LET’S TALK & CONNECT

La roadmap dei diversi impianti normativi procede a tappe serrate e nel corso del 2026 le imprese affronteranno chiamate su vari fronti per implementare e rendere operativi i vari obblighi previsti.  

Nei prossimi mesi, normative come NIS2, Cyber Resilience Act, Data Act e AI Act entreranno nella fase pienamente operativa, confermando il ruolo sempre più centrale della gestione del rischio e della protezione dei dati nell’agenda delle autorità. Un’azione sinergica resa necessaria dal contesto europeo ed internazionale che pone i dati al centro della trasformazione digitale rendendo prioritaria una strategia integrata in cui privacy e sicurezza informatica divengono i pilastri essenziali per la gestione responsabile dei dati.

Queste normative, rivolte al mondo delle imprese, rappresentano i capisaldi attorno ai quali prende forma il programma di digitalizzazione europeo, con ambiti di intervento che interessano l’intero ciclo di vita aziendale lungo tutta la filiera, dai produttori ai fornitori, fino ai dipendenti, ai clienti e ai consumatori finali.

Partendo dalla NIS2, la cui applicazione a tappe è stata inaugurata nel corso dello scorso anno con la registrazione alla piattaforma digitale di ACN, dopo l’obbligo di notifica degli incidenti significativi dello scorso gennaio 2026, vedrà la prossima deadline rilevante il prossimo ottobre. In quella data le imprese soggette alla normativa dovranno completare l’adozione delle misure di sicurezza tecniche e organizzative. Queste ultime definite nell’articolo 21 richiedono un approccio multidisciplinare dal momento che coinvolgono vari ambiti a partire dalla sicurezza dei sistemi informativi e di rete, fino alle politiche di analisi dei rischi, gestione degli incidenti, e pratiche per la continuità operativa (backup, disaster recovery). Da non trascurare poi il tema della formazione delle policy sulla crittografia, e della sicurezza delle autenticazioni.

Dopo, quindi, una fase formale di iscrizione/registrazione/comunicazione dei referenti si passerà ad una pienamente operativa per le imprese che dovranno agire sul piano pratico non solo per raggiungere la piena compliance, ma anche per essere pronte in caso di eventuali controlli da parte dell’autorità. Merita ricordare che in caso di mancata conformità sono previste sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale per i soggetti essenziali e la responsabilità personale per gli amministratori, con conseguenze non trascurabili sia sul piano dell’esclusione da appalti pubblici che della brand reputation.

La sicurezza informatica è il cuore pulsante anche del Cyber Resilience Act focalizzato sui prodotti che incorporano elementi digitali, quali ad esempio dispositivi IoT, software, elettronica di consumo e device intelligenti. Sono inclusi nel suo raggio d’azione anche i fornitori di servizi cloud, i data center e le soluzioni software-as-a-service.

Emanato nel dicembre 2024 pur divenendo pienamente operativo nel dicembre 2027 prevede alcuni adempimenti anche per il prossimo settembre 2026, ovvero l’obbligo per i produttori di notificare al CSIRT le vulnerabilità sfruttate, utilizzando la piattaforma Enisa, ovvero l’agenzia UE per la cybersicurezza. Dovranno essere segnalati anche incidenti gravi: entro 24 ore attraverso un early warning, seguito entro 72 ore da notifica completa.

Il Data Act pone, invece, al centro l’accesso e la gestione dei dati industriali generati dai prodotti connessi, stabilendo disposizioni precise su condivisione dei dati IoT, clausole contrattuali, portabilità tra servizi cloud, interoperabilità e salvaguardia contro accessi indebiti. Ne deriva la necessità, per imprese e fornitori, di aggiornare prodotti, contratti e processi. La cornice normativa chiama in causa molteplici attori dai produttori di prodotti connessi ai fornitori di servizi digitali correlati fino agli utenti professionali e consumatori, importatori, distributori e terze parti. Entrato in vigore nel settembre 2025 vedrà scattare alcuni obblighi nei prossimi mesi. Nello specifico, dal prossimo settembre non sarà consentita l’immissione sul mercato di prodotti che, per impostazione predefinita, non assicurino un accesso ai dati facile e gratuito.

Ultimo della nostra rassegna, non certo per importanza, l’AI ACT che fissa per agosto 2026 il termine entro cui i fornitori di sistemi classificati ad alto rischio dovranno adempiere ad una serie di disposizioni, tra cui la valutazione di conformità, monitoraggio, registrazione nella banca dati europea. Per i sistemi ad alto rischio certificati CE gli obblighi scatteranno nel 2027.

Come abbiamo visto alla crescente emanazione di specifiche normative che vedranno le imprese impegnate in prima linea nei prossimi mesi corrispondo obblighi che costituiscono al tempo stesso una preziosa occasione per sfruttare appieno le opportunità offerte dalla digitalizzazione.

Avv. Valentina Frediani
Founder & CEO, Colin & Partners