• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Speciale Stampanti
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Infrastrutture sottomarine: investimenti fino a 4,5 miliardi di euro entro il 2030
    • Backup e Data Protection: Veeam celebra dieci anni da Leader secondo Gartner
    • Il Penetration Testing as a Service arriva in Italia con Integrity360
    • Comune di Napoli si rinnova con Exprivia
    • Patch management superato? L’AI cambia le regole della cybersecurity
    • Cyber risk: perché la compliance DORA e NIS2 non basta a proteggere le imprese
    • Centro Software inaugura un data center proprietario in Italia per rafforzare i servizi alle imprese manifatturiere
    • Zuccato evolve i propri processi con SAP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Cyber risk: perché la compliance DORA e NIS2 non basta a proteggere le imprese

    Cyber risk: perché la compliance DORA e NIS2 non basta a proteggere le imprese

    By Redazione LineaEDP01/07/20265 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Essere conformi ai nuovi regolamenti europei è solo il primo passo: ecco perché governance, resilienza operativa e cyber insurance sono fondamentali per gestire il cyber risk

    Cyber risk
    Paolo Tanfoglio, CEO di Lokky Agency

    Negli ultimi anni il cyber risk è passato da rischio tecnologico a rischio strategico d’impresa. L’entrata in vigore di DORA1 e NIS22 segna un cambio di paradigma a livello aziendale: la sicurezza informatica rafforzata dai due regolamenti europei non è più soltanto una questione IT, ma una componente centrale della governance aziendale e della continuità operativa. Tuttavia, la nuova stagione regolatoria non è garanzia assoluta rispetto al cyber risk. Di fatto essere compliant non significa automaticamente essere protetti, né dagli attacchi né sul piano assicurativo.

    I dati dimostrano come le minacce cyber continuino a dilagare. In particolare, secondo l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), il ransomware resta uno degli attacchi più impattanti per le organizzazioni europee, mentre phishing, sfruttamento delle vulnerabilità e attacchi DDoS continuano a crescere. Nel report ENISA Threat Landscape 2025 sono stati analizzati ben 4.875 incidenti cyber in Europa in un solo anno, con il 76,7% degli episodi legati ad attacchi DDoS e un forte incremento delle attività hacktiviste e dei rischi sulla supply chain digitale3. Anche l’Italia registra un’elevata esposizione a queste minacce. I dati dell’Associazione Italiana per la Sicurezza Informatica (Clusit) evidenziano infatti una crescita costante degli attacchi cyber gravi. Il nostro Paese rappresenta ben circa il 10% degli incidenti globali censiti, con un aumento registrato del 42% rispetto al 2024. In particolare, la maggioranza degli incidenti italiani si riferisce alla categoria Cybercrime, con una percentuale pari a circa il 61%4.

    In questo scenario l’introduzione di DORA e NIS2 rappresenta una svolta significativa. La prima direttiva impone al settore finanziario europeo nuovi obblighi sulla resilienza operativa digitale: governance dei rischi ICT, test periodici, gestione degli incidenti, monitoraggio continuo dei fornitori tecnologici e responsabilità dirette del management. La seconda, invece, amplia enormemente il perimetro delle organizzazioni coinvolte rispetto alla precedente direttiva NIS, includendo settori essenziali e importanti come energia, trasporti, manifattura, sanità, digitale, alimentare e pubblica amministrazione. L’obiettivo europeo è chiaro: alzare il livello minimo di sicurezza e ridurre la vulnerabilità sistemica delle filiere digitali. Tuttavia la compliance normativa non può più considerarsi una garanzia di copertura, bensì un’infrastruttura resiliente e quindi un prerequisito minimo di accesso al mercato, compreso quello assicurativo.

    Sempre più compagnie cyber richiedono infatti il rispetto di standard avanzati per concedere o rinnovare una polizza: autenticazione multifattore, segmentazione delle reti, backup isolati, vulnerability management, procedure di incident response e controllo della supply chain. Ciononostante, anche in presenza di piena compliance normativa, gli assicuratori possono limitare o escludere specifici eventi sulla base delle condizioni contrattuali o della valutazione tecnica del rischio. Negli ultimi anni il mercato cyber insurance ha infatti ridotto i parametri dei criteri di underwriting. L’aumento dei ransomware e di sinistri in tale ambito ha spinto molte compagnie a introdurre clausole più restrittive, franchigie elevate, limiti sui danni indiretti ed esclusioni relative a eventi sistemici, supply chain attack o atti di cyber warfare. Il risultato è un crescente disallineamento tra requisiti normativi e condizioni assicurative.

