L’entrata in vigore della Direttiva NIS2 e dell’AI Act ha prodotto, in molti contesti pubblici e privati, una reazione prevedibile, ovvero trattare le nuove regole come un ulteriore livello di adempimento normativo. Policy da aggiornare, ruoli da nominare, documentazione da produrre.
Indice degli argomenti
NIS2 e AI Act: perché la compliance è una lettura riduttiva
Una lettura che rischia di ridurre due strumenti di riforma strutturale a un esercizio formale e che rischia di generare costi organizzativi elevati senza alcun beneficio strategico.
Questa impostazione deriva da una visione ormai superata della sicurezza digitale, concepita come funzione di protezione e non come capacità sistemica. Le normative europee più recenti partono invece da un presupposto radicalmente diverso, considerando la sicurezza come una proprietà dell’organizzazione nel suo complesso, non un insieme di controlli tecnici isolati.
L’obiettivo che ancora oggi le grandi aziende (figuriamoci le piccole) non riescono a comprendere, è proprio quello di mostrare come NIS2 e AI Act non richiedano semplicemente di “essere conformi”, ma di dimostrare maturità, consapevolezza e capacità di governo dei sistemi digitali.
Dal paradigma difensivo alla resilienza operativa
Per lungo tempo la sicurezza informatica è stata affrontata attraverso un approccio prevalentemente difensivo. La priorità era proteggere asset tecnologici da minacce esterne, delimitando un perimetro e rafforzandolo con misure tecniche. Questo modello, pur avendo avuto una sua efficacia, rifletteva un ecosistema digitale relativamente stabile e confinato.
L’evoluzione verso architetture cloud, filiere digitali complesse, automazione e intelligenza artificiale ha dissolto quel perimetro. Oggi la maggior parte degli incidenti non deriva da un singolo attacco, ma da concatenazioni di errori, dipendenze non governate e decisioni automatizzate non controllate.
La sicurezza, in questo scenario, non coincide più con la protezione, ma con la capacità di assorbire l’imprevisto, reagire, ripristinare e apprendere. È questo il cambio di paradigma che NIS2 e AI Act rendono esplicito.
Cosa cambia con NIS2 e AI Act nella governance del rischio
La Direttiva NIS2 introduce un modello di sicurezza che va oltre la dimensione tecnica. Il focus si sposta sulla capacità dell’organizzazione di gestire il rischio in modo continuo e strutturato. Responsabilità del vertice, gestione della supply chain, continuità operativa, incident reporting e controllo dei fornitori diventano elementi fondamentali.
Inoltre la NIS2 non misura la sicurezza in base alla presenza di strumenti, ma in base alla maturità dei processi decisionali e organizzativi. Questo implica un cambiamento profondo e radicale, la sicurezza non è più delegabile integralmente alla funzione IT, ma diventa una responsabilità di governance.
In questa prospettiva, la conformità formale perde significato se non è accompagnata da capacità operative reali. Un’organizzazione può essere formalmente conforme e, allo stesso tempo, strutturalmente fragile.
AI Act: la sicurezza della decisione e il problema della trasparenza
Se NIS2 ridefinisce la sicurezza dei sistemi, l’AI Act ridefinisce la sicurezza delle decisioni. Il regolamento europeo sull’intelligenza artificiale affronta un rischio meno visibile ma potenzialmente più incisivo, l’adozione di decisioni automatizzate non governate, opache o non verificabili.
Classificazione dei sistemi ad alto rischio, obblighi di governance, supervisione umana e documentazione dei modelli spostano il concetto di sicurezza dal piano infrastrutturale a quello cognitivo. La questione oggi non è solamente se un sistema funziona, ma soprattutto comprendere come decide.
L’AI Act introduce così una nuova dimensione della sicurezza digitale, il controllo della capacità decisionale automatizzata. In questo senso, la sicurezza non riguarda più soltanto la continuità del servizio, ma l’affidabilità delle scelte prodotte dai sistemi.
NIS2 e AI Act e il governo delle dipendenze tecnologiche
Un tratto comune a NIS2 e AI Act è l’attenzione al governo delle dipendenze tecnologiche. Cloud, piattaforme, modelli di intelligenza artificiale e fornitori esterni sono diventati componenti strutturali delle architetture digitali.
