Il tono del quadro normativo cyber europeo non è più attendista. I segnali della settimana sono operativi: NIS2 diventa più concreta, DORA diventa procedurale, i regolatori del GDPR pubblicano strumenti di conformità più utili e l’EU AI Act sta finalmente ricevendo il pacchetto di linee guida che le aziende chiedevano.
In sintesi: le regole europee sulla sicurezza convergono sullo stesso messaggio: dimostrare i controlli, documentare le dipendenze e prepararsi a verifiche incrociate tra regolatori invece di trattare ogni norma come una corsia burocratica separata.
Il segnale NIS2 più importante del 10 aprile non è un’azione di enforcement eclatante. È il fatto che la macchina di implementazione continua a stringere. La guida tecnica di ENISA resta uno dei riferimenti operativi più chiari per infrastrutture digitali, gestione dei servizi ICT e fornitori digitali. Allo stesso tempo, il parere congiunto EDPB-EDPS di marzo 2026 su modifiche collegate a NIS2 e Cybersecurity Act 2 ricorda che resilienza cyber e protezione dei dati vengono ormai discusse insieme.
Questo conta perché molti team trattano ancora NIS2 come un esercizio di perimetro. Non basta più. Il vero punto di pressione è capire se le organizzazioni possono mostrare prove di gestione del rischio, notifica degli incidenti, controlli sulla supply chain, gestione delle vulnerabilità e accountability di governance.
EBA e le altre ESA sono ormai dentro la meccanica reale di DORA. Il quadro di vigilanza sui fornitori ICT terzi critici non è più teorico, ma viene operativizzato tramite designazioni annuali, Joint Examination Teams e workflow formali di vigilanza. Sul fronte reporting, il framework 4.2 dell’EBA manda un messaggio molto chiaro: il reporting collegato a DORA appartiene al nuovo pipeline operativo e alcune submission devono già essere gestite in CSV.
Per banche, assicurazioni, imprese di investimento e fornitori, questo è il punto in cui DORA smette di essere una nota politica e diventa un problema di program management. Se il registro delle informazioni è incompleto o l’inventario delle terze parti è confuso, la debolezza non è più astratta.
Il rapporto annuale dell’EDPB pubblicato il 9 aprile merita attenzione perché dice chiaramente il punto chiave: lo stack normativo digitale europeo è sempre più complesso e i regolatori sanno che le aziende faticano a mappare obblighi sovrapposti. Il Board dice di spingere per più certezza giuridica, più supporto pratico e più cooperazione inter-regolatoria. Questo include il lavoro continuo sull’interazione tra GDPR e leggi più recenti, oltre a un one-stop-shop case digest di marzo 2026 sul legittimo interesse che traduce i dibattiti astratti sull’articolo 6(1)(f) in esempi reali di enforcement.
Per i team di sicurezza questo conta. Il GDPR non è più solo il peso del team privacy in una cartella separata. Sta diventando parte di come le organizzazioni spiegano logging, monitoring, rilevamento frodi, sistemi di identità, uso dell’AI e scelte di condivisione dati sotto più norme UE.
L’AI Office della Commissione ha reso la direzione 2026 piuttosto esplicita. Sta preparando linee guida su classificazione ad alto rischio, obblighi di trasparenza, segnalazione di incidenti gravi, responsabilità lungo la catena del valore dell’AI, modifica sostanziale, monitoraggio post-market, quality management semplificato per PMI e interazione tra AI Act e diritto UE sulla protezione dei dati. Inoltre, la pagina principale dell’AI Act dice che ulteriori strumenti di supporto alla trasparenza sono attesi nel secondo trimestre del 2026.
Questa è la vera storia del momento. L’AI Act non è più solo una scadenza futura. L’architettura di supporto intorno ad esso sta arrivando, quindi le aziende avranno meno spazio per invocare ambiguità quando entreranno in gioco gli obblighi 2026 e 2027.
Fonti per questo briefing: pagine NIS2 e guida tecnica ENISA, materiali EBA su DORA oversight e reporting framework 4.2, rapporto annuale e feed pubblicazioni EDPB, e pagine della Commissione europea sull’implementazione dell’AI Act, consultate il 10 aprile 2026.
KENSAI aiuta i team a mappare asset esposti, controlli deboli e percorsi di rischio di terze parti prima che li trovino regolatori o attaccanti.
Avvia scansione gratuita →Restate affilati.
🗡️ Team Sicurezza KENSAI