Bruxelles non rallenta. Se NIS2 e DORA sono sembrati pesanti, la prossima ondata, già pubblicata, legiferata o in fase di negoziazione finale, è più ampia, più severa e più operativa.
L'era del «un regolamento ogni qualche anno» è finita. Siamo entrati nella fase della regolazione digitale continua.
Ecco cosa sta concretamente per arrivare, con implicazioni chiare e operative per ogni CISO, DPO e Digital Compliance Officer.
1. Applicazione dell'AI Act (2025–2026): la nuova bestia della governance
L'AI Act è il regolamento più ambizioso dell'UE dai tempi del GDPR. A differenza di NIS2, non si limita alla cybersecurity: disciplina come l'intelligenza viene costruita, testata, distribuita, monitorata e documentata.
Ciò che le organizzazioni dovranno implementare (non teoria, realtà):
- Classificazione del rischio AI (vietato / alto rischio / limitato / uso generale)
- Pacchetti di documentazione del modello (dati di addestramento, valutazione, architettura)
- Valutazioni del rischio obbligatorie (allineate a ISO 42001)
- Monitoraggio continuo per deriva, bias, allucinazioni
- Red-teaming per modelli ad alto rischio e modelli fondazionali
- Segnalazione degli incidenti AI al nuovo EU AI Office
- Funzioni di supervisione umana
- Piena tracciabilità delle decisioni
- Responsabilità e audit dei fornitori AI
Impatto:
Sarà necessaria una nuova funzione di governance all'interno delle organizzazioni. È per questo che Bruxelles sta implicitamente spingendo verso l'emergere del Digital Compliance Officer (DCO).
2. Data Act (2025): accesso ai dati, portabilità e interoperabilità obbligatori
Il Data Act cambia il modo in cui le aziende gestiscono i dati a livello strutturale, in particolare per i cloud provider e i settori ad alta intensità di dati.
Obblighi principali:
- Gli utenti devono poter cambiare cloud provider rapidamente e a costi accessibili
- Portabilità dei dati obbligatoria tra infrastrutture cloud
- Divieto di alcune pratiche di vendor lock-in
- Trasparenza sul trattamento dei dati e sui diritti di utilizzo
- Interoperabilità obbligatoria tra dispositivi IoT e sistemi backend
- Diritti di accesso per le autorità pubbliche in caso di emergenza
Impatto:
Il vendor lock-in diventerà una questione di non conformità normativa. Le architetture cloud dovranno essere riprogettate tenendo conto di uscita e portabilità, allineandosi direttamente ai requisiti di resilienza ICT di DORA.
3. Cyber Resilience Act (CRA): Secure-by-Design per ogni prodotto digitale
Il CRA impone requisiti di cybersecurity obbligatori per qualsiasi prodotto con elementi digitali: hardware, software, sistemi embedded, IoT, dispositivi industriali.
- Requisiti di secure-by-design e secure-by-default
- Processi obbligatori di gestione delle vulnerabilità
- Preavviso di 24 ore a ENISA per lo sfruttamento attivo
- Segnalazione degli incidenti entro 72 ore
- Aggiornamenti di sicurezza per 5–10 anni in base alla criticità del prodotto
- Requisiti SBOM (software bill of materials)
- Valutazioni di conformità prima dell'immissione dei prodotti sul mercato
Impatto:
Questo colpirà i vendor di software, le aziende SaaS, i produttori industriali e persino le startup. I team di prodotto entreranno per la prima volta nell'ecosistema della conformità.
4. EUCS (EU Cloud Certification Scheme): il futuro regolamento sulla sicurezza cloud
EUCS ridefinirà l'uso del cloud in tutta l'UE. Va oltre la certificazione: è una strategia di sovranità.
Cosa imporrà EUCS:
- Tre livelli di assurance (Basic, Substantial, High)
- Requisiti di residenza dei dati
- Trasparenza obbligatoria sui subappaltatori
- Restrizioni sull'influenza giurisdizionale extra-UE al livello «High» (ossia conflitti con il CLOUD Act)
- Auditabilità più rigorosa per i cloud vendor
- Obblighi di segnalazione degli incidenti allineati a NIS2/DORA
- Controlli di sicurezza obbligatori oltre ISO 27001
Impatto:
- AWS/Azure/GCP potrebbero non qualificarsi per il livello «High» senza adattare i propri modelli di governance
- I settori critici saranno tenuti a utilizzare servizi certificati EUCS
- Le strategie multi-cloud non saranno più facoltative: diventeranno una garanzia regolamentare
Questo è il regolamento che ridisegnerà le strategie cloud in tutta Europa.
