Tre atti europei, tre logiche regolatorie, un solo obiettivo: la resilienza digitale. Ma per chi rientra in più perimetri, dalla banca al fornitore di software, la domanda è concreta: quale disciplina prevale? La risposta sta nelle clausole di coordinamento: l’articolo 4 della NIS 2, la lex specialis del DORA e la complementarità del CRA. Facciamo un po’ di chiarezza.
Nei nostri precedenti contributi ci siamo occupati del labirinto delle norme UE sulla cybersicurezza. Tre sono, oggi, gli atti principali: la Direttiva (UE) 2022/2555, c.d. NIS 2, recepita in Italia con il D.Lgs. 138/2024; il Regolamento (UE) 2022/2554, c.d. DORA, sulla resilienza operativa digitale del settore finanziario; e il Regolamento (UE) 2024/2847, c.d. Cyber Resilience Act – CRA, sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali. Riteniamo questa sia la sede opportuna per esaminare come i tre atti si coordinino, tenuto conto delle non poche incertezze che registriamo tra gli operatori.
Tre calendari da tenere a mente
Il primo ordine di chiarezza è temporale. Per la NIS 2, l’articolo 41 dispone: «Entro il 17 ottobre 2024, gli Stati membri adottano e pubblicano le misure necessarie per conformarsi alla presente direttiva. […] Essi applicano tali disposizioni a decorrere dal 18 ottobre 2024»; in Italia, dove il recepimento è avvenuto con il D.Lgs. 138/2024, la fase attuativa affidata alle determinazioni dell’Agenzia per la Cybersicurezza Nazionale – ACN è in pieno svolgimento.
Per il DORA, l’articolo 64 è netto: «Esso si applica a decorrere dal 17 gennaio 2025»: il settore finanziario è dunque già a regime.
Per il CRA, l’articolo 71, paragrafo 2, scandisce tre tappe: «Il presente regolamento si applica dall’11 dicembre 2027. Tuttavia, l’articolo 14 si applica a decorrere dall’11 settembre 2026 e il capo IV (articoli da 35 a 51) si applica a decorrere dall’11 giugno 2026». La precisazione non è di dettaglio: gli obblighi di segnalazione dell’articolo 14 scattano già dall’11 settembre 2026, prima degli obblighi generali di prodotto.
NIS 2 e DORA: la clausola degli atti settoriali
Il perno del coordinamento è l’articolo 4 della NIS 2, rubricato “Atti giuridici settoriali dell’Unione”, il quale al paragrafo 1 dispone: «Qualora gli atti giuridici settoriali dell’Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare gli incidenti significativi, nella misura in cui tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, a tali soggetti non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all’esecuzione di cui al capo VII».
Il DORA si autoqualifica esattamente in questi termini. Il considerando 16 chiarisce che «il presente regolamento costituisce una lex specialis rispetto alla direttiva (UE) 2022/2555», e l’articolo 1, paragrafo 2, rende operativo il raccordo: «Quanto alle entità finanziarie identificate come soggetti essenziali o importanti ai sensi delle norme nazionali che recepiscono l’articolo 3 della direttiva 2022/2555, il presente regolamento è considerato un atto giuridico settoriale dell’Unione ai sensi dell’articolo 4 di tale direttiva».
In altri termini: per le entità finanziarie soggette al DORA, le corrispondenti disposizioni NIS 2 su misure e notifiche sono sostituite da quelle del DORA. Attenzione, però, alla lettura frettolosa: la cedevolezza opera per le “pertinenti disposizioni”, non per l’intero impianto, e presuppone l’equivalenza degli effetti; la mappatura puntuale resta un esercizio da condurre caso per caso.
Il CRA: un piano diverso, non una deroga
Diversa è la logica del CRA, che non disciplina soggetti e servizi, bensì prodotti con elementi digitali: sicurezza by design lungo il ciclo di vita, obblighi del fabbricante, marcatura CE. Non a caso, il CRA non contiene una clausola di specialità rispetto alla NIS 2; il considerando 13 ne descrive piuttosto la complementarità, osservando che le misure NIS 2 «potrebbero comportare misure di sicurezza della catena di approvvigionamento che richiedono l’uso da parte di detti soggetti di prodotti con elementi digitali che soddisfino requisiti di cibersicurezza più rigorosi di quelli stabiliti nel presente regolamento».
Il punto di contatto più concreto è procedurale: l’articolo 14, paragrafo 1, del CRA aggancia le segnalazioni all’architettura NIS: «Un fabbricante notifica simultaneamente al CSIRT designato come coordinatore […] e all’ENISA, qualsiasi vulnerabilità attivamente sfruttata contenuta nel prodotto con elementi digitali di cui viene a conoscenza». Il soggetto NIS che è anche fabbricante di prodotti digitali dovrà dunque presidiare due canali di notifica distinti, con presupposti e tempistiche propri.
La bussola di ENISA
A supporto degli operatori, l’ENISA ha messo a disposizione strumenti ricognitivi di rilievo. Il rapporto NIS360, come si legge nella scheda ufficiale, valuta la maturità e la criticità dei settori ad alta criticità ai sensi della direttiva NIS 2, offrendo sia una panoramica comparativa sia un’analisi più approfondita di ciascun settore. E l’ENISA Threat Landscape 2025 restituisce la fotografia della minaccia: quest’ultima edizione dell’ENISA Threat Landscape analizza 4875 incidenti in un arco temporale compreso tra il 1° luglio 2024 e il 30 giugno 2025.
Conclusioni
Per chi rientra in più perimetri, la sequenza operativa che suggeriamo è la seguente: mappare i propri ruoli (soggetto NIS? entità finanziaria DORA? fabbricante CRA?); individuare, per ciascun obbligo, la disciplina applicabile alla luce delle clausole di coordinamento; costruire un impianto unitario di governance che soddisfi il requisito più esigente, evitando la duplicazione documentale; presidiare i distinti canali di notifica con procedure dedicate.
Alla luce di quanto esposto, ci si domanda se il mosaico normativo europeo della cybersicurezza troverà nella prassi applicativa la coerenza che il diritto positivo affida, per ora, alle clausole di raccordo: una resilienza davvero integrata richiede di ricondurre a unità gli adempimenti dei diversi perimetri, anziché duplicarli, per elevare la sicurezza effettiva a fronte di una minaccia che perimetri non conosce.
