Ufficio stampa
Dal gennaio 2026 scattano gli obblighi di notifica degli incidenti informatici, secondo il dlgs 138/2024. Le misure di sicurezza dovranno essere adeguate entro ottobre. Ecco il calendario degli adempimenti per la sicurezza informatica per imprese, Pa e istituzioni
Il 2026 sarà, poi, l’anno in cui il governo, delegato dalla legge n. 132/2025, dovrà scrivere le regole di armonizzazione al regolamento Ue sull’IA n. 2024/1689 (AI Act) e, in parallelo, le norme su profili non direttamente connessi all’AI Act. Nel 2026 anche i ministeri sono chiamati a definire la normativa secondaria in materia di IA, in particolare con riferimento al settore del lavoro e della sanità. In materia di IA, peraltro, pesa l’incognita di una possibile proroga dell’efficacia delle disposizioni dell’AI Act relative ai sistemi di IA ad alto rischio:
Cosa deciderà la Commissione europea
La Commissione europea, nel pacchetto Digital Omnibus, presentato il 19 novembre 2025, ha proposto di posticipare fino a 16 mesi l’applicazione delle norme, con la conseguente eventualità che l’efficacia delle norme sia differita da agosto 2026 a, al più tardi, dicembre 2027 (proposta COM (2025) 836).
La legge n. 132/2025 punto per punto, fra disposizioni efficaci e norme da attuare, con le ricadute operative
La notifica degli incidenti: quali saranno gli obblighi da Gennaio 2026
Per gli enti pubblici e soggetti privati individuati dal dlgs 138/2024, che ad aprile 2025 hanno ricevuto la comunicazione di inserimento nell’elenco dei soggetti Nis, nel mese di gennaio 2026 scattano gli obblighi di base in materia di notifica di incidente informatico (articoli 25 e 42, comma 1, lett. c) del d.lgs. 138/2024).
L’inizio di efficacia degli adempimenti decorre, infatti, dalla scadenza del termine di 9 mesi da calcolarsi a partire dalla ricezione della comunicazione di inserimento nell’elenco.
In prima battuta è prevista la trasmissione di una pre-notifica senza ingiustificato ritardo e comunque non oltre 24 ore da quando gli enti sono venuti a conoscenza dell’incidente. Segue, senza ingiustificato ritardo e comunque non oltre 72 ore, la trasmissione allo Csirt Italia della notifica completa dell’incidente significativo. Infine, entro un mese, è previsto l’invio di una relazione finale (analisi delle cause e misure adottate).
Quali saranno gli adeguamenti per le misure
Sempre per gli enti pubblici e soggetti privati individuati dal d.lgs. 138/2024, che ad aprile 2025 hanno ricevuto la comunicazione di inserimento nell’elenco dei soggetti Nis, scattano nel mese di ottobre 2026 gli obblighi di base in materia di sicurezza informatica (articoli 23, 24, 29 e 42, comma 1, lett. c) del d.lgs. 138/2024).
Dal 1° gennaio al 28 febbraio di ogni anno, i soggetti Nis si registrano o aggiornano la propria registrazione sulla piattaforma digitale Acn. Entro il 31 marzo l’Acn redige l’elenco dei soggetti essenziali e dei soggetti importanti, sulla base delle registrazioni. L’Acn, quindi, comunica ai soggetti registrati l’avvenuto inserimento o la permanenza e dal 15 aprile al 31 maggio di ogni anno, i soggetti che hanno ricevuto la comunicazione forniscono o aggiornano le ulteriori informazioni richieste dal dlgs 138/2024. La fonte dei termini indicati è l’articolo 7 del dlgs 138/2024.
