Reti S.p.A. Connecting technology people and ideas - Blog

NIS 2 e AI Act: come navigare le normative europee e innovare in sicurezza

Scritto da admin | Feb 26, 2025 8:15:21 AM

Adeguamento alla NIS2: tempistiche, obblighi e impatto sulle aziende italiane 

La Direttiva NIS2, entrata in vigore il 18 ottobre 2024, rappresenta un'evoluzione significativa rispetto alla precedente NIS1 (2016) e introduce misure più stringenti per un'ampia gamma di settori, come sanità, servizi postali e gestione delle acque reflue.  

La NIS2 rientra nella strategia di Cybersicurezza dell’Unione Europea, ossia un quadro normativo che mira a rafforzare la resilienza degli Stati Membri contro le minacce informatiche, proteggere le infrastrutture critiche, promuovere la sovranità digitale e garantire un cyberspazio sicuro per cittadini e imprese.  

La Direttiva prevede obblighi più rigidi per la gestione del rischio e per la segnalazione degli incidenti informatici e le sanzioni sono più severe per incentivare il rispetto delle norme. Le aziende hanno avviato il processo di adeguamento dallo scorso ottobre 2024, con la registrazione sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale) e la comunicazione di informazioni fondamentali per permettere i controlli agli organi competenti. 

Le imprese dovranno essere compliance alle nuove norme sulla notifica degli incidenti entro dicembre 2025 e implementare le misure di sicurezza prescritte entro la fine dell’estate 2026, il termine concreto di adeguamento non è quindi così lontano.

AI Act: le tappe per regolamentare l'Intelligenza Artificiale  

L'AI Act, approvato dal Parlamento europeo il 13 marzo 2024, è la prima legge trasversale al mondo sull'Intelligenza Artificiale.
I suoi principali obiettivi sono: 

  • Creare un mercato unico per l'AI nell'UE;
  • Aumentare la fiducia nell'AI garantendone la sicurezza, la privacy, la trasparenza e la non discriminazione; 
  • Prevenire e mitigare i rischi dell'AI; 
  • Sostenere l'innovazione e l'eccellenza nel campo dell'AI, promuovendo la cooperazione tra gli Stati membri.

La normativa adotta un approccio basato sul rischio, classificando i sistemi di AI in quattro categorie: rischio inaccettabile, alto, limitato e minimo. 

L'AI Act entrerà in vigore gradualmente per facilitarne l’adozione e la conformità. Dal 2 febbraio 2025 le società e le organizzazioni che operano nel settore dell’Intelligenza Artificiale si sono dovute conformare a due obblighi principali: dismettere i sistemi AI a rischio inaccettabile e garantire una conoscenza adeguata in materia di AI (alfabetizzazione) del proprio personale.  

Ad agosto 2025 entreranno in vigore le norme sulla governance dell’AI e gli obblighi specifici per i modelli di AI di uso generale. Nello specifico le organizzazioni dovranno: 

  • Redigere una documentazione dettagliata sui test e sullo sviluppo dei sistemi AI; 
  • Seguire procedure standardizzate per garantire la sicurezza dei sistemi AI; 
  • Effettuare valutazioni periodiche per assicurarsi che i sistemi AI rispettino le normative vigenti. 

Da agosto 2026, saranno introdotte misure aggiuntive, come valutazioni di impatto, che impongono di condurre analisi approfondite per identificare e mitigare i potenziali rischi associati all’uso dell’AI, processi per il monitoraggio costante delle prestazioni dei sistemi di AI e procedure per l’identificazione tempestiva di eventuali anomalie. 

5 sfide per implementare NIS2 e AI Act

Per conformarsi efficacemente a queste nuove normative, senza rallentare l’innovazione, le aziende dovranno affrontare un percorso ricco sfide: 

  1. Complessità normativa: le disposizioni sono numerose e articolate e richiedono un'attenta analisi da parte di tutti i settori aziendali. Occorre armonizzare i nuovi obblighi con quelli esistenti (es. GDPR), per evitare sovrapposizioni e garantire una gestione corretta degli incidenti e dei rischi; 
  2. Tempistiche serrate: i termini per l'adeguamento sono relativamente brevi considerata la portata dei cambiamenti richiesti; 
  3. Competenze specifiche: sarà necessario introdurre figure esperte in cybersecurity, AI e compliance normativa, definendo ruoli e responsabilità chiari. La formazione è un elemento chiave per sensibilizzare i dipendenti sulle minacce informatiche e su come proteggersi; 
  4. Costi di adeguamento: l'implementazione delle misure richieste potrebbe comportare investimenti significativi in tecnologie, processi e formazione; 
  5. Evoluzione tecnologica: le rapide innovazioni nell'AI e le minacce cyber sempre più oculate, richiedono un costante aggiornamento dei sistemi in uso e degli strumenti di sicurezza. Questo richiede una mappatura iniziale dei sistemi IT e AI utilizzati, identificando le aree di rischio e di non conformità. 

La Commissione Europea per rispondere a queste criticità ha dato vita a un AI Office, centro di competenza sull’Intelligenza Artificiale, e ha avviato l’AI Pact, un tavolo di lavoro a cui tutte le imprese europee possono aderire per collaborare, suggerire semplificazioni del regolamento e proporre best practice che facciano da modello per la compliance, soprattutto per le piccole e medie imprese. 

Da sfida a opportunità: scarica il whitepaper per decifrare il labirinto normativo 

NIS2 e AI Act rappresentano una sfida significativa ma anche l'opportunità per le aziende di incrementare il proprio livello di protezione e di sicurezza, aumentare la fiducia dei clienti e rafforzare la propria competitività. 

Adottando un approccio proattivo e strategico, CEO e CIO possono trasformare questi obblighi normativi in leve per l'innovazione responsabile e la creazione di valore. La chiave è bilanciare conformità, sicurezza e proattività, investendo in competenze, tecnologie e processi adeguati. 

Abbiamo realizzato un whitepaper per supportarti nell'implementazione delle normative e per pianificare e monitorare le attività svolte. Al suo interno troverai le scadenze da rispettare, una checklist operativa e un glossario con i termini più utili. 
Visualizza articolo completo