Confronti e approfondimenti

AI Act, NIS2 e DORA: convergenza tra AI governance, cyber risk e resilienza digitale

Redazione GAPOFF · Aggiornato il 2026-05-20 · Revisione: 2026-05-20

Risposta rapida

AI Act, NIS2 e DORA hanno oggetti diversi ma processi comuni: risk management, governance, sicurezza, fornitori, incidenti, continuità, reporting e audit trail. L’AI Act guarda ai rischi dei sistemi AI; NIS2 alla cybersecurity di soggetti essenziali e importanti; DORA alla resilienza digitale del settore finanziario e dei fornitori ICT. Le aziende devono evitare tre programmi separati e costruire controlli riutilizzabili, mantenendo però le differenze normative.

Verifica gli obblighi AI Act della tua organizzazione

Inventory sistemi AI, classificazione del rischio, governance e audit-ready.

Verifica gratis →

Perché questo tema è importante

La compliance moderna soffre di moltiplicazione dei framework: un controllo per AI Act, uno per NIS2, uno per DORA, uno per ISO, uno per GDPR. Il risultato è spesso una somma di checklist non coordinate. L’intelligenza artificiale rende il problema più evidente perché i sistemi AI dipendono da dati, infrastrutture, API, fornitori cloud e processi cyber.

Un CISO non può trattare l’AI Act come tema solo legale. Un compliance officer non può trattare NIS2 e DORA come tema solo tecnico. Serve un modello comune di controllo, con mappature e differenze esplicite.

Quadro normativo e fonti ufficiali

Il riferimento principale resta il Regolamento (UE) 2024/1689, che introduce un modello basato sul rischio e distribuisce gli obblighi in base al ruolo svolto dall'organizzazione: provider, deployer, importatore, distributore o altro operatore della catena del valore. Per una lettura operativa, il punto non è trasformare ogni uso di AI in un progetto legale, ma distinguere sistemi vietati, sistemi ad alto rischio, usi soggetti a trasparenza e usi a rischio minimo. La Commissione europea e l'AI Act Service Desk sono fonti da monitorare perché linee guida, codici di pratica, standard e strumenti di supporto possono cambiare il modo in cui le aziende documentano la conformità. Alla data di revisione di questo contenuto, l'accordo politico del 7 maggio 2026 sul pacchetto AI Omnibus richiede un trigger di aggiornamento per le date applicative dei sistemi ad alto rischio: prima della pubblicazione definitiva occorre verificare il testo formalmente adottato e la versione consolidata delle fonti ufficiali.

Cosa significa per l’azienda

Per l’azienda, la convergenza si gioca su quattro piani: inventario degli asset e sistemi, risk assessment, gestione fornitori, incident management. Un sistema AI critico può essere anche asset ICT rilevante, dipendenza di business continuity, fornitura terza e possibile fonte di incidente cyber o operativo.

Un approccio maturo deve sempre distinguere tre livelli: la decisione di governance, l’evidenza documentale e il controllo operativo. La decisione spiega perché un sistema viene usato o limitato; l’evidenza dimostra come è stata fatta la valutazione; il controllo operativo assicura che la regola continui a funzionare dopo l’adozione iniziale. Questa distinzione è essenziale perché molti progetti AI sono dinamici: cambiano fornitori, modelli, dataset, utenti e modalità d’uso.

Nel contesto GAPOFF, questo tema va letto in modo integrato: il modulo AI Act Governance non dovrebbe restare isolato, ma dialogare con GDPR, Vendor Risk, Incident & Breach Ops, ISO 27001, Business Continuity e Trust Center quando il caso d’uso lo richiede. La conformità diventa più forte quando un’unica evidenza può sostenere più controlli senza creare copie incoerenti.

Cosa deve fare concretamente l’organizzazione

Creare un inventario unico che includa asset ICT, sistemi AI e fornitori critici.
Mappare controlli comuni: sicurezza accessi, logging, change management, incident response, backup, continuità, vendor risk.
Distinguere obblighi specifici: classificazione AI Act, requisiti NIS2, contratti ICT DORA, notifiche e tempistiche.
Usare un unico incident intake con routing verso AI, cyber, privacy, NIS2 o DORA.
Collegare fornitori AI e ICT a contratti, SLA, subfornitori e exit strategy.
Preparare report diversi partendo da evidenze comuni, evitando duplicazioni manuali.
Riesaminare periodicamente la mappa normativa quando cambiano sistemi, clienti o settore.

