La prossima mossa di Bruxelles: cosa viene dopo NIS2 e DORA

NIS2 e DORA erano solo la Fase 1. AI Act, Data Act, CRA, EUCS e le nuove norme sulla responsabilità stanno per definire la Fase 2. Ecco la roadmap concreta che i responsabili GRC devono prepararsi ad affrontare.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min di lettura
Brussels' Next Move: What Comes After NIS2 and DORA

Bruxelles non rallenta. Se NIS2 e DORA sono sembrati pesanti, la prossima ondata, già pubblicata, legiferata o in fase di negoziazione finale, è più ampia, più severa e più operativa.

L'era del «un regolamento ogni qualche anno» è finita. Siamo entrati nella fase della regolazione digitale continua.

Ecco cosa sta concretamente per arrivare, con implicazioni chiare e operative per ogni CISO, DPO e Digital Compliance Officer.

1. Applicazione dell'AI Act (2025–2026): la nuova bestia della governance

L'AI Act è il regolamento più ambizioso dell'UE dai tempi del GDPR. A differenza di NIS2, non si limita alla cybersecurity: disciplina come l'intelligenza viene costruita, testata, distribuita, monitorata e documentata.

Ciò che le organizzazioni dovranno implementare (non teoria, realtà):

  • Classificazione del rischio AI (vietato / alto rischio / limitato / uso generale)
  • Pacchetti di documentazione del modello (dati di addestramento, valutazione, architettura)
  • Valutazioni del rischio obbligatorie (allineate a ISO 42001)
  • Monitoraggio continuo per deriva, bias, allucinazioni
  • Red-teaming per modelli ad alto rischio e modelli fondazionali
  • Segnalazione degli incidenti AI al nuovo EU AI Office
  • Funzioni di supervisione umana
  • Piena tracciabilità delle decisioni
  • Responsabilità e audit dei fornitori AI

Impatto:

Sarà necessaria una nuova funzione di governance all'interno delle organizzazioni. È per questo che Bruxelles sta implicitamente spingendo verso l'emergere del Digital Compliance Officer (DCO).

2. Data Act (2025): accesso ai dati, portabilità e interoperabilità obbligatori

Il Data Act cambia il modo in cui le aziende gestiscono i dati a livello strutturale, in particolare per i cloud provider e i settori ad alta intensità di dati.

Obblighi principali:

  • Gli utenti devono poter cambiare cloud provider rapidamente e a costi accessibili
  • Portabilità dei dati obbligatoria tra infrastrutture cloud
  • Divieto di alcune pratiche di vendor lock-in
  • Trasparenza sul trattamento dei dati e sui diritti di utilizzo
  • Interoperabilità obbligatoria tra dispositivi IoT e sistemi backend
  • Diritti di accesso per le autorità pubbliche in caso di emergenza

Impatto:

Il vendor lock-in diventerà una questione di non conformità normativa. Le architetture cloud dovranno essere riprogettate tenendo conto di uscita e portabilità, allineandosi direttamente ai requisiti di resilienza ICT di DORA.

3. Cyber Resilience Act (CRA): Secure-by-Design per ogni prodotto digitale

Il CRA impone requisiti di cybersecurity obbligatori per qualsiasi prodotto con elementi digitali: hardware, software, sistemi embedded, IoT, dispositivi industriali.

  • Requisiti di secure-by-design e secure-by-default
  • Processi obbligatori di gestione delle vulnerabilità
  • Preavviso di 24 ore a ENISA per lo sfruttamento attivo
  • Segnalazione degli incidenti entro 72 ore
  • Aggiornamenti di sicurezza per 5–10 anni in base alla criticità del prodotto
  • Requisiti SBOM (software bill of materials)
  • Valutazioni di conformità prima dell'immissione dei prodotti sul mercato

Impatto:

Questo colpirà i vendor di software, le aziende SaaS, i produttori industriali e persino le startup. I team di prodotto entreranno per la prima volta nell'ecosistema della conformità.

4. EUCS (EU Cloud Certification Scheme): il futuro regolamento sulla sicurezza cloud

EUCS ridefinirà l'uso del cloud in tutta l'UE. Va oltre la certificazione: è una strategia di sovranità.

Cosa imporrà EUCS:

  • Tre livelli di assurance (Basic, Substantial, High)
  • Requisiti di residenza dei dati
  • Trasparenza obbligatoria sui subappaltatori
  • Restrizioni sull'influenza giurisdizionale extra-UE al livello «High» (ossia conflitti con il CLOUD Act)
  • Auditabilità più rigorosa per i cloud vendor
  • Obblighi di segnalazione degli incidenti allineati a NIS2/DORA
  • Controlli di sicurezza obbligatori oltre ISO 27001

Impatto:

  • AWS/Azure/GCP potrebbero non qualificarsi per il livello «High» senza adattare i propri modelli di governance
  • I settori critici saranno tenuti a utilizzare servizi certificati EUCS
  • Le strategie multi-cloud non saranno più facoltative: diventeranno una garanzia regolamentare

Questo è il regolamento che ridisegnerà le strategie cloud in tutta Europa.

