L’applicazione della Direttiva NIS2 accelera in tutti gli Stati membri dell’UE con le prime sanzioni emesse. La scadenza per la conformità DORA si avvicina: mancano solo 9 mesi. L’applicazione del GDPR raggiunge livelli record con 2,1 miliardi di euro di sanzioni per il 2025. La legge europea sull’intelligenza artificiale entra nella fase di applicazione con l’apertura delle registrazioni dei sistemi ad alto rischio. Aggiornamenti critici di conformità per i team di sicurezza e rischio.
The NIS2 Directive transposition deadline passed in ottobre 2024. EU member states are now actively enforcing cybersecurity requirements, with the first administrative penalties issued in Q1 2026. Organizations found non-compliant face fines up to10 milioni di euro ovvero il 2% del fatturato annuo globale, a seconda di quale sia più alto.
La Direttiva 2 sulla sicurezza delle reti e delle informazioni (NIS2) espande in modo significativo gli obblighi di sicurezza informatica in tutta l’Unione europea:
Germaniaissued its first NIS2 penalty in febbraio 2026 to a mid-sized cloud service provider for failure to implement risk management measures and incident response procedures. Fine: €850,000.
Francia ha aperto indagini su 14 entità nei settori sanitario e delle infrastrutture digitali per una governance inadeguata della sicurezza informatica e meccanismi di segnalazione degli incidenti mancanti.
Paesi Bassipublished compliance guidance requiring all essential and important entities to complete self-assessment by giugno 2026.
Azione richiesta: Le organizzazioni interessate devono implementare immediatamente le misure di sicurezza informatica NIS2 tra cui gestione del rischio, risposta agli incidenti, continuità aziendale, sicurezza della catena di fornitura, crittografia, controllo degli accessi e gestione delle vulnerabilità.
Il Legge sulla resilienza operativa digitale (DORA) entra in vigore il 17 gennaio 2025. Le entità finanziarie hanno meno di 9 mesi rimanenti per raggiungere la piena conformità.
| Pilastro | Requisiti chiave |
|---|---|
| Gestione del rischio ICT | Quadro completo che copre le capacità di identificazione, protezione, rilevamento, risposta, recupero e apprendimento |
| Segnalazione di incidenti | Importanti incidenti legati alle TIC segnalati alle autorità di vigilanza entro tempi rigorosi |
| Test di resilienza operativa | Test periodici, compresi test di penetrazione guidati da minacce (TLPT) per entità significative |
| Rischio di terze parti | Gestione dei fornitori terzi di ICT con accordi contrattuali che garantiscono il controllo |
| Condivisione delle informazioni | Partecipazione ad accordi di condivisione delle informazioni sulle minacce informatiche |
DORA introduce un nuovo quadro di supervisione per fornitori terzi di servizi TIC critici. I fornitori di servizi cloud, gli operatori di data center e i fornitori di servizi di sicurezza gestiti che servono entità finanziarie saranno soggetti alla supervisione diretta dell’UE e dovranno registrarsi presso le autorità europee di vigilanza (ESA).
Pressione temporale: Molte istituzioni finanziarie segnalano lacune significative nella preparazione al DORA, in particolare per quanto riguarda la gestione del rischio di terze parti e i test di resilienza operativa. Le autorità di vigilanza si stanno preparando per l’applicazione immediata delle norme.
L’applicazione del GDPR ha raggiunto livelli senza precedenti nel 2025, con le autorità dell’UE per la protezione dei dati che hanno emesso Sanzioni amministrative per 2,1 miliardi di euro — un aumento del 40% rispetto al 2024.
650 milioni di euro — Importante piattaforma di social media (DPA irlandese)
Violazioni: Trattamento illecito di dati personali per pubblicità comportamentale, base giuridica inadeguata, mancanze di trasparenza
€425 milioni — Azienda globale di tecnologia pubblicitaria (Francia CNIL)
Violazioni: condivisione dei dati sulle offerte in tempo reale senza un consenso valido, minimizzazione dei dati inadeguata
380 milioni di euro — Piattaforma di IA sanitaria (Germania)
Violazioni: trattamento di dati sanitari senza garanzie adeguate, processo decisionale automatizzato senza supervisione umana
Il Legge dell'UE sull'intelligenza artificialeentered into force in agosto 2024. Key provisions begin applying in phases through 2026-2027.
| Data | Disposizioni applicabili |
|---|---|
| febbraio 2026 | Pratiche di IA vietate (articolo 5) |
| maggio 2026 | Requisiti del modello di IA per scopi generali (capo V) |
| agosto 2026 | Requisiti del sistema di IA ad alto rischio (capo III) |
| agosto 2027 | Piena applicazione di tutti i requisiti della legge sull'AI |
As of febbraio 2026, the following AI systems arevietato nell'UE:
L’Ufficio AI dell’UE aprirà la registrazione per i sistemi di IA ad alto rischio nel secondo trimestre del 2026. I fornitori devono registrare i sistemi prima del loro immissione sul mercato. Le categorie ad alto rischio includono: identificazione biometrica, infrastrutture critiche, istruzione/formazione professionale, occupazione, servizi essenziali, forze dell’ordine, migrazione/controllo delle frontiere e processi giudiziari/democratici.
I fornitori di modelli IA generici (GPT-4, Claude, Gemini, Llama, ecc.) devono rispettare i requisiti di trasparenza e, per i modelli di rischio sistemico (formazione >10^25 FLOP), obblighi aggiuntivi tra cui:
Elevato rischio di applicazione delle norme: Le organizzazioni che operano in più settori regolamentati (ad esempio, servizi finanziari + assistenza sanitaria) si trovano ad affrontare obblighi di conformità sovrapposti da NIS2, DORA, GDPR e normative specifiche del settore. Le lacune in qualsiasi contesto creano un rischio normativo aggravato.
Esposizione nella catena di fornitura: Sia NIS2 che DORA impongono espliciti requisiti di sicurezza della catena di fornitura e di gestione del rischio di terze parti. Le organizzazioni che si affidano a fornitori non conformi ereditano il rischio normativo.
Complessità transfrontaliera: Diversi stati membri dell’UE stanno recependo e applicando NIS2 a ritmi diversi, creando complessità di conformità per le organizzazioni che operano in più giurisdizioni.
Mappatura automatizzata della conformità per NIS2, DORA, GDPR e EU AI Act. Aggiornamenti normativi in tempo reale e analisi dei gap.
Demo sulla conformità del libroRimani conforme. Rimani informato.
🗡️ Team di conformità KENSAI
6 marzo 2026