Confronti e approfondimenti

DORA, NIS2 e AI Act: come coordinare cyber resilience, supply chain e governance AI

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

DORA, NIS2 e AI Act nascono per esigenze diverse, ma nelle aziende digitali si incontrano su governance, rischi ICT, supply chain, incidenti, evidenze e responsabilità del management. DORA riguarda il settore finanziario e la resilienza operativa digitale; NIS2 riguarda la cybersecurity di soggetti essenziali e importanti; AI Act riguarda sistemi di intelligenza artificiale e gestione dei rischi connessi. Coordinare questi framework evita duplicazioni e crea una compliance più robusta.

Verifica se la tua organizzazione rientra in DORA

Perimetro, cinque pilastri, gap analysis e report audit-ready.

Verifica gratis →

Perché questo tema è importante

Le aziende non vivono le normative in compartimenti stagni. Un intermediario finanziario può essere soggetto a DORA, usare fornitori coinvolti da NIS2 e adottare sistemi AI per antifrode, customer care, scoring, monitoraggio o automazione interna. Lo stesso incidente può avere impatti cyber, operativi, privacy, contrattuali e, in futuro, anche AI governance.

La compliance integrata non significa fondere tutto in un unico documento. Significa costruire controlli comuni dove possibile: risk assessment, vendor management, incident workflow, asset inventory, business continuity, formazione, audit trail e reporting al management. Poi ogni normativa mantiene requisiti e fonti proprie.

Quadro normativo e fonti ufficiali

DORA è il regolamento UE sulla resilienza operativa digitale del settore finanziario. NIS2 è la direttiva UE sulla cybersecurity di soggetti essenziali e importanti, recepita dagli Stati membri. AI Act è il regolamento UE sull’intelligenza artificiale, con obblighi proporzionati al rischio dei sistemi. Per ciascuna normativa occorre fare riferimento alle fonti ufficiali e al perimetro applicabile, evitando estensioni automatiche non verificate.

Le fonti ufficiali da mantenere come riferimento sono il testo del Regolamento (UE) 2022/2554 su EUR-Lex, le pagine delle Autorità europee di vigilanza e le comunicazioni operative nazionali. Per l’Italia, le pagine di Banca d’Italia su incident reporting e Register of Information sono particolarmente importanti per gli intermediari di competenza.

Cosa significa per l’azienda

Per l’azienda, il coordinamento parte da una mappa comune: entità, servizi, processi, sistemi, fornitori, dati, sistemi AI, incidenti e ruoli. Da questa mappa si derivano viste normative diverse. Il CISO vede rischi e incidenti; il compliance officer vede requisiti e evidenze; il vendor manager vede fornitori; il board vede rischio residuo e priorità.

Il vantaggio è evitare che ogni normativa produca un proprio inventario, un proprio questionario, una propria matrice fornitori e un proprio incident workflow. La frammentazione aumenta costi e riduce qualità.

Cosa deve fare concretamente l’organizzazione

Definire il perimetro separato di DORA, NIS2 e AI Act.
Creare un inventario comune di servizi, asset, fornitori e sistemi AI.
Mappare controlli comuni: risk management, incidenti, fornitori, continuità, formazione e audit.
Mantenere requisiti specifici per ciascuna normativa e fonti ufficiali dedicate.
Integrare vendor risk e supply chain, distinguendo fornitori ICT, fornitori critici e provider AI.
Creare dashboard per normativa e dashboard executive trasversale.
Aggiornare il modello quando cambiano servizi, fornitori, sistemi AI o indicazioni ufficiali.

Tabella operativa di lettura

| Area | Domanda operativa | Evidenza utile | Modulo GAPOFF collegato | |---|---|---|---| | Perimetro | Quali servizi, entità e funzioni sono coinvolti? | Mappa perimetro, owner, servizi ICT e funzioni supportate | DORA Compliance | | Fornitori ICT | Quali provider supportano processi critici o importanti? | Contratti, questionari, classificazione criticità, ROI | Vendor Risk Management | | Incidenti | Come viene gestito e documentato un evento ICT? | Timeline, classificazione, decisioni, report, post-mortem | Incident & Breach Ops | | Continuità | Il servizio può essere ripristinato entro obiettivi definiti? | BIA, RTO/RPO, test, lesson learned, remediation | Business Continuity | | Evidenze | Cosa si può mostrare ad audit, clienti o management? | Evidence pack, audit trail, policy, report periodici | Trust Center |

Esempio pratico

Una fintech usa un provider cloud, un software antifrode basato su AI e un outsourcer per assistenza clienti. DORA richiede di valutare resilienza ICT e fornitori; NIS2 può essere rilevante per alcuni attori della supply chain; AI Act richiede governance sul sistema AI se ricade in categorie regolamentate. La piattaforma comune collega provider, sistema AI, servizio finanziario, controlli di sicurezza, incident workflow e evidenze, ma mantiene viste normative distinte.

Errori comuni da evitare

Creare tre programmi compliance completamente separati.
Usare una sola checklist generica per normative diverse.
Non mappare sistemi AI dentro asset e vendor inventory.
Non coordinare incident workflow tra cyber, DORA, privacy e AI.
Attribuire automaticamente obblighi NIS2 o AI Act senza verifica del perimetro.
Non fornire al management una vista aggregata del rischio digitale.

Come GAPOFF aiuta

GAPOFF può supportare un modello integrato grazie a moduli distinti ma collegabili: DORA Compliance per resilienza finanziaria, NIS2 Compliance per misure cyber e incidenti, AI Act per governance dei sistemi AI, Vendor Risk Management per supply chain e Incident & Breach Ops per eventi. Ogni normativa mantiene i propri requisiti, ma asset, fornitori, evidenze e remediation possono essere riutilizzati in modo controllato.

La DORA non si gestisce con Excel.

Perimetro, rischio ICT, incidenti, Register of Information, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica DORA, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, NIS2 e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo DORA →

Checklist operativa

Perimetri normativi separati
Inventario comune asset/servizi/fornitori
Sistemi AI censiti
Controlli comuni identificati
Workflow incidenti integrato
Dashboard per normativa disponibili
Vista executive aggregata
Aggiornamenti normativi monitorati

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo DORA →

FAQ

DORA e NIS2 si applicano alle stesse aziende?

Non necessariamente. DORA riguarda specifiche entità finanziarie; NIS2 riguarda soggetti essenziali o importanti in settori definiti. Il perimetro va valutato caso per caso.

AI Act entra sempre nei progetti DORA?

No. Entra quando l’organizzazione usa o fornisce sistemi AI rilevanti ai sensi dell’AI Act. Tuttavia, censire sistemi AI dentro asset e processi aiuta la governance.

Conviene avere un unico sistema per più normative?

Sì, se il sistema mantiene distinte le fonti normative ma condivide asset, fornitori, controlli, evidenze e remediation dove possibile.

Qual è il rischio di un approccio integrato?

Il rischio è semplificare troppo. L’integrazione deve evitare duplicazioni, non cancellare requisiti specifici o valutazioni di perimetro.

Modulo GAPOFF DORA

Perimetro, cinque pilastri DORA, Register of Information, gap analysis, remediation con owner e scadenze, vendor risk ICT, incidenti e report audit-ready. Cross-mapping automatico con NIS2, ISO 27001 e GDPR.

Vai al modulo DORA →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

FAQ