Il Regolamento DORA è la pietra angolare della resilienza operativa digitale per il settore finanziario europeo. In Italia, però, non esiste una “trasposizione” del DORA in senso stretto: il regolamento è direttamente applicabile, mentre il quadro nazionale si completa con il recepimento delle Direttive NIS2 e CER attraverso i Decreti Legislativi 138/2024 e 134/2024. Capire come si incastrano questi tre tasselli è il presupposto per costruire programmi di compliance solidi.
Indice dei contenuti
- Cosa prevede il Regolamento DORA e perché in Italia non parliamo di trasposizione
- DORA, NIS2 e CER: differenze operative per la compliance
- Decreto Legislativo 134/2024: il recepimento della Direttiva CER in Italia
- Decreto Legislativo 138/2024: il recepimento della Direttiva NIS2 in Italia
- Come si coordinano DORA, NIS2 e CER per banche, assicurazioni e fintech
- Trade-off operativi: cosa rinviare e cosa prioritizzare nel 2025-2026
- Aptus.AI: il software regolatorio per gestire il raccordo DORA, NIS2 e CER
- Conclusioni: un quadro integrato che chiede strumenti adeguati
- Domande frequenti su Regolamento DORA, NIS2 e CER
Cosa prevede il Regolamento DORA e perché in Italia non parliamo di trasposizione
Il Regolamento DORA è il Regolamento (UE) 2022/2554, applicabile in tutti gli Stati membri dal 17 gennaio 2025 senza bisogno di atti nazionali di recepimento. Le Direttive NIS2 e CER, invece, richiedevano un recepimento puntuale: in Italia è avvenuto con i Decreti Legislativi 138/2024 e 134/2024, che completano il perimetro cyber e di resilienza accanto al DORA.
Prima di approfondire il rapporto tra Regolamento DORA, NIS2, CER e Decreti Legislativi 134/2024 e 138/2024, è utile distinguere il quadro europeo generale dagli interventi nazionali collegati alla cybersecurity e alla resilienza operativa.
Il DORA, pubblicato in Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed entrato in vigore il 16 gennaio 2023, ha previsto un periodo di adeguamento di due anni che si è chiuso il 17 gennaio 2025. Da quella data il regolamento si applica integralmente a banche, imprese di investimento, assicurazioni, istituti di pagamento, gestori di fondi, fornitori di servizi di cripto-attività e a un’ampia platea di fornitori ICT terzi che servono il settore finanziario.
Il tema della resilienza operativa digitale non è teorico. Secondo l’ENISA Threat Landscape: Finance Sector pubblicato a febbraio 2025, il settore finanziario europeo ha registrato 488 incidenti cyber resi pubblici tra gennaio 2023 e giugno 2024, con le banche colpite nel 46% dei casi. È in questo contesto che il legislatore europeo ha costruito un quadro integrato fatto di un regolamento settoriale (DORA) e di due direttive orizzontali (NIS2 e CER).
Le tre fonti europee: DORA, NIS2, CER
Tre atti distinti, tre logiche di applicazione differenti. Il Regolamento DORA è verticale sul settore finanziario e direttamente vincolante. La Direttiva NIS2 è orizzontale sulla cybersecurity di soggetti essenziali e importanti, e richiede un decreto nazionale di recepimento. La Direttiva CER ha per oggetto la resilienza fisica e operativa dei soggetti critici che erogano servizi essenziali.
La Direttiva (UE) 2022/2555, nota come “NIS2” (Network and Information Security), stabilisce misure per assicurare un livello comune elevato di sicurezza informatica nell’Unione Europea, abrogando la precedente Direttiva (UE) 2016/1148. Si applica agli operatori bancari e finanziari già soggetti al DORA al fine di rafforzare il funzionamento del mercato interno.
La Direttiva (UE) 2022/2557, identificata con l’acronimo “CER” (Critical Entities Resilience), disciplina la resilienza dei soggetti che forniscono servizi essenziali per il mantenimento di funzioni vitali della società, attività economiche, sicurezza e salute pubbliche, ambiente. Stabilisce norme per garantire la continuità di tali servizi nel mercato interno, aumentare la resilienza dei soggetti critici e potenziare la cooperazione transfrontaliera tra autorità competenti. Definisce inoltre le regole per la vigilanza sui soggetti critici e l’individuazione dei soggetti critici di particolare rilevanza europea.
