previsto dalla NIS2, può risultare estremamente utile esaminare cosa prevede DORA in merito. Questo fenomeno di cross-fertilization normativa rappresenta un’opportunità ancora poco esplorata nella pratica operativa.

CER: il ponte tra resilienza fisica e digitale

La direttiva CER sull’attuazione italiana si inserisce in un contesto più ampio di regolamentazione europea, integrandosi con la direttiva NIS2, focalizzata sulla cybersicurezza. Mentre la direttiva CER si concentra sulla resilienza fisica e operativa dei soggetti critici, la NIS2 si occupa della sicurezza dei sistemi informatici che supportano tali entità. Questo approccio integrato riflette l’interdipendenza tra sicurezza fisica e digitale, evidenziata da crescenti minacce ibride e transfrontaliere.

Un aspetto particolarmente interessante emerge dall’analisi della sovrapposizione settoriale. Per tre settori particolari – quello bancario, quello delle infrastrutture dei mercati finanziari e quello delle infrastrutture digitali – come specificato nel documento governativo sulla strategia di resilienza, la direttiva CER e il decreto legislativo 134/2024 si applicano solo in modo parziale poiché le concrete misure di resilienza, la notifica degli incidenti e le attività di vigilanza sono disciplinate da atti normativi settoriali (DORA e NIS2).

Questa architettura normativa “a strati” solleva una domanda legittima: stiamo costruendo un sistema resiliente o un labirinto burocratico? La risposta richiede un’analisi approfondita dei meccanismi di coordinamento previsti.

Analisi critica multidimensionale della convergenza normativa europea sulla cybersecurity

A. Sovrapposizioni normative: tra duplicazioni e sinergie

Evidenze empiriche delle intersezioni

L’interazione tra le tre normative si manifesta su molteplici livelli. Il considerando 18 di DORA, come analizzato nell’approfondimento sull’impatto normativo, sottolinea l’importanza di un apprendimento intersettoriale nella lotta contro le minacce cibernetiche. Ciò comporta che le entità finanziarie devono continuare a far parte dell’ecosistema NIS2, partecipando ai gruppi di cooperazione e ai CSIRT (Computer Security Incident Response Teams).

Questa partecipazione dual-track genera obblighi paralleli che meritano un’analisi quantitativa. Nel contesto italiano, secondo le indicazioni dell’ACN, i soggetti essenziali e importanti dovranno implementare misure tecniche e organizzative adeguate e proporzionate, declinate secondo un approccio basato sul rischio. Una banca media italiana, soggetta sia a DORA che a NIS2 (attraverso il principio di partecipazione all’ecosistema), si trova potenzialmente a gestire centinaia di requisiti tecnici distinti, con inevitabili sovrapposizioni.

Gestione del rischio ICT: convergenze e divergenze

Tutte e tre le normative adottano un approccio risk-based alla cybersicurezza, ma con sfumature significative. Come evidenziato nell’analisi delle convergenze DORA-NIS2, i soggetti interessati dall’applicazione della direttiva NIS2 e dal regolamento DORA sono chiamati a sposare un approccio di gestione fondato sulla identificazione, valutazione e mitigazione del rischio cyber.

Tuttavia, emergono differenze metodologiche rilevanti. Secondo l’analisi critica della corretta lettura normativa, la lettura della NIS2, del regolamento DORA e della direttiva CER evidenzia un approccio multirischio che non si riscontra nelle versioni inglesi delle normative, in cui si parla di approccio all-hazards. Due approcci non scambiabili poiché esprimono concetti differenti nell’ambito dell’identificazione del rischio.

Questa differenza linguistica non è semantica ma sostanziale. L’approccio all-hazards implica una considerazione completa di tutte le minacce possibili (cibernetiche, fisiche, naturali, antropiche), mentre l’approccio “multirischio” si concentra sull’analisi dell’accadimento simultaneo di diversi rischi. Dal punto di vista operativo, questo si traduce in metodologie di risk assessment divergenti e potenzialmente incompatibili se non adeguatamente armonizzate.

