NIS2-guide
Torna al blog
Settore finanziario
DORA vs NIS2: guida pratica per banche, assicurazioni e fintech (2026)

DORA vs NIS2: guida pratica per banche, assicurazioni e fintech (2026)

9 min di lettura
AD

Alexandre Durand

Direttore editoriale — Esperto di cybersicurezza

Lunedì mattina, ore 9. Il CISO di una banca italiana riceve due lettere. La prima della Banca d'Italia ricorda che il regolamento DORA (regolamento (UE) 2022/2554) si applica pienamente dal 17 gennaio 2025. La seconda dell'ACN segnala che il recepimento NIS2 italiano copre ora le sue attività. Domanda semplice, risposta complessa: occorre applicare entrambi i testi, o uno prevale?

Questa confusione è diffusa. Secondo le linee guida congiunte di ENISA e delle tre autorità europee di vigilanza (EBA, EIOPA, ESMA), la risposta dipende da un principio giuridico preciso: la *lex specialis*. Ecco come articolare concretamente i due regimi per una banca, una compagnia di assicurazioni o una fintech operante in Europa.

DORA e NIS2: due testi, due logiche

DORA (Digital Operational Resilience Act, regolamento (UE) 2022/2554) è un regolamento europeo, quindi direttamente applicabile in tutti gli Stati membri senza recepimento nazionale. Adottato a dicembre 2022, applicabile dal 17 gennaio 2025, mira specificamente al settore finanziario: banche, assicurazioni, società di gestione del risparmio, prestatori di servizi di pagamento, piattaforme di cripto-attività, controparti centrali e oltre 20 categorie di entità finanziarie.

NIS2 (direttiva 2022/2555) è una direttiva — richiede il recepimento da parte di ciascuno Stato membro. Il suo ambito copre 18 settori altamente critici e critici, tra cui il settore bancario e le infrastrutture dei mercati finanziari. Il recepimento avrebbe dovuto concludersi entro il 17 ottobre 2024; a maggio 2026 diversi paesi sono ancora in ritardo.

L'angolo di attacco differisce: DORA tratta la resilienza operativa digitale end-to-end (gestione dei rischi ICT, test, incidenti, fornitori terzi, condivisione di informazioni). NIS2 fissa un quadro generale di cybersicurezza applicabile a tutti i settori critici.

Dashboard di monitoraggio dei rischi operativi in tempo reale
Dashboard di monitoraggio dei rischi operativi in tempo reale

Lex specialis: DORA prevale su NIS2 per le entità finanziarie

Il considerando 28 e l'articolo 4 di DORA, combinati con l'articolo 4 della direttiva 2022/2555, sono espliciti: per le entità finanziarie nell'ambito di DORA, si applicano le obbligazioni DORA in materia di gestione dei rischi ICT, notifica degli incidenti e vigilanza sui fornitori terzi — non quelle di NIS2.

Concretamente, una banca italiana coperta da DORA non deve duplicare i suoi processi per rispondere a NIS2 su questi temi. La Banca d'Italia è l'autorità competente, l'ACN si ritrae.

Ma attenzione: NIS2 resta pertinente per le attività accessorie non coperte da DORA. Una compagnia di assicurazioni che gestisce un proprio centro dati condiviso con altre entità non finanziarie, o una banca che pubblica software commercializzato a terzi, conserva obblighi NIS2 su questi perimetri specifici.

Le 6 differenze chiave da conoscere

1. Entità coperte

DORA mira esplicitamente a 21 categorie di entità finanziarie, dagli istituti di credito ai gestori di fondi di investimento alternativi, alle controparti centrali e agli amministratori di indici di riferimento critici. Le microimprese sono in linea di principio escluse, ma nessun altro limite quantitativo si applica.

NIS2 copre 18 settori con soglie dimensionali (50 dipendenti, 10 M€ di fatturato). Le entità "essenziali" sono le grandi organizzazioni dei settori altamente critici; le entità "importanti" raggruppano il resto.

2. Notifica degli incidenti: 4 ore vs 24 ore

È la differenza operativa più marcata.

Sotto DORA (articolo 19), un incidente ICT grave deve essere notificato all'autorità competente entro 4 ore dalla classificazione come grave — con un limite assoluto di 24 ore dalla rilevazione. Il rapporto intermedio è dovuto entro 72 ore, il rapporto finale entro 1 mese.

Sotto NIS2 (articolo 23, direttiva 2022/2555), l'allerta iniziale è richiesta entro 24 ore, il rapporto completo entro 72 ore e il rapporto finale entro 1 mese.

DORA è quindi nettamente più stringente sul termine iniziale. Per i dettagli operativi del circuito NIS2, vedi la nostra [guida pratica alla notifica degli incidenti in 72h](/it/blog/nis2-notifica-incidenti-72h-guida-pratica).

3. Vigilanza sui fornitori terzi ICT

DORA introduce un regime senza equivalenti: un registro di informazioni obbligatorio di tutti i contratti con fornitori ICT (articolo 28). I fornitori "critici" — tipicamente i cloud hyperscaler, i grandi outsourcer — saranno vigilati direttamente dalle autorità europee tramite il quadro di vigilanza (Oversight Framework). EBA, EIOPA ed ESMA condividono questo ruolo.

NIS2 (articolo 21(2)(d)) impone una valutazione dei rischi dei fornitori e clausole contrattuali, ma senza registro centralizzato né vigilanza europea diretta. Per le buone pratiche contrattuali lato NIS2, vedi il nostro [articolo sulla catena di approvvigionamento](/it/blog/nis2-catena-approvvigionamento-fornitori).

4. Test di penetrazione TLPT

DORA esige test TLPT (Threat-Led Penetration Testing) ogni 3 anni per le entità finanziarie di importanza significativa — principalmente grandi banche e infrastrutture di mercato. Questi test, inquadrati dal framework TIBER-EU della BCE, simulano attacchi reali con accesso ai sistemi in produzione.

NIS2 menziona i test di sicurezza nelle misure tecniche dell'articolo 21 ma senza profondità prescritta né frequenza imposta.

Riunione del comitato di audit sul quadro di resilienza operativa
Riunione del comitato di audit sul quadro di resilienza operativa

5. Condivisione di informazioni (threat intelligence)

DORA incoraggia formalmente la condivisione di informazioni sulle minacce informatiche tra entità finanziarie (articolo 45) tramite dispositivi settoriali come FS-ISAC o i CERT finanziari nazionali. NIS2 prevede anche dispositivi di condivisione volontaria (articolo 29) ma senza un quadro settoriale finanziario dedicato.

6. Sanzioni

DORA non armonizza le sanzioni a livello europeo; ciascuno Stato membro fissa le multe. In Italia, la Banca d'Italia può pronunciare sanzioni che colpiscono significativamente i casi di violazione grave.

NIS2 (articolo 34) limita le multe a 10 milioni di euro o 2% del fatturato mondiale per le entità essenziali, 7 milioni o 1,4% per quelle importanti. Per i dettagli sulle sanzioni e sulla responsabilità personale dei dirigenti, vedi la nostra [analisi delle sanzioni NIS2](/it/blog/sanzioni-nis2-dirigenti-rischi).

Come articolare le due conformità nella pratica

Per una banca o una compagnia di assicurazioni nell'ambito di DORA, l'approccio pragmatico consiste nel costruire un programma di conformità unificato, con DORA come base principale e NIS2 trattato per eccezione sui perimetri residui.

*Fase 1 — Mappare le attività.* Le attività finanziarie principali (concessione del credito, gestione patrimoniale, pagamenti, negoziazione) rientrano in DORA. Le attività accessorie (pubblicazione software commerciale, servizi cloud a terzi non finanziari, infrastrutture di telecomunicazioni interne) possono restare sotto NIS2.

*Fase 2 — Allineare i termini sui più stringenti.* Se DORA impone 4 ore e NIS2 impone 24 ore, il vostro dispositivo di risposta deve funzionare a 4 ore. Il rapporto finale NIS2 (1 mese) coincide con quello DORA, quindi nessun conflitto.

*Fase 3 — Un registro fornitori unico.* Create un registro dei fornitori ICT che soddisfi i requisiti DORA (articolo 28) — questo livello di dettaglio copre ampiamente ciò che NIS2 richiede.

*Fase 4 — Governance condivisa.* Le responsabilità del consiglio di amministrazione sono quasi identiche nei due testi. Vedi la nostra [analisi dell'articolo 20 NIS2](/it/blog/nis2-articolo-20-consiglio-amministrazione-responsabilita) — questi obblighi si applicano anche sotto DORA tramite gli orientamenti EBA sulla governance dei rischi ICT.

*Fase 5 — Test e resilienza.* Stabilite un programma di test che soddisfi il TLPT DORA (il più esigente) — coprirà meccanicamente i requisiti NIS2.

Calendario 2026 e rischi di non conformità

DORA è applicabile dal 17 gennaio 2025. Non c'è più periodo transitorio. Le autorità europee hanno avviato le prime ispezioni nel primo trimestre 2025; i rapporti di incidenti gravi sono richiesti in tempo reale.

Per NIS2, il recepimento italiano è in atto, ma diversi Stati membri restano in ritardo. La Commissione europea ha avviato nel 2025 procedure di infrazione contro 23 Stati membri — la pressione regolamentare aumenta.

Il rischio più sottovalutato per il settore finanziario non è la multa. È l'incidente notificato fuori termine che diventa un segnale aggiuntivo per il vigilante, o il fallimento di un fornitore terzo che rivela l'assenza di un piano di continuità. I primi casi di sanzioni DORA, attesi per fine 2026, riguarderanno probabilmente questi aspetti.

Per avviare un audit interno, la nostra [checklist NIS2 gratuita](/it/checklist) copre i fondamentali. Per gli obblighi specifici DORA — registro terzi, TLPT, tassonomia degli incidenti — fai riferimento alle linee guida congiunte di ENISA + EBA + EIOPA + ESMA.

*Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per una situazione specifica, consultare un avvocato specializzato in regolamentazione finanziaria europea.*

Questo articolo è fornito a solo scopo informativo e non costituisce una consulenza legale.