DORA, NIS2 e CER: differenze operative per la compliance
Da un punto di vista pratico, ogni norma chiede agli operatori finanziari output diversi. Il Regolamento DORA richiede la costruzione di un framework di ICT risk management end-to-end, NIS2 impone misure tecniche e organizzative per la cybersecurity, mentre CER si focalizza sulla resilienza nella fornitura di servizi essenziali. La tabella che segue sintetizza il raccordo tra le tre fonti.
| Norma | Ambito | Impatto per operatori finanziari | Output operativo |
|---|---|---|---|
| DORA | Resilienza operativa digitale del settore finanziario | ICT risk, incident reporting, testing, fornitori ICT | Mappatura obblighi, policy, controlli e fornitori critici |
| NIS2 | Cybersecurity per soggetti essenziali e importanti | Misure tecniche, operative e organizzative | Governance cyber, gestione incidenti, misure di sicurezza |
| CER | Resilienza dei soggetti critici | Continuità dei servizi essenziali | Identificazione soggetti critici, resilienza e segnalazioni |
Va sottolineato che il Regolamento DORA funziona come lex specialis per il settore finanziario rispetto a NIS2: l’articolo 1, paragrafo 2 del DORA chiarisce che, per le entità finanziarie qualificate come essenziali o importanti ai sensi della NIS2, il regolamento DORA è considerato atto settoriale dell’Unione. In pratica, sui requisiti coincidenti prevalgono gli obblighi DORA, mentre per le aree non coperte si applica la disciplina NIS2.
Decreto Legislativo 134/2024: il recepimento della Direttiva CER in Italia
Il Decreto Legislativo 4 settembre 2024, n. 134 è il provvedimento con cui l’Italia ha recepito la Direttiva CER. Pubblicato in Gazzetta Ufficiale n. 223 del 23 settembre 2024, istituisce il Comitato Interministeriale per la Resilienza (CIR) presso la Presidenza del Consiglio dei Ministri e definisce le Autorità Settoriali Competenti per ciascun comparto strategico.
Il CIR ha il compito di indirizzare le politiche di resilienza ed esercitare l’alta sorveglianza sull’attuazione della strategia nazionale per la resilienza dei soggetti critici. Le Autorità Settoriali Competenti (ASC) sono invece i ministeri di volta in volta competenti per ogni area: dall’energia ai trasporti, dalla sanità alle acque, passando per il settore bancario e le infrastrutture dei mercati finanziari.
Identificazione dei soggetti critici e segnalazione degli incidenti
Le ASC devono identificare i soggetti critici per ciascun settore e sottosettore entro il 17 gennaio 2026, comunicandoli al Punto di Contatto Unico (PCU) istituito presso la Presidenza del Consiglio dei Ministri. ASC e PCU sono anche i destinatari delle segnalazioni di eventuali incidenti rilevanti, ovvero di quegli eventi che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali.
La rilevanza di un incidente si valuta sulla base di tre criteri: numero e percentuale di utenti interessati, durata della perturbazione, area geografica colpita, tenendo conto anche dell’eventuale isolamento geografico dell’area. Le ASC vigilano sull’attuazione delle misure di resilienza e possono comminare sanzioni amministrative pecuniarie da 25.000 a 125.000 euro ai soggetti critici non conformi.
L’esclusione del settore bancario e finanziario
Un punto spesso frainteso: le disposizioni del D.Lgs. 134/2024 sulla resilienza dei soggetti critici, sull’individuazione dei soggetti critici di particolare rilevanza europea e sulla vigilanza non si applicano ai soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali. Per questi operatori vale la disciplina settoriale, cioè il Regolamento DORA. È un raccordo essenziale per evitare duplicazioni e sovrapposizioni regolamentari.
Decreto Legislativo 138/2024: il recepimento della Direttiva NIS2 in Italia
Il Decreto Legislativo 4 settembre 2024, n. 138 recepisce la Direttiva NIS2 ed è stato pubblicato in Gazzetta Ufficiale n. 230 del 1° ottobre 2024. Strutturato in sei capi, definisce le misure per innalzare il livello di sicurezza informatica nazionale e introduce un glossario operativo di concetti cardine: sicurezza dei sistemi informativi e di rete, cyber security, incidente, quasi-incidente, incidente su vasta scala, gestione degli incidenti, minaccia informatica, prodotto, servizio e processo TIC.