Incident reporting: il labirinto delle notifiche

La gestione degli incidenti rappresenta uno dei punti di maggiore complessità operativa. Come descritto nell’analisi delle convergenze normative, per quanto riguarda gli incidenti di sicurezza, entrambi i framework DORA e NIS2 prevedono una serie di obblighi in merito alla gestione e alla notifica degli stessi, disciplinando criteri e tempistiche per l’identificazione, classificazione e segnalazione.

Nel contesto italiano, secondo le indicazioni ACN, i soggetti dovranno conformarsi agli obblighi di notifica secondo tempistiche specifiche che saranno dettagliate nelle determinazioni attuative dell’Agenzia. Per le entità finanziarie soggette a DORA, le timeline sono definite negli standard tecnici EBA. Questa molteplicità di scadenze e autorità destinatarie (CSIRT Italia per NIS2, autorità competenti settoriali per DORA, autorità CER per aspetti fisici) crea un onere procedurale significativo.

È interessante notare che, come evidenziato nella guida completa alla direttiva NIS2, le entità possono essere soggette a entrambe le normative, dovendo garantire la conformità con requisiti che, pur convergenti negli obiettivi, differiscono nelle modalità implementative. Un esempio paradigmatico: un datacenter che fornisce servizi a entità finanziarie è soggetto a NIS2 come infrastruttura digitale critica, ma deve anche conformarsi agli obblighi DORA come fornitore terzo di servizi ICT critici (CTPP).

B. Case study: il settore finanziario come laboratorio di compliance integrata

Case study 1: Poste Italiane e il progetto CSR (Cyber Security Readiness)

Secondo quanto emerso al Forum ICT Security 2024, Poste Italiane ha lanciato, all’interno di Unindustria e Confindustria, un progetto innovativo denominato CSR – Cyber Security Readiness per coinvolgere le piccole imprese parte della filiera, aiutandole ad elevare il loro livello di sicurezza e supportandole nel partecipare a processi di audit condivisi.

Questo caso rappresenta un’applicazione pratica del principio di supply chain security presente sia in DORA che in NIS2. Come descritto nell’analisi delle convergenze normative, sia il DORA che la NIS2 sottolineano l’importanza di gestire i rischi derivanti da terze parti, in particolare per quanto riguarda i fornitori di servizi IT. Il progetto CSR affronta una criticità spesso sottovalutata: la compliance normativa non può essere garantita da una singola organizzazione se la sua catena di fornitura presenta vulnerabilità sistemiche.

Dal punto di vista operativo, Poste Italiane ha implementato un framework che:

• Identifica i fornitori critici lungo l’intera supply chain
• Fornisce supporto tecnico e formativo alle PMI fornitrici
• Coordina audit condivisi per evitare duplicazioni
• Crea un ecosistema di resilienza distribuita

Nota metodologica: I risultati preliminari del progetto, pur citati da fonti del settore, non sono ancora stati pubblicati in forma di studio peer-reviewed. Le valutazioni sull’efficacia del programma richiedono pertanto ulteriore validazione empirica.

Case study 2: il settore bancario europeo e la designazione dei CTPP

Come documentato sul portale ufficiale DORA delle autorità europee, le Autorità di Vigilanza Europee (European Supervisory Authorities) stanno avanzando nell’implementazione del framework di vigilanza paneuropeo sui fornitori terzi critici di servizi ICT (CTPP), con l’obiettivo di designare i CTPP e iniziare l’attività di vigilanza nel 2025.

Il processo di designazione dei CTPP rappresenta un esperimento normativo di particolare interesse. Secondo le informazioni EBA sulla preparazione, dal 17 gennaio 2025 tutte le entità finanziarie nell’ambito DORA devono avere un registro completo dei loro accordi contrattuali con i fornitori di servizi ICT terzi, disponibile a livello di entità, sub-consolidato e consolidato.

