Il Consiglio dell’Unione europea ha trasmesso al Parlamento europeo il testo di compromesso sulla proposta di regolamento che modifica il Regolamento (UE) 2024/1689, noto come AI Act, e il Regolamento (UE) 2018/1139 in materia di aviazione civile. Il provvedimento, denominato Digital Omnibus on AI, nasce con un obiettivo dichiarato: semplificare l’attuazione delle regole armonizzate sull’intelligenza artificiale, senza ridurre il livello di tutela di salute, sicurezza e diritti fondamentali.
Il testo interviene in una fase delicata. L’AI Act è già entrato in vigore, ma molte sue disposizioni diventeranno applicabili in modo progressivo. Proprio l’esperienza iniziale di attuazione ha fatto emergere ritardi nella predisposizione degli standard tecnici, nella costruzione dei sistemi nazionali di governance e nei meccanismi di valutazione della conformità. Da qui la scelta di correggere il calendario e alleggerire alcuni adempimenti. In tema, abbiamo organizzato il corso di formazione NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA. Abbiamo anche pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon
Indice
- 1. Più tempo per i sistemi ad alto rischio
- 2. AI literacy: da obbligo rigido a dovere organizzativo
- 3. Deepfake intimi e abusi sintetici: nuovi divieti espressi
- 4. Bias e dati sensibili: una nuova base giuridica
- 5. PMI, small mid-cap e compliance più proporzionata
- 6. Meno duplicazioni con le norme settoriali
- 7. Un AI Office più centrale
- Formazione per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Più tempo per i sistemi ad alto rischio
Il punto di maggiore impatto riguarda lo slittamento delle regole sui sistemi di intelligenza artificiale ad alto rischio. La proposta prevede che le sezioni centrali del Capo III dell’AI Act si applichino dal 2 dicembre 2027 per i sistemi classificati ad alto rischio ai sensi dell’art. 6, par. 2, e dell’Allegato III, e dal 2 agosto 2028 per i sistemi ad alto rischio collegati ai prodotti dell’Allegato I.
Non si tratta di una semplice proroga tecnica. Il rinvio mira a evitare che imprese e autorità si trovino a dover applicare obblighi complessi in assenza di standard, specifiche comuni e linee guida sufficientemente mature. La scelta risponde quindi a un’esigenza di certezza giuridica e di proporzionalità applicativa. In materia abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. AI literacy: da obbligo rigido a dovere organizzativo
Un altro passaggio significativo riguarda l’alfabetizzazione sull’intelligenza artificiale. L’art. 4 viene riscritto in senso meno prescrittivo: provider e deployer non devono più garantire uno specifico livello individuale di AI literacy, ma adottare misure idonee a sostenerne lo sviluppo tra il personale e tra le persone che utilizzano i sistemi per loro conto.
La modifica è rilevante perché trasforma un obbligo difficilmente misurabile in un dovere organizzativo calibrato sul contesto, sulle competenze disponibili e sulle modalità di utilizzo dei sistemi. Commissione e Stati membri dovranno supportare tali attività anche attraverso esempi pratici, risorse informative e iniziative di formazione.
3. Deepfake intimi e abusi sintetici: nuovi divieti espressi
Il Digital Omnibus introduce anche una modifica incisiva all’elenco delle pratiche vietate. Viene previsto il divieto di immettere sul mercato, mettere in servizio o utilizzare sistemi di AI che generano o manipolano immagini, video, audio o materiali realistici relativi a parti intime o attività sessualmente esplicite di una persona identificabile senza il suo consenso.
Analogo divieto riguarda i sistemi che generano o manipolano materiale riconducibile allo sfruttamento sessuale dei minori. Il testo prende atto della diffusione delle applicazioni di “nudification” e dei rischi derivanti dalla produzione di contenuti sintetici abusivi. La disciplina è però costruita con attenzione: sono previste delimitazioni, esclusioni per usi leciti e riferimenti alla necessità di misure tecniche ragionevoli e adeguate.