I soggetti obbligati dal decreto sono operatori pubblici e privati attivi nei settori critici e altamente critici, fra cui il bancario e le infrastrutture dei mercati finanziari, alcune Pubbliche Amministrazioni centrali e i soggetti privati che superano i massimali comunitari per le piccole imprese. Restano esclusi gli operatori della sicurezza nazionale, pubblica sicurezza e difesa, il Parlamento, l’Autorità Giudiziaria e la Banca Centrale.
Misure tecniche e organizzative richieste
A tutti i soggetti obbligati è imposta l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi sui sistemi informativi e di rete utilizzati nelle proprie attività o nella fornitura dei propri servizi, anche per prevenire o minimizzare l’impatto degli incidenti sui destinatari.
A titolo esemplificativo, le misure tecniche includono politiche di analisi dei rischi e di sicurezza dei sistemi informativi, gestione degli incidenti, crittografia, autenticazione a più fattori e controlli sui fornitori della supply chain digitale.
Autorità competenti e regime sanzionatorio
Il D.Lgs. 138/2024 individua come autorità nazionali competenti l’Agenzia per la Cybersicurezza Nazionale (ACN), con ruolo di collegamento per la cooperazione transfrontaliera con altri Stati membri, Commissione ed ENISA, e il CSIRT Italia (Computer Security Incident Response Team), che gestisce gli incidenti di sicurezza informatica per i soggetti indicati.
Le sanzioni colpiscono i soggetti non conformi su due livelli. Per i soggetti essenziali, escluse le PA, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell’esercizio precedente. Per i soggetti importanti, il tetto scende a 7 milioni di euro o all’1,4% del fatturato annuo mondiale. L’ACN può specificare i criteri per determinare l’importo, adottando le misure necessarie per garantirne effettività, proporzionalità, dissuasività e applicazione.
Come si coordinano DORA, NIS2 e CER per banche, assicurazioni e fintech
Per un operatore finanziario il punto operativo non è scegliere tra le tre fonti, ma costruire un’architettura di compliance che le tenga insieme. Il Regolamento DORA copre l’intero spettro dei rischi ICT del settore finanziario; il D.Lgs. 138/2024 colma le aree cyber non coperte dal DORA e governa la cooperazione tra autorità nazionali; il D.Lgs. 134/2024 esclude esplicitamente il bancario e finanziario sulle parti sovrapposte, lasciando spazio alla disciplina settoriale.
Concretamente, un team compliance deve oggi gestire almeno cinque flussi paralleli: il framework di ICT risk management richiesto dal DORA, il registro dei contratti con fornitori ICT critici, l’incident reporting verso le autorità di vigilanza settoriali, l’incident reporting verso CSIRT Italia per le fattispecie NIS2 residuali e, dove rilevante, gli adempimenti CER per le componenti non finanziarie del gruppo. Ognuno di questi flussi pesa su procedure, controlli, policy e mappature dei processi.
I soggetti finanziari nel perimetro DORA
Il Regolamento DORA riguarda banche, assicurazioni, istituti di pagamento, imprese di investimento, fintech regolamentate, asset manager, gestori di OICR, prestatori di servizi di cripto-attività e una platea ampia di altri operatori finanziari. A questi si aggiungono i fornitori ICT terzi critici, sottoposti a un nuovo framework di sorveglianza diretta da parte delle Autorità Europee di Vigilanza.
Per le organizzazioni finanziarie italiane, l’impatto è duplice: rispondere ai requisiti DORA in qualità di entità finanziarie e governare i contratti con i propri provider ICT critici, includendo clausole specifiche di gestione del rischio e diritti di audit. Il volume normativo è significativo. Secondo i dati raccolti dal monitoraggio normativo di Aptus.AI sulle fonti italiane ed europee, solo il pacchetto di standard tecnici di regolamentazione e implementazione collegati al DORA conta decine di atti delegati pubblicati tra il 2024 e il 2025, ai quali si aggiungono linee guida ESAs, comunicazioni Banca d’Italia e IVASS.