Questi registri servono a:

• Supervisionare la gestione del rischio ICT e terze parti nelle entità finanziarie
• Designare i fornitori di servizi ICT terzi critici (CTPP) soggetti a vigilanza a livello UE

Le evidenze raccolte dalle ESA durante il “dry run exercise” del 2024 hanno rivelato una significativa concentrazione del mercato: un numero relativamente limitato di fornitori ICT serve la maggioranza del settore finanziario europeo, con particolare concentrazione nei servizi cloud. Questa concentrazione di servizi critici su pochi fornitori globali (principalmente extra-UE) genera un rischio sistemico significativo.

Questa evidenza empirica sottolinea l’importanza del framework di oversight DORA, che estende la vigilanza prudenziale oltre i confini delle entità finanziarie tradizionali, includendo fornitori tecnologici globali mai precedentemente soggetti a vigilanza regolamentare finanziaria.

Case study 3: l’implementazione italiana della CER nel settore energetico

Secondo l’analisi delle nuove regole operative CER, il decreto legislativo n. 134 sull’attuazione della CER ha istituito il CIR (Comitato Interministeriale per la Resilienza), configurandosi come un pilastro essenziale della governance delle infrastrutture critiche in Italia.

Un’applicazione concreta si osserva nel settore energetico, dove, come documentato nell’approfondimento sulla direttiva CER, i soggetti critici devono effettuare valutazioni regolari dei rischi fisici ed informatici, considerando minacce naturali, accidentali ed intenzionali, con linee guida dettagliate per uniformare questo processo sul territorio nazionale.

Nel 2024, un operatore della rete di distribuzione elettrica italiana ha dovuto implementare simultaneamente:

• Misure NIS2 per la protezione dei sistemi SCADA e ICS
• Requisiti CER per la protezione fisica delle sottostazioni
• Piani di continuità operativa che integrano scenari cyber e fisici

L’esperienza di questo operatore evidenzia una criticità: le valutazioni del rischio cyber (NIS2) e fisico (CER) venivano inizialmente condotte da team diversi, con metodologie incompatibili. Solo l’adozione di un framework integrato, basato sulla ISO 31000 e personalizzato per incorporare i requisiti specifici di entrambe le normative, ha permesso una gestione efficiente.

C. Valutazioni critiche: punti di forza e criticità sistemiche

Punti di forza dell’architettura normativa

L’approccio multi-normativo europeo presenta vantaggi significativi:

1. Specializzazione settoriale: DORA offre requisiti altamente specifici per il settore finanziario, evitando il rischio di regolamentazione generica inadeguata per contesti ad alta criticità.
2. Copertura olistica: l’integrazione CER-NIS2 supera la tradizionale dicotomia cyber-fisico, riflettendo la realtà degli attacchi ibridi contemporanei.
3. Armonizzazione graduale: secondo gli orientamenti della Commissione europea sull’applicazione dell’art. 3 paragrafo 4 e dell’art. 4 paragrafi 1 e 2 della direttiva NIS2, viene fornita una chiave di lettura delle possibili sovrapposizioni che dovessero verificarsi in ragione dell’introduzione di normative ulteriori.

Criticità e tensioni interpretative

Tuttavia, emergono problematiche rilevanti:

1. Onere di compliance sproporzionato: le organizzazioni multi-settoriali (es. conglomerati finanziari con attività energetiche) devono gestire requisiti provenienti da tre framework distinti, con autorità di vigilanza diverse e potenzialmente conflittuali.
2. Asimmetrie temporali: le tempistiche di implementazione variano significativamente. Come documentato sul portale ACN, DORA è applicabile dal 17 gennaio 2025, mentre NIS2 prevede un regime transitorio con obblighi graduali che si estenderanno nel corso del 2026. Questa asincronia complica la pianificazione degli investimenti in sicurezza.
3. Frammentazione dell’enforcement: mentre DORA centralizza la vigilanza a livello ESA, NIS2 mantiene un’architettura distribuita con autorità nazionali e settoriali. Secondo la normativa italiana NIS2, in Italia sono identificati 9 Ministeri quali Autorità di settore NIS, che collaborano nel contesto del Tavolo per l’attuazione della disciplina NIS presieduto da ACN. Questa molteplicità di autorità può generare interpretazioni divergenti.
4. Problemi di traduzione normativa: come evidenziato nell’analisi della corretta lettura normativa, le incoerenze tra versioni linguistiche delle direttive (es. “multirischio” vs “all-hazards“) creano ambiguità interpretative che possono portare a implementazioni divergenti tra Stati membri.

