NIS 2 vs DORA: come funziona realmente l'esenzione per il settore finanziario
L'articolo 4 NIS 2 affida i soggetti finanziari a DORA per la gestione del rischio, la comunicazione degli incidenti e la vigilanza. L'articolo 27 NIS 2 non è in quell'elenco. Banche, istituti di pagamento, controparti centrali e fornitori di servizi per le cripto-attività si registrano comunque presso il BSI ai sensi del §33 BSIG.
Due regolatori, un'esenzione, un obbligo che sopravvive
Il Regolamento (UE) 2022/2554 (DORA) è entrato in applicazione il 17 gennaio 2025 e copre circa venti categorie di soggetti finanziari, dalle banche e imprese di assicurazione ai fornitori di servizi per le cripto-attività e alle sedi di negoziazione. Per tutto ciò che DORA già regola, l'articolo 4 NIS 2 sostituisce i corrispondenti articoli di NIS 2. Questa è la regola lex specialis ed è al centro di ogni conversazione su come le imprese finanziarie si mappano rispetto a NIS 2.
La sostituzione è ristretta. L'articolo 4(2) NIS 2 elenca esattamente quali articoli di NIS 2 si fanno da parte quando un atto specifico di settore è almeno equivalente negli effetti. L'elenco copre l'articolo 21 (misure di gestione del rischio), l'articolo 23 (comunicazione degli incidenti) e il Capo VII (vigilanza ed esecuzione). L'articolo 27 (registrazione) non è in elenco. Né lo sono le disposizioni sull'ambito dell'Allegato I che pongono il settore bancario e le infrastrutture dei mercati finanziari all'interno di NIS 2 in primo luogo.
Il risultato pratico per una banca tedesca, un istituto di pagamento autorizzato dalla BaFin o una controparte centrale: la sostanza proviene da DORA, la vigilanza in Germania spetta alla BaFin e alla Bundesbank, ma l'entità si registra comunque presso il BSI tramite il portale §33 BSIG. Un regolatore sul registro. Un regolatore diverso per tutto ciò che conta nell'operatività.
Direttiva NIS 2, Articolo 4(1) e 4(2)
Qualora atti giuridici settoriali dell'Unione impongano a soggetti essenziali o importanti di adottare misure di gestione dei rischi di cibersicurezza o di notificare incidenti significativi, e qualora tali requisiti siano almeno equivalenti negli effetti agli obblighi previsti dalla presente direttiva, le pertinenti disposizioni della presente direttiva, comprese le disposizioni in materia di vigilanza ed esecuzione di cui al capo VII, non si applicano a tali soggetti.
Due condizioni sono cumulate: deve esistere un atto settoriale dell'Unione e i suoi requisiti devono essere almeno equivalenti negli effetti. Solo allora gli articoli 21, 23 e il Capo VII si fanno da parte. L'articolo 27 è vistosamente assente da questo elenco e pertanto continua ad applicarsi.
Regolamento (UE) 2022/2554 (DORA)
Articoli da 5 a 17 (gestione dei rischi TIC), articoli da 17 a 23 (segnalazione degli incidenti connessi alle TIC), articoli da 24 a 27 (test di resilienza operativa digitale), articoli da 28 a 44 (gestione del rischio derivante da terzi TIC), articolo 45 (accordi di condivisione delle informazioni).
DORA è un Regolamento, applicato direttamente in ogni Stato membro dal 17 gennaio 2025. Per i soggetti che rientrano nel suo ambito, questo è il corpo di norme che riempie lo spazio che altrimenti occuperebbero gli articoli 21 e 23 di NIS 2. Il corpus sostanziale di regole sulla cibersicurezza è DORA, non l'attuazione BSIG di NIS 2.
Articolo 27 NIS 2 e §33 BSIG
Gli Stati membri assicurano che i soggetti essenziali e importanti trasmettano alle autorità competenti le seguenti informazioni: il nome del soggetto, l'indirizzo e i recapiti aggiornati, il settore e sottosettore pertinenti di cui all'allegato I o II, e un elenco degli Stati membri in cui il soggetto presta servizi.
L'articolo 27 NIS 2 obbliga alla registrazione presso l'autorità nazionale competente. In Germania, il §33 BSIG incanala questo verso il portale di registrazione del BSI. L'articolo 4 non tocca l'articolo 27. DORA ha un proprio registro presso le Autorità europee di vigilanza, ma ciò non sostituisce il registro nazionale NIS 2. I soggetti finanziari vivono pertanto in entrambi.
