NIS2, DORA e AI Act: Come le Certificazioni ISO Aiutano la Compliance UE

Gli ultimi tre anni hanno visto l'Unione Europea varare una serie di regolamenti che stanno ridisegnando gli obblighi di cybersecurity, resilienza operativa e governance dell'intelligenza artificiale per migliaia di organizzazioni. NIS2, DORA, AI Act, Cyber Resilience Act, CSRD: sigle che oggi atterrano sul tavolo di CTO, CISO e responsabili qualità. Se stai cercando di orientarti in questo labirinto normativo, le certificazioni ISO possono fare molto di più che aiutarti a spuntare caselle: possono diventare la spina dorsale del tuo programma di compliance europeo. Ecco la mappa pratica, norma per norma.

Il quadro normativo UE 2024-2026: NIS2, DORA, AI Act, CRA, CSRD

Cinque provvedimenti principali, ciascuno con ambito, destinatari e scadenze diverse, compongono il quadro normativo europeo che si sta consolidando tra il 2024 e il 2026.

La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, estende gli obblighi di cybersecurity a un numero molto più ampio di soggetti rispetto alla precedente NIS1: non solo operatori di servizi essenziali, ma anche entità importanti nel manifatturiero, nei servizi digitali e nella ricerca. Il recepimento italiano prevede la registrazione obbligatoria sul portale ACN e l'adozione di misure di sicurezza proporzionate al rischio.

Il Regolamento DORA (UE 2022/2554), in vigore dal 17 gennaio 2025, si applica all'intero settore finanziario europeo: banche, assicurazioni, società di investimento, fornitori ICT critici. L'AI Act (UE 2024/1689) classifica i sistemi AI per livello di rischio e impone obblighi progressivi ai fornitori e utilizzatori di sistemi ad alto rischio. Il Cyber Resilience Act (CRA, UE 2024/2847) introduce requisiti di cybersecurity obbligatori per i prodotti con elementi digitali immessi sul mercato UE, con piena applicazione dal 2027. La CSRD (UE 2022/2464) estende e standardizza gli obblighi di rendicontazione di sostenibilità per le grandi imprese, con i primi report ESRS già dovuti per l'esercizio 2024.

NIS2 e ISO 27001: mappatura dei requisiti

La ISO/IEC 27001 è lo strumento più direttamente utile per la compliance NIS2. La mappatura tra i requisiti dell'articolo 21 della Direttiva e i controlli dell'Allegato A della ISO 27001:2022 è pressoché completa:

• Politiche di sicurezza delle informazioni (art. 21, lett. a) — controlli 5.1 e 5.2 della ISO 27001:2022
• Gestione degli incidenti (art. 21, lett. b) — controlli 5.24, 5.25, 5.26
• Continuità operativa e gestione delle crisi (art. 21, lett. c) — controlli 5.29, 5.30
• Sicurezza della catena di approvvigionamento (art. 21, lett. d) — controlli 5.19, 5.20, 5.21
• Sicurezza nello sviluppo e manutenzione dei sistemi (art. 21, lett. e) — controlli 8.25-8.32
• Formazione e sensibilizzazione (art. 21, lett. g) — controlli 6.3 e 8.7
• Crittografia (art. 21, lett. h) — controllo 8.24

Avere la certificazione ISO 27001 non equivale automaticamente alla conformità NIS2 — la Direttiva prevede obblighi aggiuntivi come la notifica degli incidenti all'ACN entro 24 ore e la responsabilità degli organi di gestione — ma riduce drasticamente il gap di conformità e fornisce una struttura documentale già pronta per le verifiche dell'autorità competente. Per le organizzazioni che devono registrarsi all'ACN, un ISMS certificato ISO 27001 è il punto di partenza più solido che tu possa avere.

DORA e resilienza operativa digitale: ISO 27001, 22301, 20000

Il Regolamento DORA richiede un approccio integrato alla resilienza operativa digitale che va ben oltre la sola cybersecurity. Tre standard ISO, usati in combinazione, coprono sistematicamente i pilastri del framework DORA.