D. Prospettive interdisciplinari e implicazioni sistemiche

Dimensione economica: il costo della compliance

La compliance multi-normativa genera costi significativi. Secondo uno studio ENISA del 2024, riportato nel portale informativo NIS2, la sicurezza informatica rappresenta ora il 9% degli investimenti IT dell’UE, con un aumento significativo di 1,9 punti percentuali rispetto al 2022, segnando il secondo anno consecutivo di crescita post-pandemica.

Per le PMI, questi costi possono risultare proibitivi. Analisi di settore stimano che le imprese con 50-249 dipendenti dovranno investire tra 150.000 e 500.000 euro per la compliance NIS2, con costi incrementali del 30-50% se soggette anche a requisiti settoriali specifici.

Sorge una domanda legittima: questa proliferazione normativa sta creando una barriera all’ingresso che favorisce la consolidazione di mercato a vantaggio dei grandi player? Le evidenze preliminari suggeriscono una risposta affermativa, con potenziali implicazioni antitrust ancora poco esplorate.

Dimensione geopolitica: sovranità digitale e dipendenza tecnologica

Il framework di oversight DORA sui CTPP, come documentato nell’analisi EBA sulla preparazione, rappresenta un tentativo europeo di estendere la supervisione prudenziale su fornitori tecnologici globali (cloud, cybersecurity, datacenter) prevalentemente extra-UE.

Questa dinamica solleva tensioni geopolitiche significative. I principali hyperscaler cloud (AWS, Microsoft Azure, Google Cloud) sono tutti soggetti a giurisdizioni extra-UE, creando potenziali conflitti tra requisiti regolatori europei e legislazioni nazionali dei paesi d’origine (es. CLOUD Act statunitense).

Il Cyber Resilience Act (CRA), non ancora pienamente operativo ma già nell’orizzonte normativo, amplifica ulteriormente questa dimensione, introducendo requisiti di cybersecurity per prodotti hardware e software. La convergenza CRA-NIS2-DORA potrebbe de facto creare standard tecnici europei che fungono da barriere non tariffarie, con implicazioni per il commercio internazionale.

Dimensione etica: responsabilità personale e accountability

Una delle innovazioni più controverse riguarda la responsabilità personale dei vertici aziendali. Come evidenziato nell’analisi della direttiva CER Italia, la direttiva CER introduce elementi di responsabilità per i vertici aziendali in caso di mancata attuazione delle misure previste.

Questa responsabilità personale, presente anche in NIS2 con la possibile sanzione amministrativa accessoria dell’incapacità a svolgere funzioni dirigenziali, come descritto nell’analisi delle linee guida NIS2 ACN, solleva questioni etiche profonde. È giusto imputare penalmente un amministratore per un cyberattacco subito nonostante misure ragionevoli di protezione? Dove si colloca il confine tra negligenza colpevole e inevitabilità dell’evento?

La giurisprudenza in materia è ancora embrionale, ma le prime indicazioni suggeriscono un’interpretazione rigorosa: la diligenza richiesta non è quella dell’amministratore medio, ma quella di un esperto del settore che implementa le best practices internazionali. Questo standard elevato potrebbe generare una “fuga dai vertici” nelle organizzazioni soggette a questi regimi, con manager riluttanti ad assumere ruoli con responsabilità personali così estese.

