L’evoluzione delle normative sulla sicurezza informatica ha fatto emergere due importanti atti legislativi europei: DORA (Digital Operational Resilience Act) e la direttiva NIS 2. Entrambi hanno l’obiettivo di rafforzare la sicurezza informatica, ma si rivolgono a settori diversi e presentano obiettivi e requisiti distinti. Questo post del blog illustra le principali differenze tra DORA e NIS 2 ed evidenzia come le soluzioni WatchGuard possono aiutare partner e clienti a rispettare queste normative.
Una panoramica delle normative DORA e NIS 2
DORA: DORA entrerà in vigore il 17 gennaio 2025. Si concentra sul settore finanziario, con l’obiettivo di garantire che le entità finanziarie possano resistere agli attacchi informatici e rimanere operative anche quando tali attacchi sono in corso. L’obiettivo primario è mantenere la disponibilità e l’integrità dei servizi finanziari, con una particolare attenzione per la resilienza operativa.
NIS 2: La NIS 2 dovrà essere recepita nelle leggi nazionali degli Stati membri dell’UE entro ottobre 2024. La direttiva mira ad armonizzare la sicurezza informatica in tutta l’UE, coinvolgendo entità essenziali in vari settori come energia, trasporti, salute e infrastrutture digitali. La NIS 2 ha lo scopo di aumentare il livello generale di sicurezza informatica all’interno dell’UE.
Le differenze tra DORA e NIS 2
- Ambito di applicazione ed entità coinvolte:
- DORA si rivolge a 21 entità finanziarie, tra cui banche, società di investimento, compagnie assicurative e fornitori di servizi di terze parti ICT (tecnologia dell’informazione e della comunicazione).
- La NIS 2 copre una gamma più ampia di settori, distinguendo tra entità essenziali (EE), come fornitori di energia e trasporti, ed entità importanti (IE), come servizi postali e società di produzione alimentare.
- Obiettivi:
- DORA mira a garantire la resilienza operativa del settore finanziario. Impone la gestione completa dei rischi ICT (tecnologia dell’informazione e della comunicazione), la gestione degli incidenti, i test di resilienza, la gestione dei rischi di terze parti e la condivisione delle informazioni all’interno del settore finanziario.
- La NIS 2 punta a migliorare la posizione generale della sicurezza informatica in tutta l’UE, enfatizzando la governance, il rilevamento e la risposta agli incidenti, proteggendo e testando perimetri e risorse in vari settori critici.
- Conformità e applicazione:
- DORA è un regolamento che sarà direttamente applicabile in tutti gli Stati membri dell’UE senza la necessità di essere recepito a livello nazionale. Richiede rigorosi test di sicurezza, inclusi test di resilienza annuali e test di penetrazione guidati dalle minacce ogni tre anni.
- La direttiva NIS 2 richiede il recepimento nelle leggi nazionali, che possono introdurre delle variazioni. Impone sanzioni severe in caso di non conformità, tra cui multe fino al 2% del fatturato globale annuo per le entità essenziali.
- Gestione dei rischi di terze parti:
- DORA richiede alle entità finanziarie di gestire i rischi posti dai fornitori di servizi di terze parti ICT, garantendo contratti solidi e un monitoraggio continuo.
- La NIS 2 si occupa anche della sicurezza della catena di approvvigionamento, ma in un contesto più ampio, con un impatto su vari settori oltre ai servizi finanziari.
Soluzioni per la conformità
WatchGuard, partner MPG System, offre una gamma di prodotti per aiutare a soddisfare i requisiti di DORA e NIS 2:
- Gestione dei rischi ICT: Firewall con funzionalità come Gateway AntiVirus e DNSWatch:
- Soluzioni di sicurezza degli endpoint (EPP, EDR, EPDR, Advanced EPDR) con dashboard per la gestione dei rischi e valutazioni delle vulnerabilità.
- Gestione delle patch e crittografia completa per la protezione dei dati.
- Gestione degli incidenti:
- Monitoraggio continuo delle minacce con EDR e ThreatSync+ NDR.
- Monitoraggio 24 ore su 24, 7 giorni su 7 e risposta agli incidenti con WatchGuard MDR.
- Test di resilienza:
- ThreatSync+ NDR per simulare attacchi e identificare vulnerabilità.
- Soluzioni di sicurezza degli endpoint per test di resilienza e analisi forensi.
- Gestione dei rischi di terze parti:
- Controllo degli accessi alla rete e ThreatSync+ NDR per monitorare le attività di terze parti.
- AuthPoint MFA per garantire l’accesso sicuro di terze parti.