DORA, non l'articolo 21 NIS 2
La gestione dei rischi TIC, il rischio derivante da terzi, i test di resilienza e la classificazione degli incidenti seguono gli articoli da 5 a 44 di DORA. Le misure dell'articolo 21 NIS 2 (le dieci categorie ai sensi del §30 BSIG in Germania) non si applicano ai soggetti che rientrano nell'ambito di DORA. Dove DORA tace, NIS 2 non riempie nemmeno la lacuna: l'esenzione riguarda quale atto governa, non la sovrapposizione di entrambi.
BSI ai sensi del §33 BSIG, nessuna sostituzione
L'articolo 27 NIS 2 si colloca al di fuori dell'elenco dell'articolo 4. Il registro nazionale sopravvive all'esenzione. Una banca o un istituto di pagamento autorizzato dalla BaFin si registra presso il BSI tramite il portale §33, trasmette la classificazione di settore, i recapiti e gli intervalli di indirizzi IP, e aggiorna entro le scadenze che si applicano a ogni altra entità in ambito. La mancata registrazione comporta un proprio binario sanzionatorio.
BaFin e Bundesbank, non BSI
Il Capo VII NIS 2 (vigilanza ed esecuzione) è sostituito per i soggetti finanziari. L'articolo 46 DORA designa gli esistenti vigilanti finanziari come autorità competenti. In Germania ciò significa BaFin e Deutsche Bundesbank per le questioni bancarie e di pagamento, con le Autorità europee di vigilanza (EBA, ESMA, EIOPA) che coordinano a livello UE. Il BSI non è il vigilante operativo per la sostanza di DORA.
La lex specialis è ristretta, non generalizzata
L'articolo 4 sostituisce solo gli articoli di NIS 2 che nomina. La registrazione ai sensi dell'articolo 27, l'ambito ai sensi degli Allegati I e II e le definizioni di settore continuano tutti ad applicarsi. Una banca non diventa un soggetto non-NIS 2. Diventa un soggetto NIS 2 governato da DORA per le parti sostanziali. La distinzione conta quando emergono scadenze di registrazione, riclassificazioni di settore o notifiche di servizi transfrontalieri.
Equivalente negli effetti, non identico nel testo
L'articolo 4(1) NIS 2 fissa l'asticella all'equivalenza negli effetti. DORA non deve riprodurre l'articolo 21 parola per parola. Deve coprire lo stesso terreno alla stessa profondità. Il considerando 28 NIS 2 conferma che DORA è stato redatto per superare questa asticella. Nella pratica la Commissione europea ha trattato DORA come pienamente equivalente, ma il test risiede nel testo e sarebbe l'aggancio giuridico in qualsiasi controversia su una lacuna.
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)
Autorità competente capofila per DORA in Germania ai sensi dell'articolo 46 DORA. Vigila sulla gestione dei rischi TIC, la segnalazione degli incidenti e gli accordi sul rischio derivante da terzi per banche, istituti di pagamento, imprese di assicurazione, imprese di investimento e fornitori di servizi per le cripto-attività. Le esistenti circolari BAIT, VAIT, KAIT e ZAIT vengono allineate agli articoli da 5 a 17 di DORA.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Gestisce il portale di registrazione §33 BSIG. Riceve la registrazione dei soggetti finanziari anche se non vigila sulla sostanza di DORA. Il BSI funge inoltre da CSIRT nazionale ai sensi dell'articolo 10 NIS 2 e fornisce supporto volontario. La linea di demarcazione: registrazione e servizi CSIRT con il BSI, sostanza e vigilanza con BaFin e Bundesbank.
EBA, ESMA, EIOPA e BCE
Le Autorità europee di vigilanza hanno emanato le norme tecniche di regolamentazione DORA sulla gestione dei rischi TIC, la classificazione degli incidenti, i registri del rischio derivante da terzi e la sorveglianza dei fornitori terzi critici di servizi TIC. La BCE vigila sugli enti creditizi significativi nell'ambito del Meccanismo di vigilanza unico e applica DORA all'interno di tale mandato. L'esenzione dell'articolo 4 NIS 2 è ciò che fa funzionare questa struttura di vigilanza a strati senza doppia regolamentazione.
Mito: DORA sostituisce completamente NIS 2 per i soggetti finanziari.