Il paradosso della granularità normativa

Emerge un paradosso interessante: maggiore è la specificità normativa, minore può essere la capacità di adattamento alle minacce emergenti. Come documentato nell’analisi comparativa DORA-NIS2, DORA presenta un livello di dettaglio molto elevato, creando un framework estremamente specifico. Tuttavia, questa granularità rischia di “fossilizzare” gli approcci di sicurezza, rendendo difficile l’adozione rapida di tecnologie innovative.

Consideriamo un esempio concreto: l’intelligenza artificiale generativa sta rivoluzionando sia le capacità offensive (AI-powered phishing, deepfakes) che difensive (anomaly detection, automated response) della cybersecurity. Tuttavia, nessuna delle tre normative analizzate contiene riferimenti espliciti all’AI, lasciando un vuoto normativo su questioni critiche come:

• La responsabilità per decisioni automatizzate di sicurezza prese da sistemi AI
• I requisiti di explainability per algoritmi di rilevamento anomalie
• La gestione dei bias negli AI-SOC (Security Operations Centers basati su AI)

Questo gap suggerisce la necessità di un approccio normativo più “principle-based” che “rule-based“, capace di fornire obiettivi di sicurezza senza prescrivere tecnologie specifiche che potrebbero diventare rapidamente obsolete.

La teoria dei giochi applicata alla supply chain security

Un insight non ovvio emerge dall’analisi dei requisiti di supply chain security in DORA e NIS2. Come descritto nell’analisi delle convergenze normative, l’approccio dettato dal regolamento DORA è quello di integrare la gestione dei rischi derivanti da terzi all’interno della propria strategia di risk management, stabilendo obblighi specifici riguardo alla registrazione e documentazione degli accordi con terze parti.

Questo crea una dinamica simile al “dilemma del prigioniero” nella teoria dei giochi. Ogni organizzazione ha incentivo a richiedere standard elevati ai propri fornitori, ma resistenza ad accettare gli stessi standard quando essa stessa è fornitore. Il risultato è un equilibrio sub-ottimale dove nessuno implementa pienamente le misure necessarie.

La soluzione potrebbe risiedere in meccanismi di certificazione terza che socializzano i costi di compliance. Uno schema di certificazione europeo per fornitori ICT (simile ai SOC 2 Type II negli USA) potrebbe permettere ai fornitori di dimostrare compliance una sola volta, riducendo gli oneri di audit multipli. Sorprendentemente, tale schema non è ancora previsto in alcuna delle normative analizzate, rappresentando un’opportunità per interventi futuri.

Scenari controfattuali: e se il Regno Unito fosse rimasto nell’UE?

La Brexit ha sottratto all’ecosistema normativo europeo uno dei mercati finanziari più sofisticati. Vale la pena considerare uno scenario controfattuale: come sarebbe stato diverso DORA se il Regno Unito avesse partecipato alla sua negoziazione?

La City di Londra aveva sviluppato approcci regolatori innovativi in materia di operational resilience (si veda il framework FCA-PRA del 2021) che combinavano flessibilità e accountability in modo più bilanciato rispetto a DORA. L’assenza britannica potrebbe aver spostato l’equilibrio verso un approccio più prescrittivo, riflettendo le preferenze di giurisdizioni con tradizioni regolatorie più interventiste.

Inoltre, la divergenza post-Brexit tra UK e UE in materia di resilienza operativa finanziaria crea opportunità di regulatory arbitrage che potrebbero indebolire l’efficacia complessiva del framework europeo. I fornitori di servizi finanziari potrebbero scegliere di localizzare attività critiche in giurisdizioni con requisiti meno stringenti, minando l’obiettivo di resilienza sistemica.

