Viviamo in un momento storico in cui le aziende si trovano a fare i conti, quasi simultaneamente, con due dei più significativi provvedimenti normativi digitali mai adottati dall’Unione Europea: la Direttiva NIS2 e il Regolamento sull’Intelligenza Artificiale, meglio noto come AI Act.
Non si tratta di coincidenza: è il segnale di una maturità regolatoria che l’Europa ha deciso di esercitare con determinazione sul fronte della sicurezza digitale e dell’innovazione tecnologica.
Indice degli argomenti
Il nuovo contesto della compliance aziendale tra NIS2 e AI Act
Per i responsabili della compliance aziendale, i CISO, i DPO e i team legali, questa doppia pressione normativa rappresenta al tempo stesso una sfida e un’opportunità.
Una sfida perché i due framework, pur condividendo l’obiettivo di rafforzare la fiducia digitale, hanno origini, logiche e perimetri applicativi distinti. Un’opportunità perché, gestiti in modo integrato, possono diventare la leva per costruire un modello di governance aziendale davvero robusto, trasparente e orientato al futuro.
In questo articolo analizziamo i punti di contatto e di divergenza tra NIS2 e AI Act, con un focus specifico sulla compliance aziendale e su come le organizzazioni possono — e devono — affrontare questa doppia conformità in modo strutturato, senza duplicare sforzi e senza lasciare zone d’ombra.
Come evolve la compliance aziendale in un contesto di norme digitali integrate
Il concetto di compliance aziendale ha subito una trasformazione profonda negli ultimi anni. Non è più sufficiente rispettare le norme: occorre dimostrarlo, documentarlo, e aggiornarlo continuamente.
L’evoluzione normativa europea, dal GDPR alla NIS2, fino all’AI Act, ha accelerato questa transizione verso una compliance «proattiva», in cui l’adeguamento normativo è parte integrante della strategia d’impresa.
Compliance normativa: definizione e differenza rispetto alla conformità
Spesso usati come sinonimi, i termini «compliance» e «conformità» nascondono in realtà una distinzione sostanziale. La conformità è il risultato: essere in linea con una norma in un dato momento. La compliance è il processo: il sistema organizzativo, procedurale e culturale che consente di raggiungere e mantenere quella conformità nel tempo.
Nel contesto di NIS2 e AI Act, questa distinzione è tutt’altro che accademica. Entrambi i regolamenti richiedono non solo che le aziende adottino determinate misure, ma che dimostrino – attraverso documentazione, audit, registri e procedure – di averle adottate in modo consapevole, continuativo e misurabile.
È la logica dell’accountability, già introdotta dal GDPR, che qui si estende alla sicurezza informatica e all’intelligenza artificiale.
Perimetro della compliance digitale: dalla sicurezza dei dati alla governance
Se un tempo la compliance digitale si esauriva nella protezione dei dati personali, oggi il suo perimetro si è enormemente ampliato. Include la gestione del rischio cyber, la continuità operativa, la sicurezza della supply chain, la governance dei sistemi di IA, la trasparenza algoritmica e molto altro.
NIS2 e AI Act contribuiscono entrambi a questa espansione, ma da angolazioni diverse:
- la direttiva NIS2 parte dalla sicurezza delle reti e dei sistemi informativi, estendendo gli obblighi a un numero molto più ampio di operatori rispetto alla precedente direttiva NIS;
- l’AI Act, invece, introduce una regolamentazione orizzontale dei sistemi di intelligenza artificiale, classificandoli in base al livello di rischio che presentano per le persone e la società.
Il risultato è un ecosistema normativo in cui la compliance aziendale non può più essere gestita in silos: sicurezza informatica, protezione dei dati, governance dell’IA e gestione del rischio devono dialogare tra loro in modo coerente e integrato.
Cosa introduce NIS2 per la governance della sicurezza digitale e la compliance aziendale
La Direttiva NIS2 (Direttiva UE 2022/2555), recepita in Italia con il D.lgs. 138/2024, rappresenta un salto qualitativo rispetto alla precedente normativa in materia di sicurezza delle reti e dei sistemi informativi.
Non solo amplia la platea dei soggetti obbligati, ma innalza significativamente il livello degli obblighi e introduce un regime sanzionatorio più severo.
Ambito di applicazione di NIS2 e tipologie di entità coinvolte
NIS2 si applica a un numero molto più ampio di organizzazioni rispetto alla precedente direttiva NIS.