La ISO/IEC 27001 copre il pilastro della gestione del rischio ICT (Capitolo II DORA, articoli 6-16): identificazione delle risorse, valutazione del rischio, implementazione dei controlli, monitoraggio continuo. La ISO 22301 (continuità operativa) copre il pilastro della continuità ICT (art. 11 DORA): Business Impact Analysis, Recovery Time Objective, Recovery Point Objective, piani di continuità, test periodici. DORA richiede che i piani siano testati almeno annualmente: la ISO 22301 struttura questo processo in modo sistematico e verificabile. La ISO/IEC 20000-1 (gestione dei servizi IT) supporta il pilastro della gestione dei fornitori terzi critici (Capitolo V DORA, articoli 28-44): contratti con fornitori critici, gestione delle dipendenze, exit strategy.

Per chi è già certificato ISO 27001, circa il 60-70% dei requisiti DORA è già coperto. Il lavoro aggiuntivo riguarda i test di resilienza avanzati (Threat-Led Penetration Testing) e la gestione strutturata dei fornitori ICT critici, per cui ISO 22301 e ISO 20000 offrono il framework complementare.

AI Act e ISO/IEC 42001: gestione dei sistemi AI

La ISO/IEC 42001:2023 è il primo standard internazionale per i sistemi di gestione dell'intelligenza artificiale (AIMS) ed è entrato in scena mentre l'AI Act completava il suo iter legislativo. Per i sistemi AI ad alto rischio (allegato III del Regolamento: infrastrutture critiche, istruzione, occupazione, servizi essenziali, applicazione della legge), i fornitori devono implementare un sistema di gestione della qualità documentato, condurre valutazioni di conformità, garantire la sorveglianza umana e mantenere la documentazione tecnica aggiornata.

La ISO/IEC 42001 fornisce esattamente questo framework: governance AI, gestione del rischio AI, ciclo di vita dei sistemi, trasparenza, monitoraggio post-deployment. La mappatura non è perfetta — l'AI Act impone obblighi specifici come la registrazione nel database EU AI che vanno oltre lo scope della norma — ma la certificazione dimostra all'autorità di vigilanza l'adozione di un approccio sistematico e auditabile alla governance AI. In un contesto in cui molte organizzazioni cercano ancora da dove cominciare, avere uno standard riconosciuto come riferimento è un vantaggio concreto.

Cyber Resilience Act (CRA) e standard di prodotto

Il Cyber Resilience Act è rivolto ai produttori di prodotti con elementi digitali: chi immette sul mercato UE dispositivi IoT, software o hardware connesso dovrà dimostrare la conformità ai requisiti essenziali di cybersecurity prima della commercializzazione. L'approccio del legislatore è quello della presunzione di conformità attraverso standard armonizzati.

In questo contesto, la ISO/IEC 27001 è rilevante per la componente organizzativa (processi di sviluppo sicuro, gestione delle vulnerabilità, risposta agli incidenti). I requisiti tecnici di prodotto fanno riferimento a standard specifici come l'IEC 62443 per i sistemi di controllo industriale e IoT, e alle norme della serie ISO/IEC 15408 (Criteri Comuni) per la valutazione della sicurezza dei prodotti IT. Per i produttori di software, la ISO/IEC 27034 (sicurezza delle applicazioni) offre un framework per le pratiche di sviluppo sicuro richieste dal CRA. Il CRA richiede una revisione profonda del processo di sviluppo e della supply chain software: gli standard ISO citati sono il punto di partenza più strutturato disponibile.

CSRD e certificazioni ambientali/ESG

La CSRD impone alle grandi imprese di rendicontare le proprie performance di sostenibilità secondo gli standard ESRS (European Sustainability Reporting Standards). Le certificazioni ISO entrano in gioco come fonti di dati verificati e struttura di gestione per le aree di rendicontazione più critiche.

La ISO 14001 supporta direttamente la rendicontazione degli indicatori ambientali (ESRS E1-E5): emissioni, consumo energetico, gestione delle risorse idriche, biodiversità, rifiuti. Chi ha già un SGSA certificato ISO 14001 dispone della struttura di monitoraggio e misurazione necessaria per alimentare la reportistica ESRS. La ISO 50001 (gestione dell'energia) è particolarmente rilevante per gli obiettivi climatici (ESRS E1): riduzione emissioni Scope 1 e Scope 2, efficienza energetica, transizione verso fonti rinnovabili. La ISO 45001 supporta la rendicontazione degli indicatori sociali sulla salute e sicurezza (ESRS S1), mentre la ISO 37001 e la ISO 37301 contribuiscono alla dimensione di governance (ESRS G1). La CSRD richiede inoltre che le informazioni siano soggette ad assurance: le certificazioni ISO, avendo già un audit esterno periodico, forniscono una base documentale più solida per il processo di assurance.

