Data Act, Cyber Resilience Act e le altre normative in ambito tech per le imprese
Negli ultimi anni il quadro regolatorio europeo in ambito digitale è entrato in una fase di grande dinamicità. Si è infatti assistito all’introduzione e all’evoluzione di numerosi interventi normativi riguardanti dati, intelligenza artificiale e cybersicurezza, che stanno ridefinendo in modo significativo il contesto tecnologico ed economico dell’Unione.
La bussola seguita dal legislatore è quella di coniugare la protezione dei diritti fondamentali e le infrastrutture critiche di fronte alle nuove e complesse sfide portate dal progresso tecnologico e dalle minacce esterne, senza rinunciare però allo sviluppo del mercato unico dei dati che sia competitivo, affidabile e innovativo.
Il quadro inoltre potrebbe essere presto oggetto di importanti cambiamenti: in data 19 novembre 2025 – recependo le richieste di semplificazione provenienti dal “Rapporto Draghi” – la Commissione europea ha presentato la propria proposta legislativa denominata “Digital Omnibus” volta a modificare e a semplificare numerose discipline.
Nella newsletter di oggi forniamo quindi una breve panoramica del quadro normativo attuale, nonché approfondiamo alcuni degli aspetti più importanti di due di queste normative: il Data Act e il Cyber Resilience Act.
Indice
- 1. Le principali normative europee (DORA, NIS 2, CRA, DATA ACT, AI ACT).
- 2. Data Act UE 2023/2854: obblighi e opportunità per le imprese
- 3. Cyber Resilience Act (CRA): sicurezza dei prodotti digitali.
- 4. Conclusione – il corretto approccio alla compliance.
1. Le principali normative europee (DORA, NIS 2, CRA, DATA ACT, AI ACT).
II quadro attuale delle normative più importanti nel settore è il seguente:
| A. Normativa | Obiettivo e destinatari | Applicazione | Approfondimento |
| Regolamento DORA (Digital Operational Resilience Act) | Si rivolge agli operatori settore finanziario (banche, assicurazioni, FinTech) e ai loro fornitori di servizi ICT critici. Impone requisiti rigorosi in materia di gestione del rischio ICT, reporting degli incidenti, testing di resilienza e gestione del rischio di terze parti | Si applica dal 17 gennaio 2025 | Ne abbiamo parlato qui: Cybersicurezza in UE: il punto sull’evoluzione normativa – Fasola & Partners e qui Regolamento DORA: adempimenti cyber per enti creditizi, fornitori IT |
| Direttiva NIS2 (Network and Information Security 2) e decreto italiano di recepimento D.lgs. 138/2024 | La direttiva estende e rafforza gli obblighi di cybersicurezza e notifica degli incidenti per un vasto numero di entità essenziali e importanti in settori individuati come critici (es. energia, sanità, trasporti, servizi digitali). | La normativa è già in vigore. | Ne abbiamo parlato qui NIS 2 in arrivo: obblighi e tempistiche per le aziende – Fasola & Partners) |
| Direttiva CER (Critical Entities Resilience) e decreto italiano di recepimento D.lgs. 134/2024 | La direttiva mira a diminuire i punti di vulnerabilità e aumentare la resilienza fisica (non quindi solo sul piano digitale) degli operatori critici nell’Unione europea, così da assicurare la continuità e l’efficienza dei servizi essenziali per l’economia e per l’intera società (es. energia, trasporti, banche, sanità, infrastrutture digitali, ecc.). | La normativa è già in vigore. | |
| Regolamento CRA (Cyber Resilience Act ): | Introduce requisiti di sicurezza informatica armonizzati e obbligatori per tutti i prodotti con elementi digitali immessi sul mercato UE. I destinatari sono gli operatori che fabbricano, importano o distribuiscono prodotti con elementi digitali. | Il regolamento è applicabile dal 11 dicembre 2027 | Ne parliamo di seguito! |
| Regolamento Data Act | Disciplina l’accesso, la condivisione e l’utilizzo dei dati generati da dispositivi connessi e servizi correlati, promuovendo la disponibilità e la portabilità dei dati tra imprese e utenti. Si applica principalmente alle imprese che offrono prodotti e servizi connessi, | Il regolamento è applicabile dal 12 settembre 2025 | Ne parliamo di seguito! |
