DORA o NIS2: quale normativa applicare alle Banche

Introduzione

La Direttiva (UE) 2022/2555 - c.d. Direttiva NIS 2 - ha lo scopo di rafforzare la sicurezza delle reti e dei sistemi informativi nell'UE, imponendo rigorosi obblighi di gestione del rischio e di segnalazione degli incidenti cibernetici in una vasta gamma di settori, inclusi – tra gli altri - quelli critici come quelli dell'energia, dei trasporti, bancario e delle infrastrutture dei mercati finanziari. 

Il Regolamento (UE) 2022/2554 c.d. DORA, invece, è specificamente orientato alle entità bancarie e finanziarie. A tal proposito è opportuno evidenziare che il considerando n. 16 del DORA precisa che quest'ultimo rappresenta una lex specialis rispetto alla NIS 2. Sembrerebbe pertanto che nel caso di entità bancarie e finanziarie debba essere applicato unicamente il regolamento sopra citato.

In via ulteriore, l'art. 4 della NIS 2, rubricato “Atti giuridici settoriali dell'Unione” stabilisce che “1. Qualora gli atti giuridici settoriali dell'Unione facciano obbligo ai soggetti essenziali o importanti di adottare misure di gestione dei rischi di cybersicurezza o di notificare gli incidenti significativi, nella misura in cui gli effetti di tali obblighi siano almeno equivalenti a quelli degli obblighi di cui alla presente direttiva, a tali soggetti non si applicano le pertinenti disposizioni della presente direttiva, comprese le disposizioni relative alla vigilanza e all'esecuzione di cui al capo VII.”

La disciplina applicabile in ambito bancario

È evidente che un'entità bancaria o finanziaria le cui attività rientrano nel campo di applicazione sia della NIS 2 sia del DORA debba rispettare esclusivamente i requisiti imposti da quest'ultimo Regolamento.

Pertanto, sulla scorta del principio lex specialis derogat legi generali, la NIS 2 non è applicabile al settore bancario e al settore delle infrastrutture dei mercati finanziari. Di conseguenza a queste ultime entità non è neppure applicato il D.Lgs. 04/09/2024 n. 138 c.d. Decreto NIS, attuativo della citata direttiva.

Tuttavia, da una attenta disamina del Decreto NIS, l'art. 7 del decreto in argomento statuisce l'obbligo di registrazione nella piattaforma ACN (Agenzia per la Cybersicurezza Nazionale) di tutti i soggetti di cui all'art. 3 del medesimo decreto. Tra i soggetti obbligati vi sono anche i settori di alta criticità dell'allegato I (settori 3 e 4) della NIS 2 nonché ai soggetti che identificati come soggetti critici, ai sensi del d.lgs. 4 settembre 2024, n. 134. L'allegato I della NIS 2 e l'Allegato A del d.lgs. n. 134/2024 comprendono – tra gli altri – anche il settore bancario e il settore delle infrastrutture dei mercati finanziari, i quali sono ricompresi nel perimetro di applicazione della sopra menzionata lex specialis DORA.

 A tal proposito è, altresì, opportuno precisare che l'art. 3 comma 14, del medesimo decreto statuisce che “Le disposizioni di cui all'articolo 17 e ai Capi IV e V del presente decreto non si applicano ai soggetti identificati come essenziali o importanti dei settori 3 e 4 di cui all'allegato I, ai quali si applica la disciplina di cui al regolamento (UE) 2022/2554.” In via ulteriore, al comma 15 del medesimo articolo è chiarito che “Il presente decreto non si applica, ai sensi dell'articolo 2, comma 10, della direttiva, ai soggetti esentati dall'ambito di applicazione del regolamento (UE) 2022/2554”.

In considerazione della esplicita non applicazione della Direttiva e del relativo decreto attuativo al settore bancario e finanziario, nella disamina della normativa citata è pertanto sorto il dubbio circa l'obbligo di iscrizione delle entità rientranti nel settore bancario e nel settore delle infrastrutture finanziare alla piattaforma ACN. 

Infatti, se da un lato, sulla base del principio lex specialis derogat generali, si potrebbe ipotizzare l'assenza di un obbligo di registrazione dei soggetti rientranti nel settore bancario e delle infrastrutture finanziarie nella piattaforma sopra citata.

 Dall'altro lato, dalla disamina del Decreto NIS per il settore bancario e delle infrastrutture dei mercati finanziari non è stato possibile rilevare una esplicita esclusione dall'obbligo di registrazione di cui all'art. 7 del decreto NIS in capo ai soggetti in argomento. Si evince soltanto una chiara non applicazione degli obblighi di condivisione di informazione di cui all'art. 17, degli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente di cui al capo IV e di monitoraggio, vigilanza ed esecuzione di cui al capo V, cui si rimanda ovviamente al Regolamento DORA.

A fungere da spartiacque a tal proposito vi è la FAQ 2.18 presente sul sito dell'Agenzia, la quale chiarisce che “I soggetti DORA (Regolamento 2022/2554) devono adempiere agli obblighi previsti dalla nuova disciplina NIS ? DORA (Regolamento 2022/2554) è considerata lex specialis settoriale per la maggior parte delle previsioni della Direttiva NIS (2022/2555). Pertanto, ai soggetti DORA riconducibili alle medie o grandi imprese e che svolgono attività o erogano servizi riconducibili alle tipologie di soggetto di cui all'allegato I, punti 3 (settore bancario) e 4 (settore infrastrutture dei mercati finanziari), si applicano solamente le disposizioni del decreto NIS relative all'obbligo di registrazione (articolo 7, comma 1, del decreto NIS). In sostanza, l'articolo 3, comma 14, si limita a disapplicare, per tali soggetti, solo le previsioni dell'articolo 17 e dei capi IV e V, fermo restando il ruolo di CyCLONe nel contesto della gestione delle crisi cyber a livello transfrontaliero”.

Inoltre, l'Agenzia per la Cybersicurezza Nazionale ha chiarito che la mancata registrazione è una violazione assistita da una sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo su scala mondiale del soggetto. Pertanto, nel caso di dubbio ulteriore le entità bancarie e finanziarie in maniera prudenziale avrebbero dovuto registrarsi entro il 28 febbraio sulla piattaforma ACN, e nel mese di aprile 2025, i soggetti registrati avrebbero dovuto ricevere una comunicazione di conferma, o meno, circa il loro l'inserimento nell'elenco dei soggetti NIS.

Tuttavia, in considerazione delle richieste di chiarimenti e di supporto per la registrazione pervenuti all'Agenzia, quest'ultima con comunicato del 23 maggio 2025 ha prorogato al 31 luglio 2025 la scadenza per la conclusione della registrazione per quei soggetti che hanno richiesto supporto per la finalizzazione dell'aggiornamento annuale dei dati, i quali potranno terminare entro la nuova data.

Considerazioni conclusive

In considerazione di quanto sin qui evidenziato, le entità che rientrano nel settore bancario e delle infrastrutture di mercato a cui si applica la lex specialis DORA sono tenute all'obbligo di registrazione sulla piattaforma ACN entro il 31 luglio 2025.

Nel caso di mancata registrazione, tali soggetti potrebbero incorrere in delle sanzioni erogate dall'Agenzia.