4. Bias e dati sensibili: una nuova base giuridica
La proposta inserisce un nuovo art. 4a sul trattamento di categorie particolari di dati personali per finalità di individuazione e correzione dei bias. Il trattamento è ammesso solo se strettamente necessario e nel rispetto di condizioni rigorose: uso di misure di sicurezza e privacy-preserving, limitazioni al riutilizzo, controlli sugli accessi, divieto di trasferimento a terzi e cancellazione dei dati una volta corretto il bias.
È un intervento importante perché riconosce che la prevenzione delle discriminazioni può richiedere, in casi eccezionali, il trattamento di dati particolari. Al tempo stesso, la proposta evita di trasformare questa possibilità in un obbligo generalizzato.
5. PMI, small mid-cap e compliance più proporzionata
Il testo dedica ampio spazio alle imprese di minori dimensioni. Le misure di semplificazione vengono estese non solo alle PMI e alle start-up, ma anche alle small mid-cap enterprises. Sono previste forme semplificate di documentazione tecnica, adattamenti del sistema di gestione della qualità, priorità nell’accesso alle sandbox e criteri sanzionatori più proporzionati.
La logica è chiara: l’adempimento agli obblighi dell’AI Act non deve tradursi in una barriera all’innovazione, soprattutto per operatori che, pur non essendo più PMI, non dispongono delle risorse organizzative delle grandi imprese.
6. Meno duplicazioni con le norme settoriali
Un filo conduttore del provvedimento è il coordinamento con la normativa armonizzata dell’Unione. Quando la disciplina settoriale garantisce un livello equivalente o superiore di protezione, alcuni obblighi dell’AI Act potranno essere limitati. Ciò riguarda in particolare i prodotti regolati, i dispositivi medici, le macchine, l’aviazione e i profili di cybersecurity.
Particolarmente rilevante è lo spostamento del Regolamento macchine verso un approccio settoriale, con l’integrazione dei requisiti AI direttamente nella disciplina di settore entro il 2028.
7. Un AI Office più centrale
Il Digital Omnibus rafforza infine il ruolo dell’AI Office, attribuendogli competenze esclusive su alcuni sistemi basati su modelli di AI general-purpose e sui sistemi integrati in piattaforme online o motori di ricerca di grandi dimensioni. L’AI Office potrà svolgere indagini, richiedere informazioni, effettuare ispezioni, accettare impegni vincolanti e proporre sanzioni.
La direzione complessiva è evidente: rendere l’AI Act più gestibile, più coordinato e più vicino alle esigenze operative di imprese e autorità, mantenendo però alta l’attenzione sui rischi più gravi per diritti fondamentali, sicurezza e dignità della persona.
Formazione per professionisti
NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA
Secondo la comunicazione dell’ACN rilasciata in occasione dell’ottava riunione del Tavolo NIS (aprile 2026), l’elenco provvisorio dei soggetti NIS supera le 21.000 unità, di cui almeno 5.000 qualificati come essenziali.
Con le ultime determinazioni ACN, il framework della cybersecurity italiana è pienamente operativo e le organizzazioni sono chiamate a tradurre rapidamente gli obblighi in azioni concrete.
Questo webinar fornisce a tutte le organizzazioni e professionisti coinvolti una mappatura aggiornata dello “stato dell’arte”, con l’obiettivo di chiarire cosa fare entro il 2026 e come semplificare gli adempimenti.
Gli strumenti utili che mostreremo in questo webinar:
• La notifica unica: come integrare i flussi di segnalazione degli incidenti informatici verso diverse autorità con un unico processo.
• La mappatura degli adempimenti sovrapposti: per chi deve rispondere contemporaneamente a NIS 2, GDPR e Regolamento DORA.
• Gestione pratica della supply chain: come fare il censimento dei fornitori rilevanti e criteri per l’aggiornamento dei contratti (clausole cyber).
• Il portale ACN 2026: guida pratica all’uso dei Servizi NIS per il rinnovo dell’iscrizione e l’aggiornamento annuale delle attività.
• Checklist ispezioni: cosa preparare per farsi trovare pronti ai controlli dell’Agenzia (documentazione, log, processi di governance).
• Governance e modelli 231: revisione di deleghe, assetti organizzativi e modelli 231.
>>>Per info e descrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento