Nel 2025 le aziende italiane – e i loro fornitori – devono coordinare iniziative di compliance parallele su AI Act, NIS2 e DORA. Il Project Manager “regolatorio” diventa la figura che traduce obblighi legali in piani di progetto concreti, con priorità, milestone e metriche. Qui trovi una guida pratica con timeline aggiornate, una roadmap di esecuzione e come le assicurazioni Lokky proteggono impresa e PM da rischi operativi e contrattuali.
- Mappa 2025–2026: cosa entra in vigore e quando
- Roadmap di progetto: dal gap assessment al go-live
- Rischi operativi e contrattuali: come mitigarli
- Come le assicurazioni Lokky proteggono PM e impresa
Mappa 2025–2026: cosa entra in vigore e quando
- AI Act: pubblicato in Gazzetta UE il 12 luglio 2024; entrata in vigore il 1° agosto 2024. I divieti (pratiche proibite) si applicano da 2 febbraio 2025; gli obblighi per i modelli GPAI si applicano da 2 agosto 2025; i requisiti per i sistemi ad alto rischio scattano in gran parte da agosto 2026. Le istituzioni UE hanno confermato che la tabella di marcia resta invariata nonostante richieste di rinvio;
- DORA: il Regolamento (UE) 2022/2554 si applica dal 17 gennaio 2025 alle entità finanziarie: tra gli obblighi, governance del rischio ICT, test di resilienza e segnalazione degli incidenti maggiori alle Autorità (in Italia: Banca d’Italia ha pubblicato istruzioni e moduli). Effetti a cascata sui fornitori ICT attraverso i contratti;
- NIS2: l’Italia ha recepito la Direttiva (UE) 2022/2555 con Lgs. 138/2024 (G.U. n. 230 del 1/10/2024). La disciplina introduce requisiti minimi di cyber-security per soggetti essenziali e importanti e, in diversi casi, obblighi anche per PA a prescindere dalle dimensioni. Impatti indiretti su PMI fornitrici tramite capitolati e clausole.
Esempio rapido di pianificazione
Se vendi software a un intermediario finanziario, DORA vincola dal 2025 i tuoi contratti e livelli di servizio; se usi sistemi di IA per scoring, selezione o automazione, devi allinearti all’AI Act (divieti già attivi, obblighi GPAI da agosto 2025); se operi in settori NIS2 o nella loro supply chain, servono controlli di sicurezza documentati e gestione degli incidenti.
Roadmap di progetto: dal gap assessment al go-live
Fase 1 – 0-30 giorni: scoping & gap assessment
- Catalogo dei casi d’uso IA (output, dati, rischi), dei requisiti DORA applicabili (incident response, logging, testing, terze parti) e dei controlli NIS2 richiesti dal cliente/capitolato;
- RACI chiaro: Legal/Compliance per interpretazione normativa, IT/OT per controlli, Procurement per clausole con fornitori ICT, PM a presidio di tempi e deliverable;
- Deliverable: mappa obblighi vs processi, rischi residui, stima budget/effort.
Fase 2 – 31-60 giorni: interventi minimi vitali (MVP di conformità)
- Policy e registri: registri dei sistemi IA, policy d’uso (divieti, trasparenza), runbook DORA (incidenti maggiori, tempi di notifica), playbook NIS2 (risk management, business continuity);
- Contratti: aggiornare SLA e DPA con requisiti di resilienza (DORA) e misure NIS2; onboarding/valutazione dei fornitori critici;
- Controlli tecnici: MFA per account privilegiati, backup testato, logging centralizzato, test di sicurezza applicativa, classificazione dei dati.
Fase 3 – 61-90 giorni: verifiche, formazione, go-live
- Table-top exercise su incidenti ICT (DORA) e data breach (NIS2);
- Change management: formazione su AI Act (divieti, spiegabilità, dataset), piani di test e monitoraggio in produzione;
- Metriche di progetto: % casi d’uso IA mappati, MTTD/MTTR per incidenti ICT, % fornitori valutati, coverage delle clausole contrattuali aggiornate.
Esempio pratico
Una software house che serve una SGR: il PM pianifica in 10 settimane runbook incidenti con moduli Banca d’Italia, contratti TPRM aggiornati, vulnerability scanning cadenzato, registro dei sistemi IA generativi con note di trasparenza per gli utenti interni. Risultato: cliente conforme a DORA, fornitore conforme per contratto e prontuario incidenti testato.
Rischi operativi e contrattuali: come mitigarli
- Ritardi o ambiguità normative → rischio di inadempimento contrattuale: prevedi clausole di “best effort” con roadmap e KPI approvati dal cliente; aggiorna i PSA man mano che la Commissione pubblica linee guida (es. per GPAI);
- Incidenti ICT non gestiti → sanzioni/regolatori e danni reputazionali: istituisci on-call e criteri oggettivi di “major incident” come da DORA; prova il canale di segnalazione;
- Supply chain → fornitori non conformi: usa allegati tecnici con controlli minimi (MFA, log, backup), audit e diritto di recesso; per NIS2, chiedi piani di continuità e evidenze di risk management.
Come le assicurazioni Lokky proteggono PM e impresa
Le polizze non sostituiscono la compliance, ma attenuano l’impatto economico dei rischi residui (le sanzioni amministrative non sono assicurabili). Con Lokky puoi costruire un programma coerente con AI Act, NIS2 e DORA:
- RC Professionale: tutela da errori, omissioni di progetto (es. mancata implementazione di un controllo promesso o delivery incompleta);
- Cyber risk: copre incident response, forensics, ripristino dati/sistemi, responsabilità verso terzi per data breach e, se previsto, interruzione di attività; utile per obblighi DORA/NIS2 su gestione incidenti e continuità operativa.;
- Tutela legale: difesa in controversie contrattuali (es. contestazioni su SLA di resilienza, responsabilità per data breach), procedimenti amministrativi e penali connessi a incidenti ICT;
- D&O: protegge gli amministratori in caso di azioni di responsabilità legate a governance, risk management e supervisione dei progetti regolatori.
Come dimensionare le coperture (schema rapido)
- Profilo cliente/settore (finanza? PA? supply chain NIS2?) e ruolo (titolare o fornitore ICT);
- Matrice rischi: incidenti ICT, breach, failure contrattuali, errori nel programma AI;
- Massimali & franchigie: allinea agli SLA e ai cap contrattuali; verifica sub-limiti (es. business interruption, cyber-extortion);
- Clausole: retroattività/postuma per RC professionale; condizioni di sicurezza minime per cyber (MFA, backup, EDR).
AI Act, NIS2 e DORA richiedono una regia di progetto rigorosa e continua. Con una mappa scadenze chiara, una roadmap in tre fasi e un set di coperture Lokky calibrate su errori professionali, cyber e contenziosi, la tua azienda può rispettare le scadenze, firmare contratti “a prova di audit” e ridurre l’esposizione economica. Lokky è il partner per disegnare protezioni assicurative su misura e allineate ai tuoi progetti 2025–2026.
