norppa.io
Guide

Guida NIS2 · 8 min

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

NIS2 e DORA sono i due regimi di cibersicurezza dell'UE che più probabilmente finiscono sulla stessa scrivania nel 2026 — e vengono regolarmente confusi. Condividono un obiettivo (resilienza operativa e cyber) e molti degli stessi controlli, ma si rivolgono a organizzazioni diverse e, per il settore finanziario, uno prevale sull'altro. Questa guida spiega la differenza, la sovrapposizione e come capire quale si applica a te — con una risposta chiara per i team di supply chain e terze parti che servono clienti soggetti all'uno o all'altro.

Cos'è ciascuno

Entrambi nati dallo stesso pacchetto UE sulla resilienza del 2022, sono però strumenti diversi rivolti a platee diverse.

NIS2 — ampio, intersettoriale

Una direttiva (recepita nel diritto nazionale, scadenza 17 ott 2024) che copre soggetti essenziali e importanti in energia, trasporti, salute, acqua, infrastrutture digitali, pubblica amministrazione, manifattura e altro. Fissa misure di base per la gestione del rischio (art. 21) e la notifica degli incidenti (art. 23).

DORA — settore finanziario, focalizzato su ICT

Un regolamento (direttamente applicabile, si applica dal 17 gen 2025) per il settore finanziario UE — banche, assicurazioni, imprese di investimento, fornitori di cripto-attività e altro — più la vigilanza sui loro fornitori ICT terzi critici. Fissa regole dettagliate su gestione del rischio ICT, test di resilienza e terze parti.

Dove si sovrappongono

Se hai attuato bene l'uno, molto dell'altro ti sembrerà familiare. Entrambi richiedono:

  • Responsabilità della direzione — il vertice deve farsi carico e sovrintendere al rischio cyber/ICT e può essere ritenuto responsabile.
  • Misure di gestione del rischio — controlli documentati e proporzionati lungo l'intero ciclo di vita della sicurezza.
  • Notifica degli incidenti — comunicazione strutturata alle autorità entro tempistiche definite.
  • Rischio di terze parti e supply chain — sei responsabile del rischio cyber introdotto dai tuoi fornitori.
  • Test e miglioramento continuo — la resilienza si valuta nel tempo, non si certifica una volta sola.

La regola chiave: DORA è lex specialis per i soggetti finanziari

I due regimi sono concepiti per non sovrapporre la regolamentazione. Per i soggetti finanziari, DORA è lex specialis — la norma più specifica che prevale. Dove DORA e NIS2 coprirebbero lo stesso terreno di gestione del rischio ICT o di notifica degli incidenti per un soggetto finanziario, si applicano i requisiti di DORA e le disposizioni equivalenti di NIS2 non si aggiungono sopra.

In pratica una banca non gestisce due programmi cyber paralleli. Segue DORA per rischio ICT, test, notifica degli incidenti e vigilanza sulle terze parti. NIS2 resta rilevante per l'ecosistema circostante — inclusi molti suoi fornitori — ma il soggetto finanziario stesso è disciplinato da DORA sui temi che si sovrappongono.

La lex specialis si applica quando l'atto settoriale impone requisiti almeno equivalenti a NIS2. Il confine può essere sfumato per gruppi misti; conferma il tuo status con l'autorità competente.

Quale si applica a te?

Un aiuto rapido alla decisione. La risposta onesta per molte organizzazioni è 'uno direttamente, l'altro tramite i tuoi clienti'.

Un soggetto finanziario (banca, assicurazione, impresa di investimento, fornitore di cripto-attività…)

DORA si applica come lex specialis al tuo rischio ICT; le disposizioni equivalenti di NIS2 non si aggiungono.

Un soggetto di settore critico fuori dalla finanza (energia, salute, trasporti, acqua, infrastrutture digitali, pubblica amministrazione…)

Si applica NIS2. Verifica i settori degli allegati I/II e le soglie dimensionali per confermare il tuo livello.

Un fornitore ICT di soggetti finanziari

Rientri nel regime delle terze parti di DORA tramite i contratti dei tuoi clienti; i maggiori fornitori possono essere designati critici e vigilati direttamente dalle AEV. Se sei anche un fornitore ICT/di servizi gestiti dell'allegato I, puoi rientrare anche in NIS2.

Un fornitore di un soggetto NIS2

L'obbligo di supply chain di NIS2 (art. 21, par. 2, lett. d) ti raggiunge tramite la due diligence dei tuoi clienti — questionari, richieste di prove e monitoraggio continuo — anche senza designazione diretta.

La conclusione per i team supply chain

Che il tuo cliente sia disciplinato da DORA o da NIS2, la richiesta verso di te converge: entrambi i regimi rendono le organizzazioni responsabili del rischio cyber dei propri fornitori, ed entrambi trattano la resilienza come qualcosa di valutato in continuo, non attestato una volta l'anno. Per un fornitore la domanda è raramente 'NIS2 o DORA?' — è 'posso dimostrare, su richiesta, che la mia sicurezza tiene?'

Per questo l'assurance sulle terze parti diventa continua su entrambi i lati della linea. Il registro delle terze parti DORA di una banca e il programma fornitori NIS2 di un produttore chiedono ai fornitori la stessa cosa: una prova aggiornata e supportata da evidenze del livello di sicurezza, non un foglio di calcolo obsoleto.

Fonti: Regolamento (UE) 2022/2554 (DORA) e Direttiva (UE) 2022/2555 (NIS2). Conferma il confine della sovrapposizione con la tua autorità nazionale competente e gli orientamenti delle AEV.

Come aiuta norppa.io

norppa.io ti offre un'assurance continua e supportata da evidenze su fornitori e fornitori ICT — esattamente ciò che oggi si aspettano sia NIS2 sia DORA. Ogni dominio monitorato è controllato su oltre 100 punti di controllo ogni giorno, gli eventi critici ogni sei ore, con risultati esportabili nel tuo registro informativo DORA o nel tuo fascicolo fornitori NIS2.

I questionari di autovalutazione (SAQ) catturano i controlli di processo e contrattuali, e ogni risposta è incrociata con il profilo tecnico in tempo reale — così, che il revisore del tuo cliente citi DORA o NIS2, puoi mostrare evidenze attuali e corroborate invece di affermazioni.

Un'unica fonte di evidenze continue sulle terze parti

Guarda un report fornitore di esempio — risultati, mappatura degli articoli ed evidenze — in due minuti.

Vedi il report di esempio

Guide correlate

NIS2 e il requisito della supply chain — cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

NIS2 Art. 21(2) — checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.