La norma distingue tra «entità essenziali», come energia, trasporti, infrastrutture digitali, sanità, acque, e «entità importanti», che includono settori come i servizi postali, la gestione dei rifiuti, la produzione di dispositivi medici, la chimica e l’industria alimentare.
Il criterio dimensionale è determinante: rientrano nell’ambito applicativo le medie e grandi imprese (con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro), ma esistono eccezioni per determinati settori critici indipendentemente dalle dimensioni.
Le piccole imprese, in linea di massima, sono escluse, ma non chi opera nella supply chain di soggetti obbligati, che può trovarsi indirettamente coinvolto.
Per la compliance aziendale, il primo passo è dunque verificare se l’organizzazione ricade nell’ambito applicativo della direttiva, mappando settori di attività, dimensioni e interconnessioni con entità essenziali o importanti.
Principali obblighi di security e risk management previsti da NIS2
NIS2 introduce obblighi articolati che spaziano dalla governance al risk management, dalla gestione degli incidenti alla sicurezza della supply chain.
Tra i principali:
- l’adozione di misure tecniche e organizzative adeguate a gestire i rischi cyber;
- la notifica degli incidenti significativi alle autorità competenti entro 24 ore (notifica iniziale) e 72 ore (notifica dettagliata);
- la valutazione periodica dei rischi;
- la sicurezza delle reti e dei sistemi informativi;
- la business continuity e il disaster recovery.
Un aspetto particolarmente rilevante per la compliance aziendale è l’obbligo di coinvolgimento del top management: NIS2 prevede esplicitamente che gli organi di amministrazione approvino le misure di gestione del rischio e ne siano responsabili. Questo significa che la sicurezza informatica non è più una questione esclusivamente tecnica, ma una priorità di governance che deve essere presidiata ai massimi livelli aziendali.
Le sanzioni previste sono significative: fino a 10 milioni di euro o il 2% del fatturato globale per le entità essenziali; fino a 7 milioni di euro o l’1,4% del fatturato per le entità importanti. Un regime che avvicina NIS2 al GDPR in termini di deterrenza.
AI Act e gli obblighi di conformità per sistemi di intelligenza artificiale in azienda
Il Regolamento UE sull’Intelligenza Artificiale (AI Act, Reg. UE 2024/1689), entrato in vigore nell’agosto 2024, è il primo quadro normativo completo al mondo dedicato alla regolamentazione dell’IA.
Per le aziende che sviluppano, distribuiscono o utilizzano sistemi di IA, introduce obblighi sostanziali che si intrecciano inevitabilmente con quelli di NIS2.
Classificazione dei livelli di rischio AI e normative applicabili
Il cuore dell’AI Act è la classificazione dei sistemi di IA in quattro categorie di rischio: inaccettabile, alto, limitato e minimo.
I sistemi a rischio inaccettabile, come i sistemi di scoring sociale o alcune forme di manipolazione cognitiva, sono vietati. I sistemi ad alto rischio, tra cui quelli usati in ambito sanitario, educativo, occupazionale, infrastrutturale o nei processi di law enforcement, sono soggetti a obblighi stringenti prima della messa in servizio e durante il ciclo di vita.
Per la compliance aziendale, l’AI Act richiede anzitutto un censimento dei sistemi di IA in uso o in sviluppo, seguita da una classificazione del rischio.
Questo processo non è banale: molti sistemi oggi diffusi nelle aziende – dai chatbot ai sistemi di screening dei CV, dai motori di raccomandazione agli strumenti di analisi predittiva – possono ricadere nella categoria ad alto rischio, con tutto ciò che ne consegue in termini di obblighi.
Obblighi di trasparenza e accountability nei modelli di IA
Per i sistemi ad alto rischio, l’AI Act prevede una serie di obblighi che ricordano per struttura quelli del GDPR: gestione della qualità del dato di addestramento, documentazione tecnica aggiornata, registrazione automatica degli eventi (logging), trasparenza nei confronti degli utenti, supervisione umana, robustezza e accuratezza del sistema.
Particolarmente rilevante è il tema dell’accountability: chi sviluppa sistemi di IA (il «provider») e chi li distribuisce in contesti professionali (il «deployer») hanno responsabilità distinte ma complementari.
Le aziende che acquistano soluzioni di IA da terze parti non sono esentate dagli obblighi: devono verificare che i sistemi acquistati siano conformi, condurre valutazioni di impatto quando necessario e garantire la supervisione umana nei processi decisionali critici.
