NIS 2 e DORA: Prospettive di compliance e risk Management per le terze parti
L’entrata in vigore della Direttiva NIS 2 e del Regolamento DORA segna un passo importante nel rafforzamento della sicurezza cibernetica nell’Unione Europea. Queste nuove normative introducono obblighi stringenti per i settori operativi critici, tra cui quelli finanziari, energetici e dei trasporti.
Oltre agli operatori di servizi essenziali (OSE), anche le terze parti che forniscono beni o servizi a questi operatori saranno soggette a nuovi obblighi di compliance e risk management.
Le terze parti rilevanti ai sensi di NIS 2 e DORA sono quelle che forniscono Servizi IT e operativi critici, accesso o controllo a sistemi e reti IT di OSE, prodotti o servizi che potrebbero essere utilizzati per attaccare sistemi IT di OSE.
Queste terze parti saranno tenute a implementare misure di sicurezza adeguate per proteggere i propri sistemi e dati, a notificare gli incidenti di sicurezza informatica alle autorità competenti, a sottoporsi a regolari audit di sicurezza e collaborare con gli OSE in caso di incidenti di sicurezza.
L’adempimento a NIS 2 e DORA richiede alle terze parti un impegno significativo in termini di risorse e competenze ma non senza problemi derivanti dalla complessità delle normative, dalla necessità di investire in nuove tecnologie e processi, dalla carenza di competenze in materia di sicurezza informatica.
Tuttavia, l’adempimento a queste normative offre anche alle terze parti diverse opportunità, tra cui migliorare la propria reputazione e la fiducia dei clienti, ridurre il rischio di attacchi informatici e le relative perdite finanziarie, acquisire un vantaggio competitivo nel mercato.
