Le implicazioni del Digital Omnibus nel settore della sicurezza informatica

Ilaria Ciccone (laureanda magistrale in Diritto e politiche dell’Unione europea)

Negli ultimi anni l’Unione europea ha avviato un processo di profonda innovazione normativa del settore digitale, che ha anche l’obiettivo di rispondere efficacemente alle crescenti minacce di natura cibernetica. A tal fine, ha adottato numerosi atti legislativi in diversi ambiti, che, tuttavia, in alcuni casi hanno prodotto un quadro normativo non sempre uniforme.

Proprio per rispondere a queste criticità, il 19 novembre scorso la Commissione ha presentato il nuovo Digital Omnibus, un pacchetto di modifiche normative volto ad armonizzare e semplificare gran parte delle norme vigenti in ambito digitale. L’obiettivo è quello di definire un sistema unificato, riducendo la frammentazione, evitando sovrapposizioni normative e conflitti relativi alle competenze tra le varie autorità europee e nazionali, in particolare nei settori dei dati, della cybersicurezza e dell’intelligenza artificiale (Sul Digital Omnibus, v. il commento pubblicato in questo blog).

L’iniziativa arriva in una fase in cui la Commissione intende predisporre un quadro più snello, anche in vista delle valutazioni già previste per gli anni 2026-2029 su DSA, DMA, Data Act, AI Act, NIS2 ed altri strumenti connessi, e in un momento in cui l’Unione sta ripensando la propria politica industriale digitale. Il Digital Omnibus rappresenta, quindi, un primo tentativo concreto di affrontare alcune criticità, come l’eccessiva complessità normativa, anche a causa delle frequenti modifiche apportate alla normativa UE nel corso del tempo, costi di adeguamento troppo elevati, soprattutto per le piccole e medie imprese, e la difficoltà per le imprese europee di raggiungere dimensioni competitive.

Il Digital Omnibus ricomprende tre proposte legislative. La prima è volta ad assorbire all’interno del Data act il Data Governance Act, il Free Flow of Non-Personal Data Regulation e l’Open Data Directive; la seconda mira a semplificare e riformare l’AI Act, rafforzando il ruolo dell’AI Office e consolidando il legame tra AI Act e GDPR; mentre l’ultima delinea la Data Union Strategy, con l’obiettivo di semplificare le regole su dati personali, non personali e riuso dei dati da parte di soggetti pubblici e privati. Essa agisce anche nel settore della sicurezza informatica, disponendo l’istituzione di uno sportello unico europeo per la gestione degli incidenti e delle violazioni dei dati e prevedendo un coordinamento tra GDPR, NIS2, DORA, eIDAS.

Con riferimento, per l’appunto, agli aspetti di cybersecurity, la proposta in esame, pur lasciando invariata l’architettura della Direttiva NIS2 e del Regolamento DORA, prevede il rafforzamento del coordinamento tra i diversi regimi di segnalazione degli incidenti. In particolare, essa introdurrebbe un modello di notifica unificata (“single reporting“) a livello europeo, nonché un maggiore coinvolgimento dell’Agenzia dell’Unione per la cybersicurezza (ENISA). L’obiettivo è ridurre le duplicazioni, semplificare le comunicazioni verso le autorità competenti e rendere più coerente ed efficiente la gestione del rischio ICT, in particolare per i soggetti del settore bancario, finanziario e assicurativo già soggetti a obblighi rafforzati di resilienza operativa.

Secondo tale modello, la gestione del Single Entry Point europeo sarebbe affidata all’ENISA, la quale, una volta ricevuta la notifica, la trametterebbe alle altre autorità nell’ambito dei diversi regimi di segnalazione applicabili. Il principio è quello del “report once, share many”, che consente alle aziende di adempiere simultaneamente agli obblighi previsti da GDPR, NIS2, DORA e Digital Identity Regulation. È prevista, quindi, una sola trasmissione, riutilizzata dalle diverse autorità competenti attraverso un unico portale europeo.

Finora, gli obblighi di segnalazione degli incidenti di cybersicurezza hanno creato un impegno significativo per le organizzazioni in tutta l’UE. Le entità, infatti, devono obbligatoriamente segnalare gli incidenti informatici a più autorità nazionali e fare riferimento a diversi atti giuridici, quali la direttiva sulla sicurezza delle reti e dell’informazione (NIS), il regolamento generale sulla protezione dei dati (GDPR), la legge sulla resilienza operativa digitale (DORA) e altri.

Pertanto, la proposta inserita nel Digital Omnibus introdurrebbe un punto di ingresso unico attraverso il quale le entità possono presentare una sola segnalazione per coprire contemporaneamente tutti i loro obblighi di segnalazione degli incidenti.

Questo intervento è particolarmente importante per gli operatori essenziali e importanti identificati dalla NIS2, i quali devono far fronte a un complesso sistema di gestione del rischio cyber, nonché per la maggior parte delle organizzazioni, in quanto si accelererà e razionalizzerà il processo di segnalazione.L’impatto della proposta sarebbe significativo anche sul piano nazionale. Ad esempio, per quanto riguarda l’Italia, le autorità — AGCOM, Garante Privacy, AGCM, Agenzia per la Cybersicurezza Nazionale (ACN), oltre ai ministeri competenti — dovrebbero coordinarsi in modo più stretto, soprattutto in relazione al funzionamento del punto unico europeo per le notifiche. Le pubbliche amministrazioni, inoltre, dovrebbero adeguare le proprie politiche di riuso dei dati alla nuova versione unificata del Data Act.

Related Posts

La sentenza del Tribunale del 19 novembre 2025 sulla legittimità della designazione di Amazon come VLOP ai sensi del Digital Services Act

Gli investimenti in materia di cybersicurezza nel piano “Readiness2030”

La Commissione presenta il Digital Omnibus Package: le principali novità tra esigenze di semplificazione e modifiche sostanziali al GDPR