DORA sostituisce l'articolo 21, l'articolo 23 e il Capo VII. Non sostituisce l'articolo 27 (registrazione), le disposizioni sull'ambito degli Allegati I e II, né i meccanismi di cooperazione del Capo IV. Il registro §33 BSIG resta. Una banca che salta la registrazione affronta la sanzione autonoma per mancata registrazione, non un fascicolo di esecuzione solo-DORA.
Mito: DORA si applica solo alle banche, quindi i soggetti finanziari non bancari seguono NIS 2.
L'articolo 2 DORA elenca circa venti categorie di soggetti. Imprese di assicurazione e di riassicurazione, istituti di pagamento e di moneta elettronica, controparti centrali, depositari centrali di titoli, sedi di negoziazione, fornitori di servizi per le cripto-attività, prestatori di servizi di informazione sui conti e altri rientrano tutti in DORA. Se il vostro settore è nell'Allegato I settore 3 o 4 di NIS 2 e anche nell'articolo 2 DORA, l'esenzione si applica.
Mito: due registri significano presentare due volte gli stessi dati.
Il registro di informazioni DORA presso le AEV copre gli accordi con terzi TIC (articolo 28 DORA). Il portale §33 BSIG copre l'identificazione del soggetto e la classificazione di settore. I campi non si sovrappongono. Presentare entrambi è un obbligo ciascuno, non lo stesso obbligo due volte. Gli operatori spesso confondono questo perché entrambi implicano l'inserimento di dati in portali governativi.
Se vi trovate all'interno di un soggetto autorizzato dalla BaFin, trattate DORA come il vostro corpus di regole quotidiano e NIS 2 come lo strato del registro. Il programma di adeguamento sostanziale risiede negli articoli da 5 a 17 di DORA (gestione del rischio) e negli articoli da 28 a 44 (rischio derivante da terzi). La registrazione §33 BSIG è un compito amministrativo una tantum che si rinnova al cambiare dei recapiti. Confondere i due porta a sforzi sprecati, spesso una mappatura duplicata dell'articolo 21 che nessuno ha chiesto.
Se vi trovate all'interno di un gruppo finanziario che gestisce anche servizi IT interni per controllate non finanziarie, l'esenzione protegge solo il soggetto finanziario. La controllata non finanziaria, se rientra nell'ambito dell'Allegato I o II di NIS 2, deve l'intero insieme di obblighi comprese le misure dell'articolo 21 e la comunicazione degli incidenti dell'articolo 23. I programmi TIC a livello di gruppo devono essere leggibili da entrambi i vigilanti. La BaFin chiede le prove DORA, il BSI chiede le prove del §30 BSIG presso il soggetto non finanziario.
La piattaforma modella la registrazione dell'articolo 27 NIS 2 come obbligo di prima classe indipendente dai contenuti di gestione del rischio. Un soggetto finanziario che usa la piattaforma vede le scadenze di registrazione, i promemoria di modifica dei recapiti e lo stato del portale §33 BSIG senza ereditare alcun elenco di compiti dell'articolo 21 NIS 2 di cui non ha bisogno.
Lo strato sostanziale di DORA è fuori dall'ambito della piattaforma open source. Lo schema raccomandato è: tracciare qui l'articolo 27 NIS 2, eseguire il programma DORA nello strumento allineato alla BaFin che i vostri vigilanti si aspettano, e usare lo stato del registro dalla piattaforma come la tracciabilità che prova l'adempimento dell'obbligo del §33 BSIG.
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 4 (lex specialis), Articolo 27 (obbligo di registrazione), Allegato I settore 3 (infrastrutture dei mercati finanziari) e settore 4 (settore bancario)
- Regolamento (UE) 2022/2554 (DORA), Articoli da 5 a 17 (gestione dei rischi TIC), Articoli da 17 a 23 (segnalazione degli incidenti), Articoli da 24 a 27 (test di resilienza), Articoli da 28 a 44 (rischio derivante da terzi TIC), Articolo 45 (condivisione delle informazioni), Articolo 46 (autorità competenti)
- BSIG (modificato dal NIS2UmsuCG), §33 (registrazione), §65 (sanzioni per mancata registrazione)
- Considerando 28 Direttiva NIS 2 sul rapporto tra NIS 2 e gli atti settoriali dell'Unione
- Orientamenti della BaFin sull'applicazione di DORA e sull'allineamento delle circolari BAIT, VAIT, KAIT, ZAIT (2025)
- Norme tecniche di regolamentazione di EBA, ESMA ed EIOPA ai sensi di DORA (2024 e 2025)