Implementazioni operative e raccomandazioni

Framework per una compliance integrata NIS2-DORA-CER

Raccomandazione 1: adozione di un approccio “single pane of glass”

Livello di applicazione: strategico

Stakeholder coinvolti: CISO, DPO, risk manager, C-Suite, autorità di vigilanza

Risorse necessarie:

• Tecnologiche: piattaforma GRC (Governance, Risk, Compliance) integrata (budget stimato: €100.000-500.000 per organizzazioni medie)
• Umane: team dedicato compliance multi-normativa (2-5 FTE)
• Consulenziali: supporto legale specializzato (€50.000-150.000/anno)

Timeline: 6-12 mesi per implementazione completa

KPI misurabili:

• Riduzione del 40% del tempo dedicato a reporting multipli
• Eliminazione del 60% delle duplicazioni documentali
• Tempo medio di risposta a richieste di audit ridotto del 50%

Barriere prevedibili: resistenza organizzativa a centralizzare funzioni tradizionalmente siloed; superabile attraverso programmi di change management e dimostrazioni pilota

Quick wins: mappatura unificata degli asset critici comuni a tutte e tre le normative (realizzabile in 4-6 settimane)

Implementazione pratica: creare una matrice di mappatura che identifichi requisiti comuni (es. incident reporting, risk assessment, continuità operativa) e requisiti specifici per ciascuna normativa. Come documentato nelle linee guida tecniche ENISA, ENISA ha pubblicato una mappatura dei requisiti NIS2 con standard europei e internazionali come ISO 27001, NIST CSF, che può costituire il punto di partenza.

Raccomandazione 2: implementazione di un framework di risk assessment unificato

Livello di applicazione: tattico-operativo

Stakeholder coinvolti: team di security, risk managers, business units, fornitori critici

Risorse necessarie:

• Metodologiche: sviluppo di framework customizzato basato su ISO 31000 integrato con requisiti specifici (€30.000-80.000 per consulenza)
• Formative: training del personale su metodologia unificata (€20.000-50.000)

Timeline: 4-8 mesi

KPI misurabili:

• Completamento valutazioni del rischio entro le deadline normative (100% compliance)
• Identificazione di almeno 3 rischi sistemici precedentemente non rilevati
• Miglioramento del 30% nella accuratezza delle prioritizzazioni

Barriere prevedibili: differenze metodologiche tra approccio “multirischio” (CER) e “all-hazards” (interpretazione inglese); superabile attraverso framework ibrido che incorpora entrambi

Quick wins: identificazione immediata di asset soggetti a requisiti multipli per prioritizzazione investimenti (2-3 settimane)

Raccomandazione 3: strategie avanzate di supply chain security

Livello di applicazione: strategico-operativo

Stakeholder coinvolti: procurement, legal, security, fornitori Tier 1 e Tier 2

Risorse necessarie:

• Contrattuali: revisione template contrattuali con clausole NIS2/DORA/CER (€40.000-100.000 per supporto legale)
• Audit: programma di valutazione fornitori (€50.000-200.000/anno a seconda della complessità della supply chain)
• Tecnologiche: supply chain risk management platform (€80.000-300.000)

Timeline: 12-18 mesi per implementazione completa

KPI misurabili:

• 100% dei fornitori critici valutati secondo framework unificato entro 18 mesi
• Riduzione del 25% del numero di fornitori critici (attraverso consolidamento selettivo)
• Tempo medio di ripristino da incidente supply chain ridotto del 35%

Barriere prevedibili:

• Resistenza fornitori a ulteriori oneri di compliance
• Difficoltà nel valutare fornitori extra-UE con framework normativi divergenti
• Costi elevati possono spingere verso concentrazione su pochi fornitori, aumentando paradossalmente il rischio sistemico

Quick wins: creazione registro unificato fornitori ICT conforme a requisiti DORA (registro di cui, secondo l’analisi EBA, tutte le entità finanziarie devono disporre dal 17 gennaio 2025) estendibile a NIS2 (implementabile in 8-12 settimane)

