Il Regolamento DORA, pienamente applicabile dal 17 Gennaio 2025, mira a garantire la resilienza digitale delle entità finanziarie e dei loro fornitori TIC terzi. Contestualmente, la Direttiva NIS2 impone obblighi di sicurezza informatica a operatori «essenziali» e «importanti» in molti settori strategici, mentre il GDPR resta il gold standard di riferimento per la protezione dei dati personali in tutta l’Unione.

Per le aziende, comprendere come queste tre normative si intersecano è indispensabile: le decisioni sul modello operativo, sui contratti con partner TIC e sulle risorse da allocare dipendono infatti dalla corretta identificazione del quadro normativo applicabile.

1.      Ambito di applicazione

DORA si rivolge alle entità finanziarie elencate all’articolo 2 paragrafo 1, tra cui banche, imprese di investimento, assicurazioni, fornitori di servizi di cripto-asset e organismi di investimento collettivo,  e ai fornitori TIC terzi che erogano servizi critici a tali entità (per esempio, infrastrutture cloud, data center, piattaforme di trading). Le imprese che rientrano in questo perimetro devono adottare un framework di gestione del rischio TIC approvato dal management body, sottoporsi a periodici test di resilienza digitale nonchè inserire nei contratti con i fornitori TIC clausole minime obbligatorie (audit, notifica tempestiva di incidenti, localizzazione dei dati, piani di uscita) e comunicare tempestivamente ogni «grave incidente TIC» alle autorità di vigilanza secondo le scadenze previste.

Le imprese che forniscono servizi TIC a un’entità finanziaria devono seguire il DORA per quegli specifici rapporti. Se, per esempio, lo stesso fornitore eroga servizi critici a un operatore sanitario o energetico, in tale ambito risponde secondo la NIS 2. In tutte le circostanze di trattamento di dati personali vi è invece, com’è ben noto, l’applicazione del GDPR.

2.      Il rapporto fra i Regolamenti DORA e NIS2

Il DORA è una lex specialis rispetto alla NIS2, costituendo una norma settoriale specifica nel settore finanziario. Qualora ricada in entrambi i perimetri - come nel caso di gestione del rischio TIC, notifica di incidenti o controllo sui fornitori - il Regolamento DORA deve prevalere sulla NIS2 per le entità finanziarie e i loro fornitori TIC terzi. Ciò non significa che la Direttiva NIS 2 sia del tutto estranea a tali soggetti, ma rimane anzi applicabile ogni qualvolta il DORA non si esprima in modo specifico. Pertanto, le imprese devono distinguere attentamente i servizi propri e quelli ricondicibili a soggetti appartenenti a settori differenti, applicando il Regolamento DORA laddove previsto e ricorrendo alla NIS2 negli altri casi.

3.      DORA: misure contrattuali e GDPR

Quando le entità finanziarie si avvalgono di fornitori TIC terzi che trattano dati personali per loro conto, il DORA e il GDPR operano in parallelo.

Innanzitutto, l’entità finanziaria rimane sempre Titolare del trattamento e il fornitore può diventare Responsabile del trattamento se ricorrono le condizioni cui all’art. 28 GDPR. Il provider deve elaborare dati personali esclusivamente su istruzioni documentate del Titolare, senza decidere le finalità, pur potendo scegliere modalità tecniche e operative del trattamento. La verifica, a valle della «dovuta diligenza (due diligence)» imposta dal DORA, confermerà se il fornitore soddisfa i requisiti di sicurezza necessari a ricoprire il ruolo di fornitore e, quindi, di Responsabile.

In particolare, il Titolare deve assicurarsi che il Responsabile adotti «misure tecniche e organizzative adeguate» per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi di elaborazione. Nel contesto DORA, questa esigenza si traduce nella due diligence preventiva sui fornitori: si esamina la documentazione relativa alle procedure di sicurezza del provider (cifratura, controllo degli accessi, backup, protezione da malware), alla politica di privacy by design (art. 25 GDPR) e ai piani di gestione delle violazioni di dati. Solo se tali misure risultano conformi al DORA, che richiede standard di disponibilità, autenticità, integrità e riservatezza dei datI, e al GDPR, il fornitore può essere scelto.

Nei contratti con i fornitori TIC, le clausole devono garantire il rispetto simultaneo del DORA e del GDPR. Innanzitutto, è necessario riconoscere al Titolare del trattamento il diritto di audit e ispezioni, che consentono di verificare in qualsiasi momento le misure di sicurezza tecniche e organizzative adottate dal fornitore, anche coinvolgendo autorità competenti o auditor terzi.