Per gli agenti AI – sistemi autonomi capaci di pianificare e agire in modo proattivo – la questione si fa ancora più complessa. La loro capacità di operare in modo semi-autonomo in contesti aziendali critici li rende soggetti a un’attenzione regolamentare crescente, sia sotto il profilo della sicurezza informatica (NIS2) sia sotto quello della governance dell’IA (AI Act).
Confronto tra responsabilità normative: NIS2 vs AI Act
Mettere a confronto NIS2 e AI Act significa confrontare due logiche regolatorie diverse, ma sempre più convergenti nella pratica aziendale. NIS2 parte dalla sicurezza dei sistemi e delle reti, chiedendo alle organizzazioni di proteggersi da minacce esterne e di gestire i rischi cyber in modo sistematico. L’AI Act parte dai sistemi di IA, chiedendo di garantire che siano sicuri, trasparenti e sotto controllo umano.
Il punto di sovrapposizione è evidente: un agente AI che opera su infrastrutture critiche o che gestisce dati sensibili è contemporaneamente soggetto agli obblighi di NIS2 (in quanto componente di un sistema informativo) e a quelli dell’AI Act (in quanto sistema di IA).
Una vulnerabilità in un modello di IA può tradursi in un incidente di sicurezza notificabile ai sensi di NIS2; una violazione dei requisiti di trasparenza dell’AI Act può avere implicazioni anche sul fronte della gestione del rischio cyber.
Sul fronte delle responsabilità, entrambe le normative condividono il principio del coinvolgimento del top management. NIS2 responsabilizza direttamente gli organi di amministrazione per le misure di sicurezza; l’AI Act prevede che i deployer di sistemi ad alto rischio dispongano di figure qualificate per garantire la supervisione e la conformità. In entrambi i casi, la compliance non può essere delegata esclusivamente ai team tecnici.
Le principali differenze riguardano invece il perimetro soggettivo (NIS2 si applica a specifici settori e dimensioni; l’AI Act si applica a chiunque sviluppi o usi sistemi di IA nell’UE), il tipo di obblighi (prevalentemente tecnico-organizzativi per NIS2; tecnici, procedurali e documentali per l’AI Act) e le autorità di vigilanza (ACN per NIS2; autorità da designare a livello nazionale per l’AI Act, coordinate dall’AI Office europeo).
| Criterio | NIS2 | AI Act |
| Natura | Direttiva (recepita in D.Lgs. 138/2024) | Regolamento UE (direttamente applicabile) |
| Ambito soggettivo | Medie/grandi imprese in settori essenziali e importanti | Chiunque sviluppi, distribuisca o usi sistemi AI nell’UE |
| Focus | Sicurezza reti e sistemi informativi | Conformità e governance dei sistemi di IA |
| Approccio al rischio | Risk-based: misure adeguate al rischio cyber | Risk-based: classificazione a 4 livelli di rischio AI |
| Responsabilità organi | Top management direttamente responsabile | Deployer e provider con obblighi distinti |
| Obblighi chiave | Incident response, notifica, business continuity, supply chain security | Documentazione, trasparenza, supervisione umana, logging |
| Notifica incidenti | Sì, obbligatoria (24h/72h) ad ACN | Non prevista, ma obblighi di monitoraggio continuo |
| Sanzioni max | 10 M€ o 2% fatturato globale (entità essenziali) | 35 M€ o 7% fatturato globale (sistemi vietati) |
| Autorità vigilanza | ACN (Agenzia per la Cybersicurezza Nazionale) | Autorità nazionali AI + AI Office europeo |
| Interazione con GDPR | Complementare (sicurezza dati) | Complementare (dati di addestramento, profilazione) |
Fonte: elaborazione Cybersecurity360.it su testi normativi NIS2 (D.lgs. 138/2024) e AI Act (Reg. UE 2024/1689).
Governance integrata: ridefinire ruoli, processi e responsabilità per NIS2 e AI Act
La doppia compliance NIS2 e AI Act non può essere gestita come due progetti paralleli e indipendenti.
Le aziende che scelgono questa strada si troveranno inevitabilmente a duplicare sforzi, creare inefficienze e – peggio – a generare conflitti tra framework.
La strada maestra è quella della governance integrata: un modello in cui le responsabilità normative sono coordinate, i processi sono condivisi e le strutture di controllo sono progettate per rispondere a entrambi i framework.
Compliance officer e team di governance: nuovi ruoli chiave
In questo contesto, la figura del Compliance Officer si evolve. Non è più sufficiente avere un esperto di GDPR o un CISO: serve un profilo capace di dialogare con la sicurezza informatica, il diritto digitale, l’etica dell’IA e il risk management.
