Hai già aperto il cantiere NIS2? Ecco come affrontare l'AI Act senza ripartire da zero
Gran parte del lavoro fatto per la NIS2 si può riutilizzare per la conformità all'AI Act. Vediamo cosa riciclare, cosa aggiungere e da dove partire.
Se la tua azienda rientra nel perimetro NIS2, con ogni probabilità hai già «aperto il cantiere»: analisi del rischio, misure di sicurezza, procedure di notifica degli incidenti, responsabilità in capo agli organi di gestione. Un lavoro impegnativo. La buona notizia è che quel cantiere è una base preziosa anche per l'AI Act, il regolamento europeo sull'intelligenza artificiale che entra nel vivo nel 2026.
AI Act, NIS2 e GDPR non vivono più in compartimenti separati: con parole diverse, chiedono spesso le stesse cose. Chi ha già un processo solido di gestione del rischio non parte da zero, costruisce sopra ciò che ha già. Vediamo come.
Due regole, due obiettivi diversi (ma metodo simile)
Conviene chiarire subito il perimetro, perché NIS2 e AI Act non sono la stessa cosa:
- NIS2 (in Italia recepita dal D.Lgs. 138/2024, con l'ACN come autorità competente) punta alla cybersicurezza: proteggere reti e sistemi informativi dei soggetti essenziali e importanti, con misure di sicurezza e obblighi di notifica degli incidenti.
- AI Act punta alla sicurezza e ai diritti fondamentali nell'uso dell'intelligenza artificiale: classifica i sistemi di AI per livello di rischio e impone obblighi crescenti, soprattutto per quelli «ad alto rischio».
Obiettivi diversi, ma metodo di fondo sovrapponibile: entrambe ruotano attorno a gestione del rischio, governance, documentazione, controllo della catena di fornitura e gestione degli incidenti. Ed è proprio lì che si recupera lavoro.
Le date che contano
L'AI Act si applica per fasi. Le scadenze più rilevanti per chi sta pianificando ora:
- Agosto 2026: diventano pienamente applicabili gli obblighi per i sistemi ad alto rischio e le regole di trasparenza.
- Alcune categorie ad alto rischio (biometria, infrastrutture critiche, lavoro, istruzione) slittano a dicembre 2027.
- Nel 2026 è prevista anche una revisione formale della NIS2, che sarà un punto di raccordo con i controlli AI-specifici e la notifica degli incidenti.
Morale: i due binari si stanno avvicinando proprio adesso. Affrontarli insieme, e non a silos, fa risparmiare tempo e riduce i rischi di sovrapposizione.
Cosa puoi riutilizzare dal cantiere NIS2
Ecco gli asset della NIS2 che si riciclano quasi direttamente per l'AI Act:
| Asset NIS2 | Come si riusa per l'AI Act |
|---|---|
| Processo di risk assessment | La metodologia di analisi del rischio è la stessa ossatura richiesta per valutare e classificare i sistemi di AI. Si estende, non si reinventa. |
| Governance e accountability | La responsabilizzazione degli organi di gestione prevista da NIS2 copre già il requisito di una governance dell'AI con ruoli e responsabilità chiari. |
| Gestione e notifica incidenti | Le procedure di incident response e i canali di notifica si estendono ai malfunzionamenti e agli incidenti gravi dei sistemi di AI. |
| Sicurezza della supply chain | La due diligence sui fornitori NIS2 si applica anche ai fornitori di modelli e servizi AI (provider, subprocessor, dati di addestramento). |
| Logging e documentazione | Registri, log e audit trail già richiesti da NIS2 alimentano la tracciabilità e la documentazione tecnica che l'AI Act pretende. |
Il principio guida è quello dei controlli condivisi: GDPR chiede il registro dei trattamenti, NIS2 chiede log e audit, l'AI Act aggiunge la documentazione tecnica. Gestiti con strumenti separati, questi obblighi moltiplicano il lavoro. Gestiti con un unico sistema documentale, si rafforzano a vicenda.