    In pratica, un’azienda può essere formalmente conforme a DORA o NIS2 ma non avere una copertura realmente adeguata nel momento di un incidente. La compliance restituisce un’istantanea del rispetto degli obblighi regolatori; mentre l’assicurazione valuta la probabilità concreta e dinamica che un evento produca un danno economico rilevante. Questo cambiamento è evidente anche nelle modalità di valutazione del rischio. Le compagnie non si limitano più a verificare checklist o audit statici. Oggi il rischio cyber viene monitorato in modo continuo attraverso vulnerability scan, threat intelligence e assessment periodici. La valutazione diventa dinamica, perché il profilo di rischio di un’impresa cambia costantemente con nuovi fornitori, nuove vulnerabilità e nuovi modelli di attacco.

    Tuttavia, questo tipo di monitoraggio non è ancora uniformemente diffuso. Secondo ENISA, quasi un’organizzazione europea su tre non ha effettuato alcuna valutazione di cybersecurity negli ultimi 12 mesi, mentre il 28% impiega oltre tre mesi per correggere vulnerabilità critiche. Inoltre, il 76% delle organizzazioni dichiara difficoltà nell’attrarre professionisti cybersecurity qualificati e il 71% fatica a trattenerli5. Questi elementi incidono direttamente anche sulla capacità delle imprese di ottenere coperture assicurative sostenibili. Per le imprese cambia quindi il perimetro stesso del rischio. La cybersecurity non può più essere gestita come un semplice adempimento normativo affidato all’IT o alla funzione compliance; serve un approccio integrato che unisca governance, risk management, resilienza operativa e trasferimento assicurativo del rischio. La compliance è necessaria, ma non sufficiente. Diventa la base minima da cui partire per costruire una strategia di resilienza più ampia.

    Per questo diventa fondamentale il coordinamento tra CIO, CISO, risk manager e broker assicurativo. Molte aziende scoprono troppo tardi che esiste un gap tra ciò che la normativa richiede e ciò che la polizza realmente copre, incorrendo in coperture economiche inadeguate, spesso proprio nel momento del sinistro. In questo scenario, anche il ruolo degli intermediari assicurativi è destinato a evolvere profondamente. Broker e consulenti non possono più limitarsi a proporre coperture standard, ma devono aiutare imprese e professionisti a leggere il disallineamento tra compliance normativa e protezione effettiva, costruendo strategie aderenti al profilo di rischio reale dell’organizzazione.

    Questo significa supportare le aziende nella valutazione delle vulnerabilità residue, nell’analisi delle esclusioni contrattuali, nella definizione dei massimali adeguati e nell’integrazione tra prevenzione, incident response e trasferimento del rischio. In un contesto in cui gli attacchi diventano più sofisticati e interconnessi, la figura dell’intermediario assume un ruolo sempre più consulenziale e strategico. DORA e NIS2 rappresentano quindi un passaggio fondamentale per rafforzare la resilienza digitale europea, ma non eliminano il cyber risk. Al contrario, lo rendono più evidente, più misurabile e più strettamente collegato alla sostenibilità economica delle imprese. In questo scenario, la compliance rappresenta solo un traguardo intermedio, verso un orizzonte di rischio sempre più complesso e stratificato.

    A firma Paolo Tanfoglio, CEO di Lokky Agency

    Note

    1 https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en

    2 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555

    3 https://www.enisa.europa.eu/sites/default/files/2026-01/ENISA%20Threat%20Landscape%202025_v1.2.pdf

    4 https://clusit.it/rapporto-clusit/

    5 https://www.enisa.europa.eu/news/whats-driving-cybersecurity-investments-and-where-lie-the-challenges

    Lokky Agency
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Patch management superato? L’AI cambia le regole della cybersecurity

    01/07/2026

    Achilles Risk Screening identifica e mitiga i rischi nascosti su scala globale

    30/06/2026

    Data center e infrastrutture critiche: cinque priorità per la sicurezza

    30/06/2026
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    TrendAI rafforza l’ecosistema: partnership, competenze e innovazione per la cybersecurity del futuro
    TrendAI punta sul canale: competenze, consulenza e servizi gestiti al centro della strategia
    Perché sono importanti i protocolli?
    Titanium: l’evoluzione del Motion Control
    IA in azienda: obblighi normativi, governance e protezione dei dati
    Defence Tech

    Patch management superato? L’AI cambia le regole della cybersecurity

    01/07/2026

    Cyber risk: perché la compliance DORA e NIS2 non basta a proteggere le imprese

    01/07/2026

    Achilles Risk Screening identifica e mitiga i rischi nascosti su scala globale

    30/06/2026

    Data center e infrastrutture critiche: cinque priorità per la sicurezza

    30/06/2026
    Report

    IA in crescita, ma il ROI dipende dalla preparazione delle persone

    29/06/2026

    LLM e Cybersecurity: la fiducia nell’AI può diventare un rischio

    23/06/2026

    AI sul lavoro: la vera sfida non è adottarla, ma trasformarla in valore

    23/06/2026

    Agenti AI: cresce la fiducia dei consumatori, ma resta aperta la sfida della scalabilità

    23/06/2026
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    LineaEDP è una testata giornalistica appartenente al gruppo BitMAT Edizioni, una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2026 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.