Inoltre, il contratto deve prevedere l’obbligo per il fornitore di segnalare tempestivamente al Titolare (preferibilmente entro 24-48 ore dalla scoperta) qualsiasi evento che possa compromettere la continuità o la sicurezza del servizio. Sebbene non esista una scadenza di legge espressa per questa comunicazione, DORA richiede un reporting rapido degli incidenti gravi TIC, mentre il GDPR impone al Titolare la notifica del data breach al Garante entro 72 ore (qualora nell’incidente siano coinvolti dati personali). Stabilire per iscritto un termine interno assicura coerenza con entrambe le tempistiche, evitando ritardi e ambiguità nel rispetto degli obblighi normativi.

Per quanto riguarda il subappalto, DORA impone di monitorare l’intera catena di fornitura TIC, mentre il GDPR richiede di garantire la conformità dei trasferimenti di dati alle condizioni del Capo V. Ne consegue che il contratto deve vietare il subappalto non autorizzato o, almeno, prevedere l’obbligo di ottenere l’approvazione preventiva dell’ente finanziario per ogni modifica sostanziale. In questo modo, l’ente può accertare in anticipo che eventuali subfornitori soddisfino gli standard di sicurezza e rispettino le tutele previste per i trasferimenti internazionali di dati personali.

Infine, le clausole relative alle strategie di uscita devono garantire che, in caso di risoluzione del contratto o di insolvenza del fornitore, l’ente finanziario possa accedere, ripristinare e ricevere i dati — personali e non — in un formato leggibile. È essenziale prevedere procedure che assicurino la restituzione completa delle informazioni elaborate dal provider, al fine di evitare interruzioni delle attività e di mantenere la conformità normativa. Successivamente al trasferimento dei dati, il fornitore deve procedere alla loro cancellazione sicura: ciò risponde ai principi di limitazione della conservazione del GDPR e all’obiettivo di integrità e riservatezza richiesto dal DORA.

Integrando sin dall’inizio Il Regolamento DORA col GDPR, mediante due diligence e contratti completi, le imprese possono evitare inutili ritardi ed onerosi rimedi ex-post, tutelando fin da subito sia la continuità operativa sia i diritti degli interessati.

4.      Approccio multi-compliance integrato

Le imprese che operano nel settore finanziario o lo supportano con servizi TIC non possono più considerare DORA, NIS2 e GDPR come elenchi di requisiti isolati, ma devono adottare un modello di compliance integrata.

• Mappatura normativa: occorre realizzare una matrice che sovrapponga i requisiti di DORA, NIS2 e GDPR nelle quattro aree critiche — gestione del rischio TIC, incident response, gestione dei fornitori e governance — per identificare sovrapposizioni e requisiti distinti.

• Team multidisciplinare di risposta agli incidenti: è essenziale individuare una struttura interna che coinvolga competenze IT, legale, privacy, risk e compliance. Quando si verifica un evento, questo gruppo valuta contemporaneamente se si tratta di una violazione di dati personali, di un incidente significativo non finanziario oppure di un grave incidente TIC in ambito finanziario.

• Contratti TIC integrati: nei contratti con i fornitori vanno inserite clausole DORA (audit, notifica rapida di incidenti gravi) e clausole GDPR (data processing agreement, misure di sicurezza e notifiche di violazione di dati personali). È obbligatorio mantenere un registro centralizzato dei contratti, con dettagli su tipologia di servizio, localizzazione dei dati e livelli di criticità.

• Comitato permanente di resilienza digitale: è opportuno istituire un gruppo di lavoro multidisciplinare, che si incontri periodicamente per esaminare i risultati dei test di resilienza, le vulnerabilità critiche, gli incidenti e i piani di continuità.

• Formazione e sensibilizzazione: occorrono programmi formativi per il personale TIC, per le funzioni legali e di compliance (scenari di violazione e interazione con le autorità) e per i vertici aziendali (rischi digitali, sanzioni e opportunità offerte dalla resilienza digitale).

• Standard internazionali a supporto: l’adozione di ISO 27001 (sicurezza delle informazioni) e ISO 22301 (continuità operativa) permette di coprire gran parte dei requisiti normativi, riducendo tempi e costi di adeguamento.

5.      Conclusione

Adottare un approccio multi-compliance significa integrare le diverse normative (come DORA, NIS2 e GDPR) in un unico piano operativo, migliorando sia la gestione dei rischi TIC che la protezione dei dati. Coinvolgendo attivamente il management e armonizzando processi e contratti, l’impresa non solo evita sanzioni, ma rafforza la propria reputazione come partner digitale affidabile e resiliente.

Redazione LexTech Hub