NIS 2 e AI Act: come navigare le normative europee e innovare in sicurezza

Nel panorama digitale contemporaneo, la sicurezza informatica è una priorità assoluta per tutte le aziende e le organizzazioni. Con l'avvento di tecnologie dirompenti come l'Intelligenza Artificiale e l'incremento di minacce cyber sempre più sofisticate, l'Unione Europea ha sviluppato un quadro normativo complesso ma necessario: l'AI Act e la Direttiva NIS2. L’obiettivo delle nuove regolamentazioni è rafforzare la resilienza dell’Europa di fronte alle cyber-minacce e normare l’uso etico e responsabile dell’AI. 

L’interazione tra la Direttiva NIS2 e l’AI Act è un aspetto cruciale per la sicurezza informatica. Entrambe le normative enfatizzano la gestione del rischio e impongono l’obbligo della segnalazione di incidenti significativi. Le organizzazioni devono intervenire sia per le possibili minacce di sicurezza informatica, che per gli incidenti relativi all’AI.  

NIS2 e AI Act pongono un forte accento sulla governance e sulla responsabilità: la Direttiva NIS2 affida la responsabilità agli organi di gestione per la supervisione della sicurezza informatica, mentre l’AI Act richiede una governance robusta per i fornitori di sistemi di AI ad alto rischio. 

In questo articolo analizzeremo nel dettaglio queste normative, fornendo una guida su come anticipare gli obblighi richiesti per innovare in modo sicuro e conforme, rispettando le tempistiche dettate dalle autorità. Potrai approfondire ulteriormente anche scaricando il nostro whitepaper dettagliato per avere sempre a disposizione le milestones da rispettare e una pratica checklist per annotare i passi compiuti. 

NIS2 AI Act Cybersecurity Normative europee Intelligenza Artificiale Compliance Gestione del rischio Innovazione Sicurezza informatica Governance

Adeguamento alla NIS2: tempistiche, obblighi e impatto sulle aziende italiane 

La Direttiva NIS2, entrata in vigore il 18 ottobre 2024, rappresenta un'evoluzione significativa rispetto alla precedente NIS1 (2016) e introduce misure più stringenti per un'ampia gamma di settori, come sanità, servizi postali e gestione delle acque reflue.  

La NIS2 rientra nella strategia di Cybersicurezza dell’Unione Europea, ossia un quadro normativo che mira a rafforzare la resilienza degli Stati Membri contro le minacce informatiche, proteggere le infrastrutture critiche, promuovere la sovranità digitale e garantire un cyberspazio sicuro per cittadini e imprese.  

La Direttiva prevede obblighi più rigidi per la gestione del rischio e per la segnalazione degli incidenti informatici e le sanzioni sono più severe per incentivare il rispetto delle norme. Le aziende hanno avviato il processo di adeguamento dallo scorso ottobre 2024, con la registrazione sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale) e la comunicazione di informazioni fondamentali per permettere i controlli agli organi competenti. 

Le imprese dovranno essere compliance alle nuove norme sulla notifica degli incidenti entro dicembre 2025 e implementare le misure di sicurezza prescritte entro la fine dell’estate 2026, il termine concreto di adeguamento non è quindi così lontano.

AI Act: le tappe per regolamentare l'Intelligenza Artificiale  

L'AI Act, approvato dal Parlamento europeo il 13 marzo 2024, è la prima legge trasversale al mondo sull'Intelligenza Artificiale.
I suoi principali obiettivi sono: 

  • Creare un mercato unico per l'AI nell'UE;
  • Aumentare la fiducia nell'AI garantendone la sicurezza, la privacy, la trasparenza e la non discriminazione; 
  • Prevenire e mitigare i rischi dell'AI; 
  • Sostenere l'innovazione e l'eccellenza nel campo dell'AI, promuovendo la cooperazione tra gli Stati membri.

La normativa adotta un approccio basato sul rischio, classificando i sistemi di AI in quattro categorie: rischio inaccettabile, alto, limitato e minimo. 