Strategia: come usare le certificazioni ISO come acceleratore di compliance

Il suggerimento principale è di smettere di ragionare sulle certificazioni ISO e sulla compliance normativa come due percorsi paralleli e iniziare a vederle come un unico progetto integrato. Il principio chiave è la High Level Structure (HLS): tutte le norme ISO di sistema di gestione condividono le stesse clausole di base (contesto, leadership, pianificazione, supporto, operatività, valutazione, miglioramento), il che significa che chi ha già implementato una norma ISO può integrare le successive con sforzo marginale.

Una strategia pratica per gestire NIS2, DORA e AI Act contemporaneamente:

1. Parti dalla ISO/IEC 27001 come fondamenta: copre la maggior parte dei requisiti NIS2 e una quota rilevante di DORA. È lo standard con il ROI più immediato in termini di compliance.
2. Aggiungi ISO 22301 per completare il framework DORA sulla continuità operativa e soddisfare i requisiti BCP richiesti anche da NIS2.
3. Valuta ISO/IEC 42001 se utilizzi o sviluppi sistemi AI: i requisiti AI Act per i sistemi ad alto rischio diventano applicabili in modo scaglionato, ma prepararsi per tempo evita corse dell'ultimo minuto.
4. Integra ISO 14001 e ISO 50001 se sei soggetto a CSRD: la struttura di monitoraggio diventa l'input per la reportistica ESRS.

Un avvertimento finale: le certificazioni ISO sono strumenti potenti, ma solo se i sistemi di gestione sottostanti sono realmente operativi. Un certificato ottenuto senza che i processi siano davvero in funzione è un'illusione di compliance che si sgretola al primo audit regolatorio. La vera accelerazione avviene quando il sistema è vivo, aggiornato e usato quotidianamente dal management.

FAQ

La certificazione ISO 27001 garantisce la conformità a NIS2?
No, non automaticamente. La ISO 27001 copre la maggior parte dei requisiti tecnici dell'articolo 21 NIS2, ma la Direttiva prevede obblighi aggiuntivi come la registrazione all'ACN, la notifica degli incidenti entro 24 ore e la responsabilità degli organi di gestione. La certificazione riduce significativamente il gap di conformità, ma va integrata con un'analisi degli obblighi specifici applicabili alla tua organizzazione.

DORA si applica solo alle banche?
No. Il perimetro include banche, istituti di pagamento, società di investimento, imprese di assicurazione, gestori di fondi, agenzie di rating, fornitori di servizi di cripto-asset e — soprattutto — i fornitori terzi di servizi ICT che li servono. Se la tua azienda fornisce servizi cloud o software al settore finanziario, potrebbe essere classificata come fornitore terzo critico.

Quando si applicano i requisiti AI Act per i sistemi ad alto rischio?
L'AI Act è in vigore dal 1° agosto 2024. I sistemi a rischio inaccettabile sono vietati da febbraio 2025. I sistemi ad alto rischio negli usi critici devono essere conformi entro agosto 2026, gli altri sistemi ad alto rischio entro agosto 2027.

ISO/IEC 42001 è già richiesta dal mercato?
È uno standard giovane (dicembre 2023), ma la domanda cresce rapidamente spinta dall'AI Act e dalle politiche di procurement di grandi aziende e PA. Chi si certifica ora acquisisce un vantaggio di posizionamento in un mercato che nei prossimi due anni vedrà la certificazione diventare un requisito di fatto in molti contesti B2B e negli appalti pubblici con componenti AI.

Navigare il quadro normativo europeo 2024-2026 è complesso, ma non impossibile con gli strumenti giusti. Le certificazioni ISO, usate strategicamente, offrono una struttura di governance che parla contemporaneamente il linguaggio degli auditor ISO e quello delle autorità di vigilanza europee. Il vero vantaggio non è avere più certificati, ma avere un sistema integrato che funziona davvero.