DORA (regolamento (UE) 2022/2554 sulla resilienza operativa digitale del settore finanziario) è pienamente applicabile dal 17 gennaio 2025. NIS2 è la direttiva cyber orizzontale. Per le entità finanziarie si sovrappongono largamente — ma DORA è lex specialis ai sensi dell'articolo 4 di NIS2: quando entrambi potrebbero applicarsi, DORA prevale. Questa pagina è la corrispondenza completa più la regola di decisione chiara sull'orologio a cui rispondi davvero.
Ai sensi dell'articolo 4 di NIS2, quando un atto settoriale dell'Unione (qui DORA) impone obblighi equivalenti o più severi, l'atto settoriale prevale. Per enti creditizi, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, prestatori di servizi per le cripto-attività, imprese di assicurazione e riassicurazione e altre entità finanziarie elencate all'articolo 2 di DORA: DORA è il tuo orologio principale. NIS2 resta applicabile nei punti specifici in cui DORA tace (ad es. alcune formulazioni sulla formazione del personale).
Natura: Direttiva UE (recepita nel diritto nazionale di ogni Stato membro)
In vigore: Gli Stati membri dovevano recepire entro il 17 ottobre 2024
Chi: Soggetti essenziali / importanti in ~18 settori
Sanzioni: Fino a 10 M€ o 2 % del fatturato globale per i soggetti essenziali
Notifiche: CSIRT nazionale (ACN / ANSSI / BSI / CNCS …)
Governance: Articolo 20 — responsabilità e formazione dell'organo di direzione
Natura: Regolamento UE (direttamente applicabile — nessun recepimento)
In vigore: Pienamente applicabile dal 17 gennaio 2025
Chi: Entità finanziarie elencate all'art. 2 + i loro fornitori terzi critici di servizi TIC
Sanzioni: Fino all'1 % del fatturato giornaliero medio mondiale ; sanzioni periodiche giornaliere ; sanzioni penali in alcuni SM
Notifiche: Autorità finanziaria competente (Banca d'Italia / CONSOB / IVASS / ACPR / BaFin …) — NON il CSIRT nazionale
Governance: Art. 5 — l'organo di direzione ha piena titolarità del quadro di gestione del rischio TIC
Questa corrispondenza è attualmente in revisione indipendente da parte di un practitioner esterno DORA / GRC servizi finanziari UE. La mappatura riflette l'analisi tecnica di Reglyze; il badge « revisionato e firmato » apparirà qui alla chiusura dell'incarico.
Ogni misura minima NIS2 ha un obbligo equivalente o più stringente in DORA. Le righe contrassegnate « DORA prevale (lex specialis) » sono quelle per cui NON dovresti costruire un programma solo NIS2 se sei un'entità finanziaria — DORA prevale e l'auditor percorre il registro DORA, non il registro NIS2.
Il grado di sovrapposizione riflette quanto la sostanza dell'articolo NIS2 sia coperta dagli articoli DORA elencati. Il badge « DORA prevale (lex specialis) » contrassegna le righe in cui DORA prevale su NIS2 per le entità finanziarie ai sensi dell'articolo 4 di NIS2.
Risk analysis and information system security policies
DORA: Art. 5–6, Art. 8–9 — ICT risk management framework + governance and organization + identification of ICT-supported business functions
Incident handling
DORA: Art. 17–22 — ICT-related incident management, classification, reporting to competent authorities, RTS 2024/1772
Business continuity and crisis management
DORA: Art. 11–13 — Response & recovery policy, backup policies, learning and evolving
Supply chain security
DORA: Art. 28–30 — ICT third-party risk management — contractual provisions, register of information, exit strategies
Security in acquisition, development and maintenance
DORA: Art. 8(7), Art. 9(4) — ICT systems acquisition and maintenance + ICT change management
Policies and procedures to assess effectiveness
DORA: Art. 6(5), Art. 24–27 — Periodic review of the ICT risk management framework + digital operational resilience testing (TLPT for the largest entities)
Basic cyber hygiene and training
DORA: Art. 13 — Learning and evolving — staff training on ICT risk management
Cryptography and encryption
DORA: Art. 9(2), Art. 9(4)(c) — Protection of ICT assets — confidentiality, integrity, authenticity
HR security, access control, asset management
DORA: Art. 8(1)–(4), Art. 9(4)(b) — Identification and classification of ICT-supported business functions and information assets + access management
MFA, secure communications, secure emergency comms
DORA: Art. 9(4)(d), Art. 9(4)(e) — Strong authentication mechanisms + secure network communications
Board oversight and accountability
DORA: Art. 5 — Management body — full ownership of ICT risk management framework, approves strategy, allocates resources
Management body training
DORA: Art. 5(4) — Management body members shall actively keep up-to-date sufficient knowledge and skills to understand and assess ICT risk
DORA è il tuo obbligo principale. Notifichi gli incidenti relativi alle TIC alla tua autorità finanziaria competente (non al CSIRT nazionale). Tieni il registro delle informazioni DORA per gli accordi con terzi TIC (art. 28(3)). Il tuo organo di direzione è pienamente responsabile del quadro di gestione del rischio TIC (art. 5). NIS2 resta applicabile per i punti ristretti che DORA non disciplina — la tua autorità competente preciserà quali parti restano da soddisfare secondo il recepimento NIS2 nazionale.
Cosa devi effettivamente fare:
Se sei un fornitore terzo critico di servizi TIC (cloud, software, MSP, processore di pagamenti, ecc.) che fornisce un'impresa regolata da DORA, gli articoli 28–30 di DORA ti raggiungeranno attraverso i contratti anche se non sei tu stesso un'entità finanziaria. NIS2 resta il tuo obbligo regolamentare principale, ma aspettati requisiti contrattuali di stampo DORA (termini di notifica incidenti, diritti di audit, clausole di uscita).
Ciò che i clienti entità finanziarie richiederanno:
Avvia una valutazione gratuita degli scostamenti. Reglyze evidenzia gli articoli NIS2 soggetti alla deroga lex specialis di DORA e quelli che si applicano ancora — così il tuo lavoro di conformità servizi finanziari si concentra sul registro giusto.