Anche alla luce della attività svolte nell'ambito della Community DPO CISO e Data Governance, è opportuno ricordare che Il 2026 rappresenta un anno chiave per la governance dei dati, la sicurezza informatica e la regolazione delle nuove tecnologie. Il quadro normativo europeo sta evolvendo verso un modello sempre più integrato, nel quale protezione dei dati personali, valorizzazione dei dati industriali, resilienza digitale e intelligenza artificiale diventano elementi centrali della strategia aziendale.
Per le imprese non si tratta più soltanto di adempiere a singoli obblighi di compliance, ma di costruire un sistema di responsabilità documentato e dimostrabile, che va dalla gestione del ciclo di vita dei dati alla sicurezza dei prodotti digitali, dalla condivisione dei dati alla governance dell’intelligenza artificiale.
Al momento si possono contare le seguenti normtive settoriali sulla Data Governance di origine unionale:
di seguito un prospetto su oggetto e caratteristiche di ciascuna normativa:
|
atto |
Tipo di dati |
Funzione principale |
Ruolo nella data governance |
|
GDPR – Reg. (UE) 2016/679 |
Dati personali |
Tutela dei diritti fondamentali e protezione della persona |
Asse costituzionale: liceità, diritti, responsabilità del titolare |
|
ePrivacy Directive - (2002/58/CE) (in attesa di ePrivacy Regulation) |
Dati personali nelle comunicazioni |
Riservatezza delle comunicazioni elettroniche |
Specialità rispetto al GDPR (lex specialis) |
|
Law Enforcement Directive – Dir. (UE) 2016/680 |
Dati personali |
Trattamento da parte delle autorità di polizia/giustizia |
Data governance pubblica coercitiva |
|
Free Flow of Non-Personal Data – Reg. (UE) 2018/1807 |
Dati non personali |
Libera circolazione dei dati |
Mercato unico dei dati industriali |
|
Open Data Directive - Dir. (UE) 2019/1024 |
Dati non personali pubblici |
Riuso dei dati della PA |
Apertura e valorizzazione dei dati pubblici |
|
Data Governance Act - Reg. (UE) 2022/868 |
Dati prevalentemente non personali (anche misti) |
Fiducia, intermediazione e condivisione |
Architettura istituzionale della condivisione |
|
Data Act - Reg. (UE) 2023/2854 |
Dati non personali e misti |
Accesso, utilizzo e redistribuzione dei dati |
Cuore dell’economia dei dati (B2B, B2G, B2C) |
|
Digital Markets Act - Reg. (UE) 2022/1925 |
Dati prevalentemente non personali |
Concorrenza e limiti ai gatekeeper |
Antitrust strutturale basato sui dati |
|
Digital Services Act - Reg. (UE) 2022/2065 |
Dati non personali e aggregati |
Trasparenza e accountability delle piattaforme |
Accesso ai dati per autorità e ricerca |
|
AI Act - Reg. (UE) 2024/2025 |
Dataset personali e non personali (misti) |
Qualità, tracciabilità e governance dei dati |
Regolazione dell’uso avanzato dei dati |
|
NIS2 - Dir. (UE) 2022/2555 |
Dati critici (non personali) |
Sicurezza e resilienza |
Governance della sicurezza dei dati |
|
Trade Secrets Directive - Dir. (UE) 2016/943 |
Dati aziendali (misti) |
Tutela del know-how |
Limite strutturale alla condivisione |
Parte di questi atti sarà inoltre modificata dal Digital Omnibus 2026 , appena approvato da Commissione e PE.
Tutte queste normative, in particolare GDPR, Data Governance Act, Data Act, AI Act, NIS2 e Cyber Resilience Act, benché settoriali, non devono essere più viste come normative isolate. Stanno progressivamente costruendo un’unica architettura europea della fiducia digitale, nella quale il dato diventa un asset strategico da proteggere, governare e valorizzare. Le aziende sono quindi chiamate ad anticipare il cambiamento: aggiornare processi, ruoli e sistemi interni, integrando competenze legali, tecnologiche e organizzative.
Di seguito una panoramica delle principali scadenze e degli obblighi che entreranno in applicazione nel corso del 2026.
|
Periodo |
Normativa |
Adempimento |
Osservazioni |
|
Da gennaio |
NIS2 Italia – D.Lgs. 138/2024
|
Decorrenza degli obblighi di notifica degli incidenti significativi verso CSIRT/ACN per i soggetti NIS. |
Per i soggetti già inclusi nel 2025 |
|
1 gen.-28 feb. |
Registrazione/aggiornamento |
Piattaforma ACN |
|
|
Aprile |
Comunicazione inclusione ACN |
Definizione perimetro |
|
|
3 aprile 2026 |
ePrivacy / disciplina comunicazioni elettroniche |
Scadenza della disciplina temporanea collegata ad alcune deroghe sulla riservatezza delle comunicazioni elettroniche. |
|
|
Maggio-Giugno 2026 |
NIS2 Italia – D.Lgs. 138/2024
|
Avvio delle attività annuali di classificazione e aggiornamento per soggetti essenziali e importanti. |
|
|
31 maggio |
Aggiornamento annuale informazioni |
Obbligo ACN |
|
|
30 giugno |
Categorizzazione attività e servizi |
Passaggio fondamentale |
|
|
11 giugno |
CRA Cyber Resilience Act – Reg. UE 2024/2847 |
Applicazione delle disposizioni sugli organismi di valutazione della conformità. |
Entrata in applicazione |
|
2 agosto |
AI Act– Reg. UE 2024/1689 |
Applicazione generale del regolamento: governance AI, sistemi ad alto rischio, autorità competenti e obblighi organizzativi. |
Salvi eventuali rinvii Omnibus |
|
11 settembre |
CRA |
In vigore gli obblighi di segnalazione delle vulnerabilità sfruttate e degli incidenti gravi sui prodotti digitali. |
Obbligo per produttori |
|
12 settembre |
Data Act Reg. UE 2023/2854 |
Obbligo di progettare prodotti connessi e servizi correlati garantendo accessibilità ai dati generati (data access by design). |
Accesso ai dati |
|
Ottobre |
NIS2 |
Misure di sicurezza di base |
Per soggetti inclusi nel 2025 |
|
Entro novembre |
eIDAS 2 – Reg. UE 2024/1183 |
Disponibilità degli European Digital Identity Wallet negli Stati membri |
Disponibilità nazionale |
|
31 dicembre |
NIS2 |
Nomina referente CSIRT |
Per soggetti inclusi nel 2026 |