Legge IA – Lavoro: il lavoro dell’Osservatorio sull’adozione di sistemi di intelligenza artificiale
Nel 2026 è atteso all’opera l’Osservatorio sull’adozione di sistemi di intelligenza artificiale nel mondo del lavoro istituito e previsto dall’art. 12 della legge 132/2025. L’Osservatorio ha il compito di definire una strategia sull’utilizzo dell’IA in ambito lavorativo, monitorare l’impatto sul mercato del lavoro e identificare i settori lavorativi maggiormente interessati dall’avvento dell’intelligenza artificiale. L’Osservatorio promuove la formazione dei lavoratori e dei datori di lavoro in materia di IA.
Legge IA – Sanità: il compito del Ministero della Salute
Al Ministro della Salute è assegnato il compito di adottare, entro il 7 febbraio 2026, un decreto per disciplinare il trattamento dei dati personali (anche particolari) per finalità di ricerca e sperimentazione, anche tramite sistemi di intelligenza artificiale e machine learning (articolo 9 della legge 132/2025). Il provvedimento deve ispirarsi al massimo delle modalità semplificate consentite dal regolamento Ue n. 2024/1689 e deve trattare anche la costituzione e l’utilizzo di spazi speciali di sperimentazione a fini di ricerca, anche mediante l’uso secondario dei dati personali.
Il Fascicolo sanitario elettronico
Il 2026 sarà l’anno anche per l’attuazione delle misure previste dall’articolo 10 della legge 132/2025 in materia di Fascicolo sanitario elettronico (Fse), sistemi di sorveglianza nel settore sanitario e governo della sanità digitale. In dettaglio, sono previsti: decreti del Ministro della salute per la disciplina di soluzioni di intelligenza artificiale aventi funzione di supporto alle finalità del Fse; istituzione di una piattaforma di IA per il supporto alle finalità di cura, e in particolare per l’assistenza territoriale, la cui progettazione, realizzazione, messa in servizio e titolarità sono attribuite all’Agenas ( Agenzia nazionale per la sanità digitale); provvedimento di Agenas, con specificazione di tipi di dati, operazioni eseguite all’interno della piattaforma, e relative misure tecniche e organizzative.
AI Act Linee Guida e piena efficacia, la possibile sperimentazione
Stando al testo vigente dell’articolo 6, paragrafo 5, del Regolamento Ue 2024/1689 (AI Act), entro il 2 febbraio 2026, dopo aver consultato il consiglio europeo per l’intelligenza artificiale («consiglio per l’IA»), la Commissione Ue deve fornire orientamenti che specificano l’attuazione pratica dell’articolo 6 dell’AI Act, relativo ai sistemi di IA ad alto rischio, insieme a un elenco esaustivo di esempi pratici di casi d’uso di sistemi di IA ad alto rischio e non ad alto rischio.
Il 2 Agosto 2026 (articolo 113), salvo future proroghe, è il termine attualmente previsto in cui quasi tutto il regolamento Ue 2024/1689 diventa efficace ed in particolare sono operative le norme in materia di: sistemi ad alto rischio (allegato III); obblighi di trasparenza verso gli utenti quando interagiscono con un’IA o quando vedono contenuti generati da IA (art. 50); misure a sostegno innovazione (art. 57). Per completezza, si ricorda che per i sistemi di IA ad alto rischio integrati in prodotti già regolamentati (come giocattoli, ascensori, imbarcazioni, veicoli) che rientrano nell’Allegato I, la conformità all’AI Act scatta il 2 agosto 2027 (articoli 6, paragrafo 1 e 113).
Cosa possono fare gli Stati membri in materia di Ia e lavoro
Gli Stati membri devono provvedere affinché le loro autorità competenti istituiscano almeno uno spazio di sperimentazione normativa per l’IA a livello nazionale, che sia operativo entro il 2 agosto 2026 (art. 57), salvo rinvii. Tale spazio può essere inoltre istituito congiuntamente con le autorità competenti di altri Stati membri. La Commissione può fornire assistenza tecnica, consulenza e strumenti per l’istituzione e il funzionamento degli spazi di sperimentazione normativa per l’IA.