Le normative europee non vietano queste dipendenze, ma richiedono che siano conosciute, valutate e governate. La sicurezza, in questo contesto, coincide con la riduzione delle asimmetrie di controllo tra chi utilizza la tecnologia e chi la fornisce.
La resilienza operativa non è la capacità di evitare ogni incidente, ma di non perdere il controllo quando l’incidente si verifica.
Il limite della compliance: quando la documentazione sostituisce la capacità
Affrontare NIS2 e AI Act come meri esercizi di compliance produce un rischio sistemico. La documentazione cresce, i costi aumentano, ma la capacità reale dell’organizzazione rimane invariata. In alcuni casi, peggiora, perché la complessità formale sottrae risorse alla gestione operativa.
La compliance senza capacità genera una sicurezza apparente, che collassa sotto stress. Le nuove normative europee, al contrario, richiedono evidenze concrete, che equivale a dire processi funzionanti, decisioni tracciabili, responsabilità chiare.
Norme come leva di competitività e selezione del mercato
Pertanto se interpretate correttamente, NIS2 e AI Act possono e aggiungerei devono, diventare leve di competitività. Le organizzazioni capaci di dimostrare maturità, resilienza e controllo delle decisioni automatizzate acquisiscono un vantaggio strutturale.
Queste normative introducono, di fatto, un meccanismo di selezione del mercato. Chi non è in grado di governare la complessità digitale faticherà a operare in settori regolati, a partecipare a filiere critiche e a competere su scala europea.
La sicurezza smette di essere un costo e diventa un fattore abilitante.
Il caso italiano: adempimento o trasformazione organizzativa
Il rischio per il sistema italiano è quello di affrontare NIS2 e AI Act come vincoli giuridici da minimizzare, anziché come strumenti di trasformazione organizzativa. Una simile lettura produce ritardi, frammentazione e perdita di competitività.
Al contrario, un’interpretazione orientata alla capacità potrebbe favorire la crescita di competenze, servizi avanzati e modelli di governance più maturi. La differenza va concepita non tanto nella norma, quanto nella cultura con cui viene applicata.
Conclusioni
NIS2 e AI Act segnano il passaggio definitivo dalla sicurezza come protezione alla sicurezza come capacità sistemica. Sono due regolamenti che chiedono di difendersi, ma soprattutto di dimostrare maturità organizzativa, resilienza operativa e controllo consapevole delle tecnologie.
La vera sfida quindi non è e non sarà per il futuro la conformità, ma la capacità. Le organizzazioni che comprenderanno questo salto concettuale trasformeranno l’obbligo normativo in un vantaggio competitivo. Le altre continueranno a sostenere costi senza costruire sicurezza reale. La sicurezza digitale europea è ormai una vera questione di governo.
Bibliografia
Unione europea (2024).
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce norme armonizzate sull’intelligenza artificiale (Artificial Intelligence Act).
Gazzetta ufficiale dell’Unione europea, 12 luglio 2024.
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ%3AL_202401689
Unione europea (2022).
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (NIS2).
Gazzetta ufficiale dell’Unione europea, 27 dicembre 2022.
https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX%3A32022L2555
Decreto legislativo 4 settembre 2024, n. 138: Recepimento della direttiva (UE) 2022/2555 (NIS2).
Gazzetta Ufficiale della Repubblica Italiana, Serie Generale n. 230 del 1 ottobre 2024 (entrata in vigore: 16 ottobre 2024).
https://www.gazzettaufficiale.it/eli/id/2024/10/01/24G00155/SG
ENISA – European Union Agency for Cybersecurity (2025).
Technical Implementation Guidance on Cybersecurity Risk Management Measures (NIS2) – Version 1.0 (June 2025).
Documento tecnico di supporto all’implementazione delle misure di risk management previste da NIS2.
Pollicino, O. (con Muto, G.) (2025).
La legislazione delegata in materia di intelligenza artificiale: la costruzione di una disciplina organica al confine tra scelte governative, controllo parlamentare e vincoli europei.
Donati, F. (cur.), Finocchiaro, G. (cur.), Pollicino, O. (cur.) (2025).
La disciplina dell’Intelligenza artificiale.
Milano: Lefebvre Giuffrè.
https://shop.giuffre.it/024223399-la-disciplina-dell-intelligenza-artificiale