Evidenze e documenti da conservare

| Evidenza | Perché serve | Quando aggiornarla | | --- | --- | --- | | Inventario integrato | AI, ICT, fornitori, processi | Base comune | | Risk assessment | Rischi AI, cyber, ICT, operativi | AI Act/NIS2/DORA | | Incident workflow | Routing e tempistiche | Incident & Breach Ops | | Vendor file | Contratti, SLA, subfornitori | Vendor Risk | | Continuity plan | Fallback e resilienza | BCP/DORA/NIS2 |

Esempio pratico

Una fintech usa AI per antifrode. Il sistema è collegato a dati clienti, infrastruttura cloud e fornitore esterno. In ottica AI Act serve valutare classificazione, rischio, controllo umano e documentazione. In ottica DORA serve resilienza ICT, gestione fornitore e incident reporting. In ottica GDPR serve valutare dati personali. Una piattaforma unica consente di non duplicare evidenze e di produrre report diversi per destinatari diversi.

Errori comuni da evitare

Creare programmi separati senza cross-mapping.
Confondere scadenze e obblighi tra AI Act, NIS2 e DORA.
Non includere AI nel perimetro cyber.
Non collegare fornitori AI ai fornitori ICT critici.
Gestire incidenti con canali separati e senza vista unificata.

Come GAPOFF aiuta

GAPOFF è progettato come piattaforma multi-normativa: AI Act Governance, NIS2 Compliance, DORA Compliance, Vendor Risk, Incident & Breach Ops e Business Continuity possono condividere evidenze e controlli. Questo riduce il lavoro ripetitivo e rende il sistema più credibile in audit.

L'AI Act non si gestisce con Excel.

Inventory sistemi AI, classificazione del rischio, sorveglianza umana, documentazione tecnica, fornitori AI ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica AI Act, GDPR (DPIA), Vendor Risk, NIS2, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo AI Act →

Checklist operativa

Inventario AI/ICT integrato.
Cross-mapping controlli attivo.
Obblighi specifici separati.
Incident intake unico.
Vendor file condiviso.
BCP collegato ai sistemi critici.
Report differenziati per normativa.
Riesame periodico della mappa.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo AI Act →

FAQ

AI Act, NIS2 e DORA si applicano sempre insieme?

No. Dipende da settore, soggetto, sistemi e attività. Tuttavia molti processi di controllo sono riutilizzabili.

DORA riguarda tutte le aziende?

No, riguarda il settore finanziario e specifici fornitori ICT terzi, secondo il perimetro normativo applicabile.

NIS2 impone obblighi AI specifici?

NIS2 è cyber; l’AI può essere parte degli asset o dei rischi da governare, ma la classificazione AI resta tema AI Act.

Perché usare una piattaforma unica?

Perché permette di mantenere evidenze comuni e produrre viste diverse per ogni normativa.

Modulo GAPOFF AI Act

Inventory sistemi AI, classificazione del rischio (vietato/alto/limitato/minimo), obblighi provider e deployer, governance AI, documentazione tecnica, sorveglianza umana, GPAI, audit-ready. Cross-mapping con GDPR (DPIA), NIS2, DORA e ISO 27001.

Vai al modulo AI Act →

Fonti ufficiali e riferimenti

Disclaimer legale

Questo contenuto ha finalità informative e di orientamento generale. Non costituisce consulenza legale, tecnica, fiscale o organizzativa personalizzata. Per determinare obblighi, responsabilità e misure applicabili al caso concreto, è necessario svolgere una valutazione specifica con professionisti qualificati e fonti ufficiali aggiornate.

Libro: AI Act per il Business

Guida pratica scaricabile gratis — perimetro, obblighi, governance e implementazione operativa del Regolamento (UE) 2024/1689 per imprese italiane.

Scarica il libro (PDF)

FAQ