News
Maggio 20, 2025
Nell’arco di un solo anno, l’Unione Europea ha introdotto importanti aggiornamenti normativi, che mirano a elevare in modo significativo il livello di protezione dei dati e di sicurezza digitale delle aziende. Due normative, in particolare, stanno ridefinendo gli standard della cybersecurity europea: il regolamento DORA (Digital Operational Resilience Act) e la direttiva NIS2. Entrambe impongono alle aziende nuovi obblighi specifici che, tra le altre cose, riguardano direttamente la sicurezza delle applicazioni e dei dispositivi mobili utilizzati per erogare servizi sempre più critici.
Il Digital Operational Resilience Act nasce con l’obiettivo di rafforzare la capacità operativa digitale di banche, compagnie assicurative e altre entità finanziarie. DORA rappresenta una rivoluzione normativa, in quanto obbliga esplicitamente queste organizzazioni a dotarsi di procedure dettagliate per gestire il rischio ICT, prevenire interruzioni operative, reagire prontamente agli incidenti e garantire la continuità operativa anche a fronte di minacce significative.
Questa normativa implica un cambio radicale di approccio: le aziende del settore finanziario devono dotarsi di veri e propri sistemi proattivi e di piani di test periodici che valutino la resilienza digitale delle proprie infrastrutture ICT. Questi test devono simulare scenari realistici di cyberattacchi e interruzioni, garantendo così che l’organizzazione sia effettivamente pronta a reagire e ripartire senza gravi perdite operative o finanziarie.
Ma come si traduce tutto questo in pratica per app e dispositivi mobili?
Oggi app e dispositivi mobili sono sempre più utilizzati come punto di accesso ai servizi finanziari. Applicazioni bancarie, servizi di pagamento, trading online, gestione patrimoniale, consulenza finanziaria. Tutti servizi che transitano quotidianamente attraverso smartphone e tablet. Di conseguenza, sotto DORA, le app e i device diventano veri e propri «asset critici». Vanno protetti con criteri molto più stringenti rispetto al passato: crittografia avanzata, gestione puntuale delle vulnerabilità, monitoraggio continuo e formazione specifica del personale tecnico e operativo, ma anche sensibilizzazione dei propri clienti ed utenti.
Parallelamente al regolamento DORA, la Direttiva NIS2 aggiorna e rafforza la precedente direttiva NIS, innalzando il livello minimo di sicurezza digitale in tutti i settori critici: energia, sanità, telecomunicazioni, trasporti, pubblica amministrazione, fino al settore manifatturiero.
NIS2 rappresenta un vero cambio di paradigma, con obblighi chiari per tutte le aziende dei settori coinvolti. È richiesto di garantire:
Una gestione rigorosa e documentata dei rischi di cybersecurity
Un sistema efficace di gestione degli incidenti con obblighi stringenti di reporting tempestivo
Un forte controllo sulla sicurezza della catena di approvvigionamento ICT (supply-chain)
Anche in questo caso, le applicazioni e i dispositivi mobili hanno un ruolo fondamentale. Perché la digitalizzazione di massa e l’uso sempre più intenso di device sia aziendali che personali per uso aziendale (BYOD) ha moltiplicato i punti d’ingresso per potenziali attacchi. NIS2 riconosce esplicitamente questo rischio e impone alle aziende di integrare nelle loro policy di sicurezza standard elevati anche per smartphone, tablet e app aziendali.
Questo significa:
Misure avanzate per rendere resilienti le app da attacchi esterni e interni
Politiche aziendali chiare per l’uso di device mobili (MDM, UEM)
Sistemi per la gestione remota dei dispositivi e la cancellazione sicura dei dati
Formazione del personale sulle pratiche di sicurezza mobile
Procedure precise per prevenire e gestire incidenti che coinvolgono app e dispositivi mobile
Entrambe le normative mettono la cybersecurity mobile al centro della compliance aziendale.
Per le organizzazioni, questo implica ripensare le proprie strategie di sicurezza applicativa e mobile, integrando queste componenti all’interno di un quadro più ampio di gestione del rischio cyber. Significa anche prevedere budget, risorse e competenze dedicate, poiché una mancata compliance può tradursi in pesanti sanzioni, oltre che in danni economici e reputazionali rilevanti.
Per affrontare concretamente queste nuove sfide e trasformarle in opportunità di crescita e sviluppo, il prossimo Data Protection Forum 2025 rappresenta l’evento da non perdere.
Organizzato il prossimo 6 giugno a Treviso, questo appuntamento riunisce figure di spicco in tema di sicurezza dei dati, privacy e cybersecurity. Mobisec partecipa come sponsor proprio perché convinta dell’importanza strategica di queste nuove normative e del loro impatto diretto su chi sviluppa e gestisce applicazioni e dispositivi mobili.
Durante l’evento avrai la possibilità di ascoltare esperti, esperienze, confrontarti con altri professionisti del settore e acquisire strumenti e metodi per affrontare con sicurezza e pragmatismo il percorso di adeguamento.
Registrati gratuitamente sul sito ufficiale dell’evento:
www.dataprotectionforum.eu
Non perdere questa occasione per allineare la tua azienda ai nuovi standard europei di cybersecurity. Ti aspettiamo a Treviso.