NIS2 vs. DORA: qual è la differenza e devi conformarti a entrambe?
Due regolamentazioni europee. Entrambe sulla cybersicurezza. La risposta breve: DORA ha priorità per i soggetti finanziari, ma NIS2 resta rilevante per i tuoi fornitori ICT.
Cosa sono NIS2 e DORA?
NIS2 è una direttiva ampia che copre 18 settori con 10 misure di cybersicurezza, notifica degli incidenti e responsabilità personale dei dirigenti.
DORA è un regolamento settoriale esclusivamente per il settore finanziario.
NIS2 vs ISO 27001 — Confronto dei Requisiti
◈Solo NIS2Notifica obbligatoria degli incidenti alle autorità (24h / 72h)Responsabilità personale del consiglio per la cybersicurezzaObblighi di sicurezza della catena di fornitura per le entità essenzialiObblighi normativi settoriali specifici⬡Requisiti ComuniGestione del rischio per la sicurezza delle informazioniControllo degli accessi e gestione delle identitàContinuità operativa e ripristino da disastroSensibilizzazione alla sicurezza e formazione◇Solo ISO 27001Cicli di audit interno e riesame della direzioneDocumentazione della Dichiarazione di Applicabilità (SoA)Certificazione formale e audit di terza parte◈Solo NIS2Notifica obbligatoria degli incidenti alle autorità (24h / 72h)Responsabilità personale del consiglio per la cybersicurezzaObblighi di sicurezza della catena di fornitura per le entità essenzialiObblighi normativi settoriali specifici⬡Requisiti ComuniGestione del rischio per la sicurezza delle informazioniControllo degli accessi e gestione delle identitàContinuità operativa e ripristino da disastroSensibilizzazione alla sicurezza e formazione◇Solo ISO 27001Cicli di audit interno e riesame della direzioneDocumentazione della Dichiarazione di Applicabilità (SoA)Certificazione formale e audit di terza parteLa colonna centrale mostra i requisiti condivisi tra NIS2 e ISO 27001
Principali differenze
| NIS2 | DORA | |
|---|---|---|
| Tipo | Direttiva (recepimento nazionale) | Regolamento (direttamente applicabile) |
| Ambito | 18 settori | Solo settore finanziario |
| Applicabile dal | Scadenza: ott 2024 (stato per paese) | 17 gennaio 2025 |
| Prima notifica | Entro 24 ore | Entro 4 ore |
| Terze parti | Sicurezza della catena | Gestione completa rischio ICT terzi |
Lex specialis: DORA ha priorità
La NIS2 si Applica alla Tua Organizzazione?
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì▼No▼2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
✗La NIS2 non si applica direttamente alla tua organizzazione.
Sì▼No▼✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì▼!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
1La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì ↓No →2La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
Sì ↓No →3La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì ↓No →✗La NIS2 non si applica direttamente alla tua organizzazione.
✓La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applicaPossibile applicazioneNon si applica
Scenari
Banca: DORA principalmente, NIS2 come rete di sicurezza. MSP per banche: NIS2 per i tuoi obblighi (NIS2 per MSP), DORA tramite contratti dei clienti. Settore non finanziario: Solo NIS2 — inizia con le 10 misure dell'articolo 21.