L'AI Act entrerà in vigore gradualmente per facilitarne l’adozione e la conformità. Dal 2 febbraio 2025 le società e le organizzazioni che operano nel settore dell’Intelligenza Artificiale si sono dovute conformare a due obblighi principali: dismettere i sistemi AI a rischio inaccettabile e garantire una conoscenza adeguata in materia di AI (alfabetizzazione) del proprio personale.  

Ad agosto 2025 entreranno in vigore le norme sulla governance dell’AI e gli obblighi specifici per i modelli di AI di uso generale. Nello specifico le organizzazioni dovranno: 

  • Redigere una documentazione dettagliata sui test e sullo sviluppo dei sistemi AI; 
  • Seguire procedure standardizzate per garantire la sicurezza dei sistemi AI; 
  • Effettuare valutazioni periodiche per assicurarsi che i sistemi AI rispettino le normative vigenti. 

Da agosto 2026, saranno introdotte misure aggiuntive, come valutazioni di impatto, che impongono di condurre analisi approfondite per identificare e mitigare i potenziali rischi associati all’uso dell’AI, processi per il monitoraggio costante delle prestazioni dei sistemi di AI e procedure per l’identificazione tempestiva di eventuali anomalie. 

5 sfide per implementare NIS2 e AI Act

Per conformarsi efficacemente a queste nuove normative, senza rallentare l’innovazione, le aziende dovranno affrontare un percorso ricco sfide: 

  1. Complessità normativa: le disposizioni sono numerose e articolate e richiedono un'attenta analisi da parte di tutti i settori aziendali. Occorre armonizzare i nuovi obblighi con quelli esistenti (es. GDPR), per evitare sovrapposizioni e garantire una gestione corretta degli incidenti e dei rischi; 
  2. Tempistiche serrate: i termini per l'adeguamento sono relativamente brevi considerata la portata dei cambiamenti richiesti; 
  3. Competenze specifiche: sarà necessario introdurre figure esperte in cybersecurity, AI e compliance normativa, definendo ruoli e responsabilità chiari. La formazione è un elemento chiave per sensibilizzare i dipendenti sulle minacce informatiche e su come proteggersi; 
  4. Costi di adeguamento: l'implementazione delle misure richieste potrebbe comportare investimenti significativi in tecnologie, processi e formazione; 
  5. Evoluzione tecnologica: le rapide innovazioni nell'AI e le minacce cyber sempre più oculate, richiedono un costante aggiornamento dei sistemi in uso e degli strumenti di sicurezza. Questo richiede una mappatura iniziale dei sistemi IT e AI utilizzati, identificando le aree di rischio e di non conformità. 

La Commissione Europea per rispondere a queste criticità ha dato vita a un AI Office, centro di competenza sull’Intelligenza Artificiale, e ha avviato l’AI Pact, un tavolo di lavoro a cui tutte le imprese europee possono aderire per collaborare, suggerire semplificazioni del regolamento e proporre best practice che facciano da modello per la compliance, soprattutto per le piccole e medie imprese. 

Da sfida a opportunità: scarica il whitepaper per decifrare il labirinto normativo 

NIS2 e AI Act rappresentano una sfida significativa ma anche l'opportunità per le aziende di incrementare il proprio livello di protezione e di sicurezza, aumentare la fiducia dei clienti e rafforzare la propria competitività. 

Adottando un approccio proattivo e strategico, CEO e CIO possono trasformare questi obblighi normativi in leve per l'innovazione responsabile e la creazione di valore. La chiave è bilanciare conformità, sicurezza e proattività, investendo in competenze, tecnologie e processi adeguati. 

Abbiamo realizzato un whitepaper per supportarti nell'implementazione delle normative e per pianificare e monitorare le attività svolte. Al suo interno troverai le scadenze da rispettare, una checklist operativa e un glossario con i termini più utili. 

Tutto quello che devi sapere per essere compliant a NIS2 e AI ACT!
26 febbraio 2025
email-1

ISCRIVITI ALLA NEWSLETTER

Per rimanere aggiornato su tutte le novità, leggere gli ultimi articoli del blog e conoscere gli eventi in programma nelle prossime settimane, iscriviti subito alla newsletter

Iscriviti