Adeguamento DORA e NIS2
Assistenza mirata per la conformità al Regolamento DORA sulla resilienza operativa digitale e alla Direttiva NIS2 sulla sicurezza delle reti. Programmi di adeguamento gestiti interamente in videochiamata da tutta Italia.
Il Contesto Normativo
Il Regolamento DORA (Digital Operational Resilience Act) stabilisce requisiti uniformi per la gestione del rischio ICT nel settore finanziario europeo. Insieme alla Direttiva NIS2, introduce obblighi stringenti per garantire la resilienza operativa digitale.
DORA - Reg. (UE) 2022/2554
Applicabile dal 17 gennaio 2025 a enti creditizi, imprese di investimento, assicurazioni, fondi, prestatori di servizi crypto e fornitori ICT critici.
NIS2 - Dir. (UE) 2022/2555
Recepimento entro ottobre 2024. Amplia l'ambito di applicazione a settori essenziali e importanti con nuovi obblighi di governance e incident reporting.
A chi si applica DORA?
- Enti creditizi e società di investimento
- Compagnie di assicurazione e riassicurazione
- Gestori di fondi e SGR
- Istituti di pagamento e istituti di moneta elettronica
- Prestatori di servizi su crypto-attività
- Fornitori terzi critici di servizi ICT
Servizi Offerti
Assistenza completa per l'adeguamento ai requisiti DORA, dalla fase di assessment iniziale all'implementazione del framework di resilienza.
Gap Analysis DORA
Valutazione dello stato attuale rispetto ai requisiti del Regolamento DORA, identificazione delle aree di intervento prioritario.
Framework Rischio ICT
Sviluppo o revisione delle politiche e procedure di gestione del rischio ICT secondo i requisiti degli artt. 5-16 DORA.
Contratti Fornitori ICT
Revisione e adeguamento della contrattualistica con fornitori terzi per rispettare i requisiti degli artt. 28-30 DORA.
Registro Informazioni
Predisposizione del registro delle informazioni relative agli accordi contrattuali con fornitori terzi di servizi ICT.
Incident Reporting
Implementazione del framework di classificazione e segnalazione degli incidenti ICT rilevanti.
Formazione
Sessioni formative per management e personale operativo sui requisiti DORA e le best practice di cyber resilience.
Percorso di Adeguamento
L'adeguamento ai requisiti DORA richiede un approccio strutturato che coinvolge diverse aree aziendali: IT, compliance, legal, risk management. Le tempistiche variano in base alla complessità dell'organizzazione e al livello di maturità del framework esistente.
Nota
Le tempistiche indicate sono puramente indicative e vengono definite in fase di assessment preliminare sulla base delle caratteristiche specifiche dell'organizzazione.
Fasi del Progetto DORA
Le fasi operative secondo il GDPR (Reg. UE 2016/679)
Mappatura dei sistemi ICT, identificazione dei fornitori critici, analisi del gap rispetto ai requisiti DORA. Valutazione della maturità del framework di gestione del rischio ICT esistente.
Domande Frequenti
- Cos'è il Regolamento DORA?
- Il Digital Operational Resilience Act (Reg. UE 2022/2554) è il regolamento europeo sulla resilienza operativa digitale del settore finanziario. Impone requisiti di gestione del rischio ICT, test di resilienza, segnalazione incidenti e gestione dei fornitori terzi.
- Chi è soggetto alla Direttiva NIS2?
- La NIS2 (Dir. UE 2022/2555) si applica a soggetti essenziali e importanti in settori critici: energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, servizi postali, gestione rifiuti, produzione alimentare e molti altri.
- Quali sono le sanzioni per la non conformità?
- La NIS2 prevede sanzioni fino a €10 milioni o il 2% del fatturato annuo mondiale per i soggetti essenziali. Il DORA prevede sanzioni amministrative definite dalle autorità di vigilanza nazionali, con possibilità di responsabilità personale degli amministratori.
- Quando entrano in vigore DORA e NIS2?
- Il DORA è applicabile dal 17 gennaio 2025. La NIS2 doveva essere recepita entro il 17 ottobre 2024; l'Italia ha adottato il D.Lgs. 138/2024. Le organizzazioni devono adeguarsi immediatamente.