Alcune aziende stanno introducendo figure come il Chief AI Ethics Officer o il NIS2 Compliance Manager, ma la tendenza più matura è quella di creare team di governance integrata che riuniscano competenze diverse sotto un coordinamento unico.
Il board aziendale deve essere attivamente coinvolto: NIS2 lo richiede esplicitamente per la sicurezza cyber; l’AI Act lo implica per i sistemi ad alto rischio. Questo significa che la formazione del top management sulla compliance digitale non è più un’opzione, ma un requisito funzionale.
Coordinamento tra IT security, legal e risk management
La compliance aziendale integrata per NIS2 e AI Act richiede un coordinamento strutturato tra almeno tre funzioni aziendali: IT security (o il CISO e il suo team), legal & compliance, e risk management. Ognuna porta un contributo essenziale e insostituibile.
Il team IT security presidia gli aspetti tecnici: vulnerability management, incident response, sicurezza dei sistemi di IA, monitoraggio continuo. Il team legal & compliance gestisce l’interpretazione normativa, la documentazione, i rapporti con le autorità, la contrattualistica con i fornitori di IA. Il risk management garantisce una visione d’insieme, integrando i rischi cyber e i rischi legati all’IA nel framework complessivo di gestione del rischio aziendale.
Un modello efficace prevede riunioni periodiche tra queste funzioni, un linguaggio comune (tassonomia del rischio condivisa), strumenti di governance condivisi (piattaforme GRC – Governance, Risk & Compliance) e processi di escalation chiari per gli incidenti e le non conformità.
Best practice per allineare i processi aziendali a NIS2 e AI Act
Tradurre la compliance normativa in processi aziendali concreti è la sfida operativa più importante. Non esiste un modello unico valido per tutte le organizzazioni, ma esistono best practice consolidate che possono guidare il percorso.
Audit periodici e strumenti di monitoraggio della compliance
Il primo passo è conoscere la propria posizione: un gap analysis strutturata rispetto ai requisiti di NIS2 e AI Act consente di identificare le aree di non conformità e di pianificare le azioni correttive. Questo processo dovrebbe coinvolgere sia l’auditor interno sia, dove necessario, advisor esterni con competenze specifiche nei due framework.
Gli audit periodici non devono essere eventi straordinari, ma parte integrante del ciclo di vita della compliance aziendale. Per NIS2, è opportuno condurre almeno una revisione annuale delle misure di sicurezza e un test periodico dei piani di incident response. Per l’AI Act, il monitoraggio continuo dei sistemi ad alto rischio è un obbligo normativo: occorre predisporre strumenti di logging, metriche di performance e procedure di revisione documentata.
Le piattaforme GRC (Governance, Risk & Compliance) di nuova generazione offrono funzionalità specifiche per NIS2 e AI Act: mappatura dei requisiti, gestione degli asset, workflow di approvazione, dashboard di monitoraggio e reportistica per il management. Adottarle non è un lusso, ma una necessità per le organizzazioni di medie e grandi dimensioni.
Formazione continua e cultura della compliance digitale
Nessun sistema di governance regge senza una cultura aziendale adeguata. La compliance aziendale per NIS2 e AI Act richiede che tutti i livelli dell’organizzazione – dal board agli operatori – siano consapevoli dei rischi, delle responsabilità e dei comportamenti attesi.
I programmi di formazione devono essere differenziati per ruolo: il top management necessita di una visione strategica e delle implicazioni di governance; i team tecnici devono conoscere i requisiti operativi e gli strumenti di implementazione; tutti i dipendenti devono essere sensibilizzati sulle buone pratiche di sicurezza cyber e sull’uso responsabile dei sistemi di IA.
La formazione non è un evento una tantum. Entrambe le normative sono in evoluzione: le linee guida dell’ENISA per NIS2 e i guidance document dell’AI Office europeo per l’AI Act vengono aggiornati con regolarità. Mantenere il personale aggiornato è parte integrante della compliance e deve essere pianificato come attività ricorrente nel calendario aziendale.
In conclusione, la compliance aziendale nell’era di NIS2 e AI Act non è un traguardo da raggiungere, ma un processo da abitare.
Le organizzazioni che lo capiscono per tempo – e che investono nella governance integrata, nei ruoli giusti, negli strumenti adeguati e nella cultura della sicurezza – non solo eviteranno le sanzioni, ma acquisiranno un vantaggio competitivo reale in un mercato che premia sempre di più la fiducia digitale.
