DORA e NIS 2: nuove frontiere per la resilienza e la sicurezza digitale delle aziende
Il 2025 segna un punto di svolta per le imprese che operano in Europa. L’introduzione dei regolamenti DORA (Digital Operational Resilience Act) e NIS 2 (Network and Information Security Directive) impone nuovi standard di sicurezza informatica, continuità operativa e gestione dei rischi digitali. Normative che non si limitano a richiedere infrastrutture sicure, ma introducono obblighi precisi in termini di processi, governance e responsabilità.
Per CIO, CISO e responsabili ICT delle aziende enterprise, la vera sfida è costruire un modello di resilienza in grado di integrare sicurezza, gestione del rischio e compliance in modo continuativo e sostenibile.
Cloud e sicurezza: la compliance del provider è necessaria, ma non basta
Nell’ambito dei servizi IT, affidarsi a provider certificati e compliance-ready rappresenta certamente un requisito fondamentale. Tuttavia, pensare che questo sia sufficiente per rispondere ai requisiti DORA e NIS 2 sarebbe riduttivo.
La sicurezza nel cloud, infatti, si basa su un principio ormai consolidato: il modello di responsabilità condivisa. A seconda del tipo di servizio adottato — Infrastructure as a Service (IaaS), Platform as a Service (PaaS) o Software as a Service (SaaS) — la ripartizione delle responsabilità tra provider e cliente varia sensibilmente.
Più il servizio è gestito "chiavi in mano", maggiore è la responsabilità diretta del fornitore, ma esiste sempre una componente in capo all'azienda utilizzatrice. È compito del cliente, infatti, implementare adeguati processi interni, configurare correttamente gli ambienti, proteggere le identità e gestire gli accessi in modo sicuro.
In altre parole, avere un’infrastruttura tecnologica conforme non basta. Serve la capacità di utilizzarla e gestirla in modo corretto, consapevole e allineato agli standard richiesti dalle normative.
Resilienza e cyber security: perché il provider diventa un partner strategico
Un ulteriore elemento da considerare riguarda le sfide organizzative e di competenze che molte imprese devono affrontare. La gestione della sicurezza informatica richiede budget, know-how e risorse specialistiche che non sempre sono disponibili internamente, soprattutto per aziende il cui focus è concentrato sul core business.
Ed è proprio in questo scenario che il ruolo dei provider di soluzioni cloud e security assume una valenza strategica. I fornitori più evoluti non si limitano a proporre tecnologie, ma mettono a disposizione servizi di sicurezza avanzata, expertise specialistica e modelli operativi flessibili, in grado di supportare concretamente i clienti lungo tutto il percorso di adeguamento a DORA e NIS 2.
Grazie a economie di scala, approcci Managed Services e soluzioni di Security-as-a-Service, i provider possono rendere accessibili tecnologie di difesa avanzata anche ad aziende che, da sole, avrebbero difficoltà a sostenere tali investimenti.
Non meno importante, un buon provider non si limita a fornire strumenti tecnologici: costruisce una relazione di fiducia, ascolta le esigenze specifiche del cliente e adatta le soluzioni in modo coerente con i suoi obiettivi di business e le sue priorità operative.
Sovranità digitale: un tema sempre più centrale per le aziende
Un ulteriore aspetto che le imprese devono valutare nella scelta dei partner IT riguarda la sovranità digitale. Un concetto che, in ottica DORA e NIS 2, assume rilevanza crescente, non solo in termini di residenza dei dati, ma anche di controllo operativo e tecnologico.
La sovranità digitale, infatti, si articola su più livelli:
- Residenza dei dati: la possibilità di conservare e gestire i dati sensibili all'interno di specifici territori giurisdizionali.
- Sovranità operativa: sapere dove sono localizzati i team che gestiscono la sicurezza e le operations, e in che modo vengono controllati i processi critici.
- Sovranità tecnologica: avere la possibilità di governare le tecnologie utilizzate, riducendo la dipendenza da vendor extra-UE e valorizzando soluzioni open source e standard aperti.
Un provider realmente orientato alla sovranità digitale è in grado di supportare le aziende non solo nella compliance normativa, ma anche nella costruzione di un modello di governance IT più autonomo e resiliente.
Il provider giusto è un alleato, non solo un fornitore
In definitiva, affrontare le sfide di DORA e NIS 2 richiede molto più che scegliere tecnologie certificate. È fondamentale costruire relazioni solide e strategiche con provider in grado di affiancare le imprese non solo sul piano tecnico, ma anche su quello consulenziale, operativo e di governance.
La compliance è il punto di partenza, non il traguardo. Le aziende che sapranno selezionare partner capaci di integrare sicurezza, gestione del rischio, supporto operativo e cultura della sovranità digitale saranno quelle più pronte ad affrontare il futuro.
Perché nella nuova normalità della sicurezza informatica, non basta avere gli strumenti: bisogna saperli utilizzare in modo efficace, responsabile e orientato agli obiettivi di business.
Per approfondire il tema,
rivedi il webinar on demand.
Per capire quali gap colmare e quali azioni correttive intraprendere, effettua il test di autovalutazione di conformità per il
regolamento DORA e la
direttiva NIS 2.