Raccomandazione 4: governance multi-stakeholder e coordinamento con autorità

Livello di applicazione: strategico

Stakeholder coinvolti: board, executive management, autorità di vigilanza (ACN, autorità settoriali, ESA), associazioni di categoria

Risorse necessarie:

• Organizzative: creazione di Comitato Resilienza Multi-normativa (costo opportunità: 0,1-0,2 FTE per C-level)
• Relazionali: partecipazione a tavoli tecnici settoriali (tempo dedicato: 10-20 giorni/anno)

Timeline: avvio immediato, evoluzione continua

KPI misurabili:

• Riduzione del 40% del rischio di sanzioni per non-conformità
• Miglioramento del 50% nei tempi di risposta a richieste di chiarimenti normativi
• Partecipazione attiva ad almeno 2 consultazioni pubbliche annuali su evoluzioni normative

Barriere prevedibili: complessità nel coordinare con autorità multiple (in Italia: ACN come autorità competente NIS più 9 Ministeri quali Autorità di settore, ESA per DORA, autorità CER); superabile attraverso designation di un “regulatory liaison officer” dedicato

Quick wins: creazione di un dashboard delle scadenze normative condiviso con autorità di riferimento (2-3 settimane)

Raccomandazione 5: approccio “compliance as a service” per PMI nella supply chain

Livello di applicazione: ecosistemico

Stakeholder coinvolti: grandi organizzazioni anchor, PMI fornitrici, associazioni di categoria, autorità pubbliche

Risorse necessarie:

• Iniziali: sviluppo framework e materiali formativi (€100.000-250.000 per grandi organizzazioni)
• Operative: supporto continuativo a fornitori PMI (€30.000-80.000/anno)

Timeline: 12-24 mesi per framework completo

KPI misurabili:

• Riduzione del 50% del tempo di audit per fornitori certificati
• Miglioramento del 60% nella postura di sicurezza PMI partecipanti (misurato attraverso penetration testing)
• ROI positivo entro 24 mesi attraverso riduzione incidenti supply chain

Barriere prevedibili: frammentazione e competitività tra PMI può ostacolare condivisione informazioni; superabile attraverso schemi di anonimizzazione threat intelligence

Quick wins: condivisione template conformità e checklist con fornitori strategici (1-2 mesi)

Questo approccio, ispirato al progetto CSR di Poste Italiane, riconosce che la sicurezza della supply chain è un bene pubblico che richiede investimenti collettivi. Le grandi organizzazioni che supportano i propri fornitori non stanno semplicemente trasferendo oneri, ma creando un ecosistema più resiliente che beneficia tutti gli attori.

Raccomandazioni per il policymaker: verso una semplificazione del framework

1. Consolidamento delle autorità di vigilanza

L’attuale frammentazione dell’enforcement con molteplici autorità genera inefficienze. Si raccomanda:

• Creazione di uno “Sportello Unico Compliance” che coordini le diverse autorità settoriali
• Armonizzazione delle procedure di ispezione per evitare audit multipli con metodologie divergenti
• Implementazione di un sistema di “regulatory sandbox” per testare approcci innovativi di compliance

2. Sviluppo di standard tecnici armonizzati

Come documentato nell’analisi della guida tecnica ENISA, ENISA ha pubblicato una guidance tecnica dettagliata per NIS2, composta da oltre 150 pagine di orientamenti pratici. Tuttavia, manca un documento analogo che armonizzi esplicitamente NIS2-DORA-CER. Si raccomanda:

• Mandato a ENISA (in collaborazione con ESA) per sviluppare linee guida integrate
• Mappatura ufficiale dei requisiti comuni e delle equivalenze tra framework
• Definizione di “safe harbors” dove compliance con uno standard è presuntivamente conforme anche agli altri

3. Meccanismi di risoluzione delle controversie interpretative

Con tre normative sovrapposte, sono inevitabili conflitti interpretativi. Si raccomanda:

• Istituzione di un “Comitato per l’Armonizzazione Normativa Cyber” a livello europeo
• Pubblicazione trimestrale di Q&A ufficiali su questioni interpretative ricorrenti
• Fast-track per ruling preventivi su situazioni complesse di applicabilità normativa

Conclusioni e direzioni future

L’interazione tra NIS2, DORA e CER rappresenta uno dei più ambiziosi esperimenti di regolamentazione della cybersecurity a livello sovranazionale. Come evidenziato nell’analisi delle convergenze normative, DORA e NIS2 presentano diversi profili di interconnessione, operando in stretta sinergia per raggiungere lo stesso comune obiettivo: creare un ambiente digitale più sicuro e resiliente.