Cosa l'AI Act aggiunge (e la NIS2 non copre)
Attenzione però a non pensare che «se sono a posto con NIS2, lo sono anche con l'AI Act». L'AI Act introduce requisiti specifici che il cantiere cyber non affronta:
- Classificazione dei sistemi di AI per rischio (vietato, alto, limitato, minimo): è il primo passo e non ha equivalente in NIS2.
- Data governance dei dati di addestramento: qualità, rappresentatività e tracciabilità dei dataset usati dai modelli.
- Trasparenza verso gli utenti: dire chiaramente quando si interagisce con un'AI o quando un contenuto è generato da AI.
- Supervisione umana (human oversight): garantire che ci sia un controllo umano significativo sulle decisioni dei sistemi ad alto rischio.
- Alfabetizzazione sull'AI (AI literacy): il personale che usa l'AI deve avere competenze adeguate. Questo obbligo è già in vigore dal 2025.
- Inventario dei sistemi di AI: sapere quali strumenti di AI sono usati in azienda, anche quelli «entrati dalla porta di servizio» (shadow AI).
Il rischio da evitare: lo stesso incidente, tre notifiche diverse
C'è un punto pratico spesso trascurato. Un singolo problema — un errore di un algoritmo, un guasto nella catena di fornitura — può far scattare obblighi di notifica simultanei su più regimi (NIS2, AI Act e, se ci sono dati personali, GDPR), ognuno con tempi, soglie e autorità diverse. Senza un coordinamento, è il caos.
La soluzione è impostare un'unica regia della gestione del rischio e degli incidenti, con una procedura che, davanti a un evento, identifichi subito quali notifiche far partire e verso chi. È molto più facile aggiungere questo livello a un cantiere NIS2 già aperto che costruirlo da zero.
Un piano d'azione in cinque passi
- Fai l'inventario dei sistemi di AI in uso e in arrivo, inclusa la shadow AI. Non puoi governare ciò che non conosci.
- Classifica ogni sistema per livello di rischio secondo l'AI Act, partendo dalla metodologia di rischio che usi già per la NIS2.
- Mappa le sovrapposizioni: collega i controlli NIS2 esistenti ai requisiti AI Act e individua le lacune reali (data governance, trasparenza, oversight, literacy).
- Unifica documentazione e notifiche: un solo sistema documentale e una sola regia per gli incidenti che copra NIS2, AI Act e GDPR.
- Forma le persone: l'obbligo di AI literacy è già attivo; la formazione è anche la difesa più economica contro l'uso improprio dell'AI.
Un collante utile: la ISO 42001
Per chi vuole strutturare il tutto, lo standard ISO/IEC 42001 (sistema di gestione dell'intelligenza artificiale) funziona da ponte tra i mondi: si affianca alla ISO 27001 e alla NIS2 come la ISO 27001 si affianca alla sicurezza informatica. È un modo per trasformare gli obblighi in un sistema gestito e verificabile, invece che in una corsa a tappe scollegate.
In sintesi
Aver aperto il cantiere NIS2 ti mette in una posizione di vantaggio: gestione del rischio, governance, incident response, supply chain e documentazione sono fondamenta che l'AI Act riusa. Il lavoro nuovo si concentra su ciò che è proprio dell'AI — classificazione del rischio, data governance, trasparenza, supervisione umana, literacy e inventario dei sistemi — e sull'unificare notifiche e documentazione per non moltiplicare il lavoro.
Hai un cantiere NIS2 aperto e vuoi estenderlo all'AI Act?
Il nostro servizio AI Governance è la cabina di regia che affianca l'azienda a mettere insieme roadmap di adozione, compliance AI Act e change management. Se sei già strutturato sulla NIS2, partiamo da lì e mappiamo cosa serve aggiungere — senza sovrapporre lavoro.
Scopri AI Governance · Richiedi una call di valutazione
Nota: contenuto a scopo informativo, non costituisce consulenza legale. Le scadenze e gli obblighi vanno verificati con un legale o un DPO sul caso concreto.