Com’è noto, la direttiva 2022/2555, meglio nota come NIS 2, comprende, fra i soggetti nel suo perimetro di applicazione, anche alcune tipologie di entità finanziarie, identificate nell’allegato 1 e più precisamente:
- settore bancario, che comprende gli enti creditizi quali definiti all’articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio;
- infrastrutture dei mercati finanziari, che comprende i gestori delle sedi di negoziazione quali definiti all’articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo e del Consiglio (16) e le controparti centrali (CCP) quali definite all’articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio.
Tali entità sono contemporaneamente soggette anche al Regolamento 2022/2554, meglio noto come DORA.
A queste ultime, le scadenze di ottobre per l’adempimento alla NIS 2 non si applicheranno. Ecco perché.
Indice degli argomenti
Adempimenti NIS 2 e DORA: le differenze
Gli adempimenti previsti dalle due normative sono quasi sovrapponibili, anche se vi è una enorme differenza fra la NIS 2 e DORA.
La prima esprime una serie molto generica di requisiti di sicurezza in pochissimi articoli di alto livello, mentre DORA e i numerosi documenti tecnici che l’accompagnano, entrano in un dettaglio molto più elevato nel descrivere le singole misure di sicurezza da implementare (tanto è vero che suggerisco di utilizzare DORA come buona pratica per implementare la NIS 2).
Ma vi è anche un’altra grossa differenza fra NIS2 e DORA.
Mentre la NIS 2 si applica indifferentemente all’intero sistema informatico, seppure con un criterio di proporzionalità, nel caso di DORA molti dei requisiti richiesti si applicano solo alle componenti del sistema informatico che supportano le cosiddette funzioni essenziali e importanti.
Una differenza a mio avviso significativa, ma non della stessa opinione è la Commissione europea, come appare nel suo parere che illustreremo a breve.
Perché le scadenze NIS 2 non si applicano alle entità finanziarie
In particolare, l’Articolo 4 – Atti giuridici settoriali dell’Unione della NIS 2 recita:
1. Qualora gli atti giuridici settoriali dell’Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti significativi, nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, a tali soggetti non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all’esecuzione di cui al capo VII.
Qualora gli atti giuridici settoriali dell’Unione non contemplino tutti i soggetti di un settore specifico che rientra nell’ambito di applicazione della presente direttiva, le pertinenti disposizioni della presente direttiva continuano ad applicarsi ai soggetti non contemplati da tali atti giuridici settoriali dell’Unione.
2. I requisiti di cui al paragrafo 1 del presente articolo sono considerati di effetto equivalente agli obblighi stabiliti dalla presente direttiva qualora:
a) gli effetti delle misure di gestione dei rischi di cibersicurezza siano almeno equivalenti a quelli delle misure di cui all’articolo 21, paragrafi 1 e 2; oppure
b) l’atto giuridico settoriale dell’Unione preveda l’accesso immediato, se del caso automatico e diretto, alle notifiche degli incidenti da parte dei CSIRT, delle autorità competenti o dei punti di contatto unici a norma della presente direttiva e qualora gli obblighi di notifica degli incidenti significativi abbiano un effetto almeno equivalente a quelli di cui all’articolo 23, paragrafi da 1 a 6, della presente direttiva.
In merito a tali paragrafi, secondo l’articolo 4.3:
La Commissione, entro il 17 luglio 2023, fornisce orientamenti che chiariscano l’applicazione dei paragrafi 1 e 2. La Commissione rivede tali orientamenti periodicamente. Nella preparazione di detti orientamenti, la Commissione tiene conto delle osservazioni del gruppo di cooperazione e dell’ENISA.
Parallelamente DORA precisa all’art. 1.2:
Quanto alle entità finanziarie identificate come soggetti essenziali o importanti ai sensi delle norme nazionali che recepiscono l’articolo 3 della direttiva 2022/2555, il presente regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 di tale direttiva.
In sintesi, quindi, DORA costituisce un atto giuridico settoriale, così come richiamato dall’articolo 4 della NIS2.
Il parere della Commissione europea
Considerando le premesse di cui sopra, come si è espressa al riguardo la Commissione?
Gli adempimenti previsti da DORA sono equivalenti a quelli previsti dalla NIS2?
L’esito della valutazione è stato emanato nella sua COMUNICAZIONE DELLA COMMISSIONE Orientamenti della Commissione sull’applicazione dell’articolo 4, paragrafi 1 e 2, della direttiva (UE) 2022/2555 (direttiva NIS 2), della quale riportiamo ilcontenuto dell’Appendice, che così recita:
1. L’articolo 1, paragrafo 2, del regolamento (UE) 2022/2554 (atto sulla resilienza operativa digitale, DORA) stabilisce che, quanto alle entità finanziarie contemplate dalla direttiva (UE) 2022/2555 e dalle rispettive norme nazionali di recepimento, detto regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 della suddetta direttiva. Tale affermazione è ripresa al considerando 28 del preambolo della direttiva (UE) 2022/2555, secondo cui il DORA dovrebbe essere considerato un atto giuridico settoriale dell’Unione in relazione alla direttiva (UE) 2022/2555 per quanto riguarda i soggetti del settore finanziario. Di conseguenza, invece delle disposizioni stabilite nella direttiva (UE) 2022/2555, dovrebbero applicarsi quelle del regolamento (UE) 2022/2554 relative alla gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC) (articolo 6 e seguenti), alla gestione degli incidenti connessi alle TIC e, in particolare, alla segnalazione dei gravi incidenti TIC (articolo 17 e seguenti), nonché ai test di resilienza operativa digitale (articolo 24 e seguenti), ai meccanismi di condivisione delle informazioni (articolo 25) e ai rischi informatici TIC derivanti da terzi (articolo 28 e seguenti). Gli Stati membri non devono pertanto applicare le disposizioni della direttiva (UE) 2022/2555 riguardanti gli obblighi di gestione e segnalazione dei rischi di cibersicurezza e la vigilanza e l’esecuzione alle entità finanziarie contemplate dal regolamento (UE) 2022/2554.
Conclusioni
Personalmente non condivido pienamente il parere della Commissione, che sembra far prevalere gli adempimenti DORA su quelli della NIS 2 per quanti sono nel perimetro DORA; avrei preferito sfruttare il maggior perimetro di applicazione della NIS 2 per rafforzare la sicurezza del mondo bancario, ma questo è quanto ha deciso la Commissione.
Quindi ICT, Organizzazione, Compliance, Rischi e quante altre strutture sono impegnate, in particolare nel mondo bancario, a implementare i requisiti di DORA in vista della scadenza del gennaio 2025, non devono preoccuparsi contemporaneamente della NIS 2 e possono partire per le meritate vacanze con un problema in meno[1].
[1] A dire il vero, non avrebbero dovuto preoccuparsene nell’ultimo anno, visto che il parere della Commissione è del 18 settembre del 2023.