5. Sanzioni più severe e responsabilità personale dei dirigenti

NIS2 ha già introdotto la responsabilità personale dei dirigenti. Bruxelles intende andare oltre e armonizzare la responsabilità personale su tutti i regolamenti digitali.

Cosa si profila:

  • Responsabilità del C-level per violazioni dell'AI Act (in particolare per uso improprio di AI ad alto rischio)
  • Sanzioni commisurate al fatturato globale, come nel GDPR
  • Discussioni sulla responsabilità penale in caso di negligenza grave (in esame in diversi comitati)
  • Requisiti obbligatori di competenza in cybersecurity a livello di Board
  • Attestazione in stile SOX per cybersecurity e resilienza operativa

Impatto:

I Board inizieranno a richiedere:

  • Reportistica di conformità continua
  • KPI basati sul rischio
  • Chiara titolarità delle decisioni in materia di cyber e AI
  • Evidenza che la conformità è integrata, non solo documentata

I dirigenti non potranno più essere isolati dai fallimenti di governance digitale.

6. Formalizzazione del ruolo di Digital Compliance Officer (DCO)

Non è più teoria. Bruxelles sta già segnalando, attraverso l'AI Act, NIS2, il CRA, DORA e i prossimi documenti di orientamento, che le organizzazioni avranno bisogno di un ruolo di governance trasversale ai vari regolamenti.

Perché il DCO diventa obbligatorio (prima implicitamente, poi esplicitamente):

  • La governance dell'AI richiede un unico punto di responsabilità
  • DORA richiede supervisione del rischio ICT e governance dei fornitori
  • NIS2 richiede responsabilità esecutiva e coordinamento interfunzionale
  • GDPR impone già un DPO: il DCO è la sua evoluzione per i rischi digitali più ampi
  • Il CRA richiede il coordinamento tra prodotto, cyber e controllo dei fornitori

Responsabilità previste:

  • Supervisione della conformità all'AI Act
  • Coordinamento di NIS2, DORA, GDPR e CRA
  • Gestione della supervisione cloud nell'ambito di EUCS
  • Gestione di framework unificati di rischio e controllo
  • Costruzione di modelli di governance digitale allineati ai requisiti normativi
  • Garantire la prontezza delle evidenze per i regolatori
  • Riferire direttamente al Board e ai comitati esecutivi

Impatto:

Entro il 2026–2027, il DCO sarà diventato uno standard tanto quanto il DPO lo è diventato dopo il GDPR. Sarà il ruolo GRC più strategico del prossimo decennio.

7. La fase successiva: unificazione della regolazione digitale UE (2027–2030)

Diversi documenti interni dell'UE e gruppi di lavoro stanno spingendo verso un quadro unico e integrato di governance digitale per ridurre la frammentazione.

Questo potrebbe consolidare:

  • GDPR
  • NIS2
  • DORA
  • AI Act
  • Data Act
  • CRA
  • Digital Services Act
  • Digital Markets Act
  • eIDAS 2.0

Cosa introdurrà il modello unificato:

  • Una tassonomia unica per il rischio digitale
  • Un modello armonizzato di segnalazione degli incidenti
  • Un framework di controllo per più normative
  • Audit trasversali ai regolamenti
  • Cooperazione tra autorità di vigilanza condivise
  • Una struttura paneuropea di supervisione digitale

Impatto:

La conformità evolverà da «documenti per gli auditor»governance digitale continua per i regolatori.

È questa la direzione che sta prendendo Bruxelles.

Considerazione finale

Bruxelles sta costruendo il primo ecosistema completo di governance digitale al mondo, che copre dati, AI, cloud, cybersecurity, resilienza e sicurezza dei prodotti.

La prossima ondata non è astratta. È concreta, legiferata e applicabile entro il 2025–2027.

Le organizzazioni che sopravviveranno (e prospereranno) sono quelle che:

  • adottano subito una governance unificata
  • comprendono l'impatto operativo di ciascun regolamento
  • riprogettano le strategie cloud in anticipo
  • predispongono strutture di responsabilità per l'AI
  • nominano un Digital Compliance Officer
  • costruiscono una conformità continua, non audit annuali

Il futuro digitale dell'Europa è regolamentato: in modo intelligente, aggressivo e permanente.

La domanda non è più «Arriverà altro?» Ma «Si sta preparando prima che arrivi?»

Se desidera una roadmap pratica e allineata ai regolamenti per AI Act, Data Act, CRA, NIS2, DORA, EUCS e l'ascesa del Digital Compliance Officer, è esattamente ciò che insegniamo nel Cyber Academy European Digital Governance Program. Si unisca alla prossima sessione e rimanga un passo avanti rispetto alla prossima ondata di Bruxelles.

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.