| Regolamento AI Act | Stabilisce requisiti per la progettazione, lo sviluppo e l’uso di sistemi di intelligenza artificiale nell’UE, con particolare attenzione ai sistemi ad alto rischio. Si applica ai fornitori, sviluppatori, distributori e deployer (utilizzatori) di sistemi di IA. | Alcune diposizioni sono già in vigore; la maggior parte saranno applicabili dal 2 agosto 2026 | Ne abbiamo parlato qui: Intelligenza artificiale e imprese: gli obblighi introdotti dall’AI ACT – Fasola & Partners) |
| Regolamento Data Governance Act | Promuove la condivisione dei dati tra imprese e pubbliche amministrazioni, introducendo regole per i servizi di intermediazione dei dati e per l’altruismo dei dati. Si applica a organizzazioni che offrono servizi di intermediazione dei dati, enti pubblici, imprese e cittadini che intendono condividere dati per finalità di interesse generale. | Il regolamento è applicabile dal 24 settembre 2023 | Ne abbiamo parlato qui: Data Governance Act: in Gazzetta Ufficiale il D.Lgs. 144/2024. – Fasola & Partners) |
Come anticipato, il quadro normativo qui delineato potrebbe essere oggetto di modifiche. La Commissione, infatti, tramite il Digital Omnibus vorrebbe modificare:
- Il GDPR (Reg. UE 2016/679), apportando una modifica della definizione di dato personale e semplificando gli adempimenti per le PMI;
- il Data Act (Reg. UE 2023/2854), il quale dovrebbe essere profondamente rivisto per integrare altre discipline, tra cui il Data Governance Act (che sarebbe quindi abolito), con l’adozione di alcune modifiche volte al rafforzamento delle tutele per i segreti commerciali;
- la direttiva NIS2, il reg. DORA e la Direttiva CER, introducendo un sistema unico europeo di notifica degli incidenti presso ENISA, in sostituzione dei precedenti sistemi di segnalazione che sostituisce i modelli di segnalazione frammentati nei vari atti.
- l’AI ACT, in relazione al quale verrebbero apportate numerose modifiche per semplificare la compliance allo stesso da parte delle PMI, oltre ad un generale rimando dell’entrata in vigore all’agosto 2027.
Tale modifica rimane per il momento una sola proposta della Commissione europea che dovrà essere approvata dal Parlamento e dal Consiglio.
2. Data Act UE 2023/2854: obblighi e opportunità per le imprese
Il Regolamento (UE) 2023/2854 regola l’accesso e l’uso dei dati generati da prodotti connessi e relativi servizi correlati. Rientrano dunque nel suo ambito di applicazione:
- i produttori, importatori e distributori del servizio (ovvero i “Data Holder”),
- gli utilizzatori del prodotto o servizio (ovvero gli “Utenti”).
Ai sensi del regolamento è un prodotto connesso un bene cha raccoglie dati sul suo utilizzo e che è in grado di comunicarli all’esterno; rientrano pienamente in tale definizione prodotti molti diversi tra loro e attivi in diversi settori quali: mezzi di trasporto; macchine CNC; robot; dispositivi medici ecc.
È invece un servizio correlato, un servizio digitale connesso al prodotto installato dal produttore o successivamente da un soggetto terzo.
I principali obblighi connessi al Data Act sono:
- il Diritto di Accesso per l’Utente (Art. 4): l’utente di un prodotto o servizio connesso ha il diritto di accedere ai dati generati dal suo utilizzo e detenuti dal produttore (data holder). I dati devono essere forniti gratuitamente e in un formato strutturato, di uso comune;
- il diritto di Condivisione con Terzi (Art. 5): l’utente ha il diritto di chiedere al data holder di condividere tali dati con terzi (es. fornitori di servizi aftermarket);
- obblighi per i Data Holder: per garantire i diritti degli utenti, i produttori dovranno implementare meccanismi tecnici e contrattuali per consentire un facile accesso e condivisione ai dati generati dal prodotto o servizio connesso;
- l’art. 13 stabilisce che sono clausole vessatorie quelle che nell’ambito dei rapporti B2B, ostacolano l’accesso ai dati e al relativo utilizzo e sono contrarie al principio di buona fede e correttezza.