Tuttavia, la complessità implementativa non deve essere sottovalutata. Le organizzazioni coinvolte – secondo le stime del Forum ICT Security 2024 oltre 50.000 in Italia – affrontano una sfida senza precedenti nella storia della compliance cybersecurity europea. Il rischio è che l’eccellenza dell’intenzione normativa si scontri con le limitazioni pratiche di organizzazioni che, soprattutto nel segmento PMI, dispongono di risorse limitate.

Emerge con chiarezza che la compliance integrata non è un’opzione ma una necessità operativa. Gli approcci a silos, con team separati che gestiscono NIS2, DORA e CER in modo indipendente, sono destinati al fallimento. Solo un framework unificato, supportato da tecnologie GRC avanzate e da una governance multi-stakeholder, può garantire sostenibilità nel lungo termine.

Le implicazioni più ampie toccano questioni di sovranità digitale, competitività economica ed equilibri geopolitici. L’Europa sta tentando di costruire un modello di resilienza cyber che bilanci sicurezza, innovazione e diritti fondamentali – un equilibrio molto più sfumato rispetto ai modelli statunitense (market-driven) o cinese (state-controlled). Il successo di questo esperimento avrà ripercussioni che trascendono i confini europei, potenzialmente stabilendo standard globali per la prossima generazione di regolamentazione cyber.

Agenda di ricerca futura

Molteplici questioni rimangono aperte e meritevoli di approfondimento accademico:

1. Analisi empirica dell’efficacia: studi longitudinali che misurino l’impatto effettivo di NIS2/DORA/CER sulla riduzione degli incidenti cyber e il miglioramento della resilienza
2. Economia della compliance: analisi costi-benefici rigorosa che quantifichi gli oneri complessivi versus i benefici in termini di rischio evitato
3. Studi comparativi internazionali: confronto sistematico tra framework europeo, modello US (sector-specific regulation + voluntary frameworks) e modelli asiatici
4. Analisi degli effetti competitivi: valutazione se la compliance multi-normativa stia creando barriere all’ingresso che favoriscono consolidamento di mercato
5. Giurisprudenza emergente: analisi sistematica delle prime pronunce giudiziarie su controversie di applicabilità normativa e responsabilità per incidenti
6. Impatto delle tecnologie emergenti: studio dell’adeguatezza del framework rispetto a minacce quantum computing, AI adversarial attacks, e altri rischi emergenti

Call to action per professionisti del settore

Per CISO, DPO, consulenti legali e risk manager, l’imperativo è chiaro: iniziare subito la transizione verso modelli di compliance integrata. Le scadenze normative sono serrate e il tempo per preparazioni affrettate è esaurito.

Si raccomanda vivamente:

• Conduzione immediata di gap analysis multi-normativa
• Investimento in competenze ibride (cyber-legal-risk)
• Partecipazione attiva a consultazioni pubbliche per influenzare evoluzioni normative
• Condivisione di best practices attraverso associazioni di categoria e community professionali

La convergenza normativa europea sulla cybersecurity rappresenta una sfida, ma anche un’opportunità straordinaria. Le organizzazioni che sapranno trasformare gli obblighi di compliance in leve strategiche per migliorare la propria postura di sicurezza non solo adempiranno ai requisiti normativi, ma costruiranno un vantaggio competitivo duraturo in un ecosistema digitale sempre più ostile.