Trade-off operativi: cosa rinviare e cosa prioritizzare nel 2025-2026
Non tutti gli adempimenti hanno la stessa urgenza. Sul piano operativo, il primo trimestre dopo l’applicazione del DORA richiede di consolidare il registro dei contratti ICT (RoI, Register of Information) e l’incident reporting, mentre la mappatura dei soggetti critici ai sensi del D.Lgs. 134/2024 ha come orizzonte il 17 gennaio 2026. Tra questi due estremi si gioca la pianificazione delle attività.
Il trade-off principale è tra ampiezza e profondità. Coprire tutto in modo superficiale crea esposizione in caso di ispezione; concentrarsi su pochi processi in profondità lascia scoperte aree che potrebbero essere oggetto di verifica. La via mediana è una classificazione del rischio per area, con priorità a contratti ICT critici, governance degli incidenti e testing della resilienza operativa.
Un secondo trade-off riguarda automazione versus controllo manuale. L’automazione del monitoraggio normativo riduce drasticamente il tempo speso dai team senior, ma richiede strumenti che restituiscano output verificabili. Su questo punto, il riferimento operativo per il settore è l’AI Act (Regolamento UE 2024/1689), che richiede tracciabilità e trasparenza nei sistemi di IA usati in contesti di alta responsabilità.
Aptus.AI: il software regolatorio per gestire il raccordo DORA, NIS2 e CER
Alla luce della complessità appena descritta, è evidente che il lavoro di analisi normativa e di valutazione degli impatti richiesto ai team di compliance delle istituzioni finanziarie diventa molto impegnativo. Per i team compliance, il problema non è soltanto comprendere il raccordo tra DORA, NIS2 e CER, ma trasformare questi aggiornamenti in attività operative, controlli, policy e analisi di impatto.
In questo senso, Aptus.AI può supportare le organizzazioni che devono ottimizzare l’adeguamento al DORA grazie all’AI, riducendo tempi di analisi e rischio di errore nella lettura dei testi normativi.
Aptus.AI opera come software regolatorio per trasformare testi normativi complessi in informazioni operative: obblighi, sanzioni, aggiornamenti, impatti e collegamenti tra fonti. Sfruttando un formato proprietario machine-readable dei testi legali, la piattaforma offre una versione aumentata delle norme che identifica automaticamente requisiti e obblighi, tenendo conto dei processi e delle policy interne dell’organizzazione. La banca dati normativa proprietaria copre Gazzetta Ufficiale italiana, EUR-Lex e le principali fonti regolatorie europee in modo trasversale alle aree del diritto.
In un contesto complesso come quello dell’Unione Europea, Aptus consente alle organizzazioni non soltanto di ridurre i tempi e i costi necessari per il recepimento degli aggiornamenti normativi, ma anche di anticipare i trend normativi per trasformare la compliance in una leva di business. La piattaforma è adottata da clienti come Intesa Sanpaolo, Generali, Mediolanum, è certificata ISO/IEC 27001:2022 e si dichiara conforme ai requisiti AI Act e DORA per i fornitori di servizi ICT terzi.
Cosa permette di fare la piattaforma Aptus.AI ai professionisti di compliance
La piattaforma è costruita come un unico ambiente di lavoro che copre l’intero ciclo del compliance officer, dal monitoraggio normativo alla generazione dei documenti. Sul fronte del monitoraggio, Aptus.AI invia aggiornamenti personalizzabili sulle autorità legislative e regolamentari rilevanti (oltre 200 fonti monitorate in tempo reale in 9 Paesi) e consente di anticipare gli aggiornamenti UE in materia di cybersecurity, ICT risk e resilienza operativa pianificando per tempo le attività di adeguamento.
Sul fronte dell’analisi, la ricerca avanzata opera trasversalmente alla normativa esterna e ai documenti interni dell’organizzazione, identificando rapidamente obblighi introdotti, sanzioni applicabili, modifiche tra versioni di una stessa norma e collegamenti tra fonti diverse. È il livello che permette ai team di trasformare il raccordo DORA, NIS2 e CER in evidenze operative consultabili.
L’assistente AI generativo integrato consente di interrogare le norme tramite un’interfaccia conversazionale che si basa sul formato proprietario machine-readable e segue la gerarchia ufficiale delle fonti. Questa architettura è il presupposto della metodologia RAG proprietaria con cui Aptus.AI dichiara di garantire risposte verificabili e prive di allucinazioni, una caratteristica essenziale in un settore YMYL come quello legale e finanziario.