5. Sanzioni più severe e responsabilità personale dei dirigenti
NIS2 ha già introdotto la responsabilità personale dei dirigenti. Bruxelles intende andare oltre e armonizzare la responsabilità personale su tutti i regolamenti digitali.
Cosa si profila:
- Responsabilità del C-level per violazioni dell'AI Act (in particolare per uso improprio di AI ad alto rischio)
- Sanzioni commisurate al fatturato globale, come nel GDPR
- Discussioni sulla responsabilità penale in caso di negligenza grave (in esame in diversi comitati)
- Requisiti obbligatori di competenza in cybersecurity a livello di Board
- Attestazione in stile SOX per cybersecurity e resilienza operativa
Impatto:
I Board inizieranno a richiedere:
- Reportistica di conformità continua
- KPI basati sul rischio
- Chiara titolarità delle decisioni in materia di cyber e AI
- Evidenza che la conformità è integrata, non solo documentata
I dirigenti non potranno più essere isolati dai fallimenti di governance digitale.
6. Formalizzazione del ruolo di Digital Compliance Officer (DCO)
Non è più teoria. Bruxelles sta già segnalando, attraverso l'AI Act, NIS2, il CRA, DORA e i prossimi documenti di orientamento, che le organizzazioni avranno bisogno di un ruolo di governance trasversale ai vari regolamenti.
Perché il DCO diventa obbligatorio (prima implicitamente, poi esplicitamente):
- La governance dell'AI richiede un unico punto di responsabilità
- DORA richiede supervisione del rischio ICT e governance dei fornitori
- NIS2 richiede responsabilità esecutiva e coordinamento interfunzionale
- GDPR impone già un DPO: il DCO è la sua evoluzione per i rischi digitali più ampi
- Il CRA richiede il coordinamento tra prodotto, cyber e controllo dei fornitori
Responsabilità previste:
- Supervisione della conformità all'AI Act
- Coordinamento di NIS2, DORA, GDPR e CRA
- Gestione della supervisione cloud nell'ambito di EUCS
- Gestione di framework unificati di rischio e controllo
- Costruzione di modelli di governance digitale allineati ai requisiti normativi
- Garantire la prontezza delle evidenze per i regolatori
- Riferire direttamente al Board e ai comitati esecutivi
Impatto:
Entro il 2026–2027, il DCO sarà diventato uno standard tanto quanto il DPO lo è diventato dopo il GDPR. Sarà il ruolo GRC più strategico del prossimo decennio.
7. La fase successiva: unificazione della regolazione digitale UE (2027–2030)
Diversi documenti interni dell'UE e gruppi di lavoro stanno spingendo verso un quadro unico e integrato di governance digitale per ridurre la frammentazione.
Questo potrebbe consolidare:
- GDPR
- NIS2
- DORA
- AI Act
- Data Act
- CRA
- Digital Services Act
- Digital Markets Act
- eIDAS 2.0
Cosa introdurrà il modello unificato:
- Una tassonomia unica per il rischio digitale
- Un modello armonizzato di segnalazione degli incidenti
- Un framework di controllo per più normative
- Audit trasversali ai regolamenti
- Cooperazione tra autorità di vigilanza condivise
- Una struttura paneuropea di supervisione digitale
Impatto:
La conformità evolverà da «documenti per gli auditor» → governance digitale continua per i regolatori.
È questa la direzione che sta prendendo Bruxelles.
Considerazione finale
Bruxelles sta costruendo il primo ecosistema completo di governance digitale al mondo, che copre dati, AI, cloud, cybersecurity, resilienza e sicurezza dei prodotti.
La prossima ondata non è astratta. È concreta, legiferata e applicabile entro il 2025–2027.
Le organizzazioni che sopravviveranno (e prospereranno) sono quelle che:
- adottano subito una governance unificata
- comprendono l'impatto operativo di ciascun regolamento
- riprogettano le strategie cloud in anticipo
- predispongono strutture di responsabilità per l'AI
- nominano un Digital Compliance Officer
- costruiscono una conformità continua, non audit annuali
Il futuro digitale dell'Europa è regolamentato: in modo intelligente, aggressivo e permanente.
La domanda non è più «Arriverà altro?» Ma «Si sta preparando prima che arrivi?»
Se desidera una roadmap pratica e allineata ai regolamenti per AI Act, Data Act, CRA, NIS2, DORA, EUCS e l'ascesa del Digital Compliance Officer, è esattamente ciò che insegniamo nel Cyber Academy European Digital Governance Program. Si unisca alla prossima sessione e rimanga un passo avanti rispetto alla prossima ondata di Bruxelles.