Facendo un esempio concreto dell’impatto di tale normativa si può immaginare la seguente situazione:
“Una società manifatturiera, Alfa, proprietaria o utilizzatrice di una macchina CNC potrà chiedere all’impresa costruttrice Beta di trasferire i dati relativi all’utilizzo della macchina, affinché:
- vengano elaborati dalla stessa Alfa per la creazione di un nuovo software;
- vengano trasferiti alla società Gamma che offre migliori servizi di manutenzione rispetto all’assistenza fornita dalla casa madre.
- In altre parole, si può sostenere che grazie al Data Act i dati non sono più «catturati» all’interno del prodotto o servizio digitale, ma devono essere condivisi con gli utenti.
Il regolamento è entrato in vigore il 12 settembre 2025: già da ora, dunque, un utente può richiedere al Data Holder la condivisione dei dati. Dal 12 settembre 2026, i prodotti o servizi correlati devono essere progettati in modo da consentire la condivisione dei dati in modo facile, sicuro, gratuito, in un formato completo, di uso comune.
3. Cyber Resilience Act (CRA): sicurezza dei prodotti digitali.
Il Regolamento (UE) 2024/2847, introduce requisiti di sicurezza informatica armonizzati e obbligatori per tutti i prodotti con elementi digitali immessi sul mercato UE, mirando a una sicurezza integrata “fin dalla progettazione e per impostazione predefinita” (security by design and by default) e per l’intero ciclo di vita. L’obiettivo, dunque, è quello di garantire una standardizzazione dei prodotti per quanto riguarda la cybersicurezza, consentendo a consumatore ed aziende di utilizzati prodotti con elementi digitali in modo sicuro per tutto il loro ciclo di vita.
Viene definito prodotto con elementi digitali “qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immessi sul mercato separatamente”. Rientrano dunque in tale definizione sia prodotti hardware – smartphone, laptop, router Wi-Fi, telecamere IP (IoT), dispositivi per la casa intelligente (es. termostati, assistenti vocali) – sia software, quali sistemi operativi, app mobili, gestori di password, software antivirus, firewall.
I soggetti obbligati al rispetto di tale normativa sono dunque in via principale i produttori di prodotti con elementi digitali, i quali sono tenuti a:
- progettare i prodotti in base ai principi di Security by Design e Default (Art. 10 e Allegato I): i fabbricanti devono garantire che i prodotti siano progettati, sviluppati e prodotti in modo da ridurre al minimo le vulnerabilità (security by design), e che presentino una configurazione predefinita (default) sicura.
- gestire le Vulnerabilità: i fabbricanti sono obbligati a istituire processi per gestire le vulnerabilità per l’intero ciclo di vita supportato, rilasciando aggiornamenti di sicurezza tempestivi e gratuiti.
- notificare alle autorità preposte qualsiasi vulnerabilità sfruttata attivamente e ogni incidente con un impatto sulla sicurezza del prodotto entro 24 ore dalla consapevolezza.
Gli importatori o distributori sono invece tenuti a verificare che il fabbricante abbia adempiuto ai suoi obblighi, che il prodotto rechi la marcatura CE e sia accompagnato dalla documentazione richiesta (istruzioni e Dichiarazione di Conformità UE).
L’applicazione della maggior parte delle disposizioni del CRA decorrerà a partire dal 11 dicembre 2027. Tuttavia, gli obblighi di segnalazione delle vulnerabilità e degli incidenti per i fabbricanti si applicheranno già a decorrere dall’11 settembre 2026.
4. Conclusione – il corretto approccio alla compliance.
La dinamicità del quadro normativo europeo – pur ispirata a obiettivi ambiziosi e pienamente condivisibili – può rendere complessa la gestione della compliance aziendale.
Per agevolare l’adempimento dei numerosi obblighi, è consigliabile adottare un approccio integrato e consapevole, capace non solo di garantire il rispetto delle prescrizioni – e quindi di evitare le sanzioni previste – ma anche di cogliere le opportunità offerte dalle diverse normative.
È inoltre fondamentale monitorare attentamente l’evoluzione del quadro regolatorio, alla luce delle rilevanti proposte di modifica presentate dalla Commissione europea tramite il Digital Omnibus, mirate principalmente a semplificare gli oneri procedurali a carico delle imprese. Come già evidenziato, tale processo di revisione è ancora in una fase iniziale: il testo dovrà infatti essere discusso, emendato e approvato anche dal Parlamento europeo e dal Consiglio dell’Unione europea.
Lo studio è a disposizione per qualsiasi chiarimento.