Sopra a questi tre livelli, la piattaforma abilita analisi di impatto, redazione automatica di policy e pareri normativi, supporto ai controlli e identificazione dei gap tra requisiti normativi e processi interni. Il risultato per chi gestisce DORA, NIS2 e CER è un unico flusso di lavoro in cui monitorare, interrogare, mappare gli impatti e produrre la documentazione di compliance, mantenendo la decisione finale in capo al professionista
Conclusioni: un quadro integrato che chiede strumenti adeguati
Il Regolamento DORA non è stato “trasposto” in Italia perché non aveva bisogno di esserlo. Il quadro normativo italiano si è completato con il recepimento di NIS2 e CER, costruendo un sistema integrato in cui ogni operatore finanziario deve oggi muoversi tra ICT risk management, cybersecurity e resilienza dei servizi essenziali, con flussi di reporting verso autorità diverse e regimi sanzionatori che possono superare i 10 milioni di euro.
La complessità è destinata a crescere. Solo nel periodo luglio 2024 – giugno 2025, ENISA ha analizzato 4.875 incidenti cyber a livello UE, segno di un panorama di minacce in continua espansione. Gestire questo livello di complessità a mano non è sostenibile: serve un’infrastruttura digitale che renda il monitoraggio normativo continuo, l’analisi di impatto strutturata e le decisioni di compliance verificabili. Le organizzazioni che integreranno per prime un software regolatorio nei propri processi avranno un vantaggio competitivo concreto sui prossimi tre anni di evoluzione normativa.
Domande frequenti su Regolamento DORA, NIS2 e CER
Il Regolamento DORA è stato recepito in Italia?
No. Il Regolamento DORA è un regolamento europeo direttamente applicabile in tutti gli Stati membri dal 17 gennaio 2025, senza necessità di atti nazionali di recepimento. In Italia, il suo impatto operativo va letto insieme al recepimento di NIS2 e CER tramite i Decreti Legislativi 138/2024 e 134/2024, che completano il quadro nazionale su cybersecurity e resilienza.
Qual è il rapporto tra DORA, NIS2 e CER?
DORA disciplina la resilienza operativa digitale del settore finanziario ed è la lex specialis per banche, assicurazioni e altri operatori finanziari. NIS2 riguarda la cybersecurity dei soggetti essenziali e importanti in tutti i settori critici. CER riguarda la resilienza fisica e operativa dei soggetti critici che erogano servizi essenziali. Per gli operatori finanziari, queste norme possono creare obblighi e controlli collegati.
Quali soggetti finanziari sono impattati dal Regolamento DORA?
Il DORA riguarda banche, assicurazioni, istituti di pagamento, imprese di investimento, fintech regolamentate, asset manager e altri operatori finanziari, oltre ai fornitori ICT critici collegati ai servizi finanziari. Sono inclusi anche i prestatori di servizi di cripto-attività autorizzati e i gestori di organismi di investimento collettivo del risparmio.
Come può aiutare un software compliance nella gestione del DORA?
Un software compliance può supportare monitoraggio normativo, ricerca nei testi, identificazione degli obblighi, analisi degli impatti, confronto tra versioni normative e gestione delle evidenze utili per team compliance, legal e risk. L’obiettivo è ridurre il tempo speso in attività manuali ripetitive e aumentare la tracciabilità delle decisioni di compliance.
Quali caratteristiche deve avere uno dei migliori software compliance per il DORA?
Uno dei migliori software compliance per il DORA dovrebbe offrire fonti aggiornate e verificabili, tracciabilità normativa, ricerca avanzata, identificazione degli obblighi, analisi degli impatti, monitoraggio delle modifiche normative e capacità di collegare norme, processi e policy interne. È inoltre fondamentale che la tecnologia AI sottostante sia priva di allucinazioni e basata su un database normativo proprietario, non su ricerche generiche sul web.
Quando devono essere identificati i soggetti critici ai sensi del D.Lgs. 134/2024?
Le Autorità Settoriali Competenti devono identificare i soggetti critici per ciascun settore e sottosettore entro il 17 gennaio 2026 e comunicarli al Punto di Contatto Unico presso la Presidenza del Consiglio dei Ministri.
Ultimo aggiornamento: 26 maggio 2026.
Le informazioni presenti in questo articolo non costituiscono consulenza legale.
