← Torna al Blog
Conformità e normative 6 marzo 2026 8 min di lettura

marzo 2026 Security Regulations Update: NIS2 Enforcement Begins, DORA Deadlines Approach, GDPR Record Fines

L’applicazione della Direttiva NIS2 accelera in tutti gli Stati membri dell’UE con le prime sanzioni emesse. La scadenza per la conformità DORA si avvicina: mancano solo 9 mesi. L’applicazione del GDPR raggiunge livelli record con 2,1 miliardi di euro di sanzioni per il 2025. La legge europea sull’intelligenza artificiale entra nella fase di applicazione con l’apertura delle registrazioni dei sistemi ad alto rischio. Aggiornamenti critici di conformità per i team di sicurezza e rischio.


⚖️ Direttiva NIS2: inizia la fase di attuazione

Termine ultimo per la conformità superato: applicazione attiva

The NIS2 Directive transposition deadline passed in ottobre 2024. EU member states are now actively enforcing cybersecurity requirements, with the first administrative penalties issued in Q1 2026. Organizations found non-compliant face fines up to10 milioni di euro ovvero il 2% del fatturato annuo globale, a seconda di quale sia più alto.

Ambito e requisiti NIS2

La Direttiva 2 sulla sicurezza delle reti e delle informazioni (NIS2) espande in modo significativo gli obblighi di sicurezza informatica in tutta l’Unione europea:

Azioni esecutive recenti

Germaniaissued its first NIS2 penalty in febbraio 2026 to a mid-sized cloud service provider for failure to implement risk management measures and incident response procedures. Fine: €850,000.

Francia ha aperto indagini su 14 entità nei settori sanitario e delle infrastrutture digitali per una governance inadeguata della sicurezza informatica e meccanismi di segnalazione degli incidenti mancanti.

Paesi Bassipublished compliance guidance requiring all essential and important entities to complete self-assessment by giugno 2026.

Azione richiesta: Le organizzazioni interessate devono implementare immediatamente le misure di sicurezza informatica NIS2 tra cui gestione del rischio, risposta agli incidenti, continuità aziendale, sicurezza della catena di fornitura, crittografia, controllo degli accessi e gestione delle vulnerabilità.


🏦 DORA: 9 mesi alla scadenza per la conformità

Il Legge sulla resilienza operativa digitale (DORA) entra in vigore il 17 gennaio 2025. Le entità finanziarie hanno meno di 9 mesi rimanenti per raggiungere la piena conformità.

Panoramica dei requisiti DORA

Pilastro Requisiti chiave
Gestione del rischio ICT Quadro completo che copre le capacità di identificazione, protezione, rilevamento, risposta, recupero e apprendimento
Segnalazione di incidenti Importanti incidenti legati alle TIC segnalati alle autorità di vigilanza entro tempi rigorosi
Test di resilienza operativa Test periodici, compresi test di penetrazione guidati da minacce (TLPT) per entità significative
Rischio di terze parti Gestione dei fornitori terzi di ICT con accordi contrattuali che garantiscono il controllo
Condivisione delle informazioni Partecipazione ad accordi di condivisione delle informazioni sulle minacce informatiche

Chi deve conformarsi?

Fornitori di terze parti ICT critici

DORA introduce un nuovo quadro di supervisione per fornitori terzi di servizi TIC critici. I fornitori di servizi cloud, gli operatori di data center e i fornitori di servizi di sicurezza gestiti che servono entità finanziarie saranno soggetti alla supervisione diretta dell’UE e dovranno registrarsi presso le autorità europee di vigilanza (ESA).

Pressione temporale: Molte istituzioni finanziarie segnalano lacune significative nella preparazione al DORA, in particolare per quanto riguarda la gestione del rischio di terze parti e i test di resilienza operativa. Le autorità di vigilanza si stanno preparando per l’applicazione immediata delle norme.


🛡️ Applicazione del GDPR: multe record per 2,1 miliardi di euro nel 2025

L’applicazione del GDPR ha raggiunto livelli senza precedenti nel 2025, con le autorità dell’UE per la protezione dei dati che hanno emesso Sanzioni amministrative per 2,1 miliardi di euro — un aumento del 40% rispetto al 2024.

Tendenze di applicazione del 2025

Notevoli azioni di applicazione del 2025

650 milioni di euro — Importante piattaforma di social media (DPA irlandese)
Violazioni: Trattamento illecito di dati personali per pubblicità comportamentale, base giuridica inadeguata, mancanze di trasparenza

€425 milioni — Azienda globale di tecnologia pubblicitaria (Francia CNIL)
Violazioni: condivisione dei dati sulle offerte in tempo reale senza un consenso valido, minimizzazione dei dati inadeguata

380 milioni di euro — Piattaforma di IA sanitaria (Germania)
Violazioni: trattamento di dati sanitari senza garanzie adeguate, processo decisionale automatizzato senza supervisione umana

Aree di interesse emergenti per il 2026


🤖 EU AI Act: al via la fase di candidatura

Il Legge dell'UE sull'intelligenza artificialeentered into force in agosto 2024. Key provisions begin applying in phases through 2026-2027.

Cronologia della domanda 2026

Data Disposizioni applicabili
febbraio 2026 Pratiche di IA vietate (articolo 5)
maggio 2026 Requisiti del modello di IA per scopi generali (capo V)
agosto 2026 Requisiti del sistema di IA ad alto rischio (capo III)
agosto 2027 Piena applicazione di tutti i requisiti della legge sull'AI

Pratiche di intelligenza artificiale vietate (ora in vigore)

As of febbraio 2026, the following AI systems arevietato nell'UE:

Registrazione di sistemi di IA ad alto rischio

La registrazione si apre nel secondo trimestre del 2026

L’Ufficio AI dell’UE aprirà la registrazione per i sistemi di IA ad alto rischio nel secondo trimestre del 2026. I fornitori devono registrare i sistemi prima del loro immissione sul mercato. Le categorie ad alto rischio includono: identificazione biometrica, infrastrutture critiche, istruzione/formazione professionale, occupazione, servizi essenziali, forze dell’ordine, migrazione/controllo delle frontiere e processi giudiziari/democratici.

General-Purpose AI Models (maggio 2026)

I fornitori di modelli IA generici (GPT-4, Claude, Gemini, Llama, ecc.) devono rispettare i requisiti di trasparenza e, per i modelli di rischio sistemico (formazione >10^25 FLOP), obblighi aggiuntivi tra cui:


📋 Lista di controllo della conformità: secondo trimestre 2026

  1. NIS2 (immediato):
    • Conferma lo stato nell'ambito (entità essenziale o importante)
    • Attuare tutte e 10 le misure minime di sicurezza
    • Stabilire procedure di segnalazione degli incidenti 24 ore su 24, 72 ore su 24
    • Documentare le valutazioni sulla sicurezza della catena di fornitura
    • Garantire meccanismi di responsabilità dell'organismo di gestione
  2. DORA (9 mesi rimanenti):
    • Completare l'implementazione del quadro di gestione del rischio ICT
    • Inventariare tutti i fornitori terzi di ICT e valutarne la criticità
    • Aggiornare i contratti con i fornitori di servizi ICT per la conformità DORA
    • Pianificare i test di penetrazione guidati dalle minacce (TLPT) per il 2026
    • Stabilire processi di classificazione e segnalazione degli incidenti
  3. GDPR (in corso):
    • Rivedere l'intelligenza artificiale/il processo decisionale automatizzato per la conformità all'articolo 22
    • Controlla i meccanismi di consenso dei cookie per i dark pattern
    • Aggiornamento dei registri delle attività di trattamento (ROPA)
    • Testare le procedure di notifica della violazione dei dati (<72 ore)
    • Rivedere i meccanismi internazionali di trasferimento dei dati
  4. Legge dell'UE sull'IA:
    • Inventariare tutti i sistemi di intelligenza artificiale e classificare i livelli di rischio
    • Interrompere immediatamente qualsiasi pratica vietata di IA
    • Preparare la documentazione tecnica del sistema di IA ad alto rischio
    • Per i fornitori GPAI: implementare i requisiti di trasparenza
    • Monitorare gli orientamenti e le tempistiche di registrazione dell'Ufficio AI dell'UE

⚠️ Valutazione del rischio normativo

Elevato rischio di applicazione delle norme: Le organizzazioni che operano in più settori regolamentati (ad esempio, servizi finanziari + assistenza sanitaria) si trovano ad affrontare obblighi di conformità sovrapposti da NIS2, DORA, GDPR e normative specifiche del settore. Le lacune in qualsiasi contesto creano un rischio normativo aggravato.

Esposizione nella catena di fornitura: Sia NIS2 che DORA impongono espliciti requisiti di sicurezza della catena di fornitura e di gestione del rischio di terze parti. Le organizzazioni che si affidano a fornitori non conformi ereditano il rischio normativo.

Complessità transfrontaliera: Diversi stati membri dell’UE stanno recependo e applicando NIS2 a ritmi diversi, creando complessità di conformità per le organizzazioni che operano in più giurisdizioni.

Esplora Conformità con KENSAI

Mappatura automatizzata della conformità per NIS2, DORA, GDPR e EU AI Act. Aggiornamenti normativi in ​​tempo reale e analisi dei gap.

Demo sulla conformità del libro

Rimani conforme. Rimani informato.

🗡️ Team di conformità KENSAI

6 marzo 2026