Sei sotto attacco Cyber? Interveniamo subito

Digital Omnibus: cosa cambia per chi gestisce l’IT

Illustrazione satirica in stile cartoon di una sala operativa IT durante un incidente ransomware. Al centro, un responsabile sistemi appare nel panico davanti a un monitor con la scritta “Ransomware detected”, mentre intorno a lui colleghi al telefono gestiscono notifiche e obblighi normativi legati a NIS2, GDPR, DORA, eIDAS, CER e Banca d’Italia. L’immagine ironizza sulla complessità burocratica della gestione degli incidenti informatici e suggerisce il ruolo del Digital Omnibus nel semplificare report e notifiche.

Digital Omnibus: cosa cambia per chi gestisce l’IT

Lunedì mattina, ore 7:42

Immagina questa scena. Sei il responsabile IT di un’azienda manifatturiera con 400 dipendenti, due stabilimenti in Italia e uno in Germania. Il telefono squilla alle 7:42. È il fornitore che gestisce il SOC: durante la notte è stato rilevato un movimento laterale anomalo, hanno isolato due server, e ci sono indicatori coerenti con un ransomware.

Mentre stai ancora capendo l’estensione del danno, ti arriva un messaggio dal tuo legale: “Hai 72 ore per notificare al Garante Privacy. Anzi, 24 ore per la prima comunicazione all’ACN. Anzi, controlla anche se rientriamo in DORA. Per la Germania serve un’ulteriore notifica al BSI.”

Sono le 9:30 e in quattro ore di lavoro non hai ancora ricostruito cosa è successo. Però devi già compilare quattro moduli diversi su quattro portali diversi, ognuno con il suo formato e i suoi campi obbligatori. Il SOC sta ancora ricostruendo i log. Il backup di una delle macchine è da verificare. E il CFO vuole sapere quando torna online il gestionale.

Questa scena, oggi, è la normalità per chi gestisce un incidente cyber rilevante in azienda. Il Digital Omnibus, il pacchetto legislativo europeo presentato a fine 2025, vuole cambiare proprio questa dinamica.

Vediamo come, in modo che chiunque gestisca l’IT possa capire cosa sta arrivando, anche se la compliance non è il suo mestiere quotidiano.

La situazione di oggi: cinque cappelli sulla stessa testa

Quando un’azienda europea subisce un incidente cyber rilevante, può essere obbligata a notificarlo a più autorità contemporaneamente. Ognuna risponde a una regolamentazione diversa.

In sintesi semplice:

GDPR. Se ci sono dati personali compromessi, devi avvisare il Garante Privacy. In Italia entro 72 ore. Vale per chiunque tratti dati personali, quindi praticamente tutti.

NIS2. Se rientri tra i soggetti “essenziali” o “importanti” (energia, sanità, manifatturiero rilevante, digitale, alimentare, e altri settori critici), devi avvisare l’ACN, l’Agenzia per la Cybersicurezza Nazionale. Prima notifica entro 24 ore.

DORA. Se sei una banca, un’assicurazione, un intermediario finanziario, o fornisci servizi ICT al settore finanziario, devi avvisare la Banca d’Italia (o Consob, o IVASS, a seconda dei casi).

eIDAS. Se gestisci servizi fiduciari (firme digitali, certificati, identità digitale), c’è un’autorità dedicata.

CER. Se sei un’entità “critica” (settori come trasporti, acqua, energia, infrastrutture chiave), c’è un altro canale ancora.

Cosa significa in pratica? Significa che la stessa persona, in azienda, può ritrovarsi a compilare tre o quattro moduli diversi, su tre o quattro portali diversi, in tre o quattro formati diversi. Tutto nelle prime ore di un incidente, quando il vero lavoro tecnico (capire cosa è successo, contenere, ripristinare) avrebbe bisogno di tutta la tua attenzione.

E se l’incidente coinvolge la tua sede italiana e quella tedesca? Aggiungi le autorità tedesche. E se coinvolge anche un fornitore in Polonia? Aggiungi quelle polacche. Ogni Paese ha la sua autorità competente per ogni regolamento, ognuna con il suo modulo, ognuna con i suoi tempi.

La Commissione Europea ha guardato a questa fotografia e ha concluso che così non funziona. Le aziende perdono tempo prezioso in burocrazia parallela, le autorità ricevono dati in formati diversi che non riescono a confrontare tra loro, e nel frattempo l’attaccante è ancora dentro.

La svolta: il Digital Omnibus

Il 19 novembre 2025 la Commissione Europea ha presentato un pacchetto legislativo chiamato Digital Omnibus. Il nome suona strano, ma il concetto è semplice: invece di scrivere una nuova legge, l’Omnibus modifica con interventi mirati una decina di norme già esistenti, in modo da farle funzionare meglio insieme.

Tra le tante cose che tocca (GDPR, AI Act, ePrivacy, Data Act, regole sui cookie), una in particolare interessa chi gestisce l’IT: il modo in cui si notificano gli incidenti.

Il principio si chiama “report once, share many“. Tradotto: notifichi una volta, e poi è il sistema a smistare la segnalazione alle autorità giuste.

Concretamente arriva un portale unico europeo gestito da ENISA, l’agenzia dell’Unione Europea per la cybersecurity. Tu mandi la tua segnalazione lì, in un formato standard, e ENISA fa il routing: la inoltra al Garante, all’ACN, alla Banca d’Italia, e a chiunque altro debba riceverla in base alla natura dell’incidente.

Il termine tecnico è Single Entry Point, abbreviato SEP. Lo sentirai nominare spesso nei prossimi mesi.

Come funzionerà davvero il Single Entry Point

Il portale sarà unico per tutta Europa, gestito centralmente da ENISA. Non ci saranno più portali nazionali separati per ogni regolamento.

Il formato sarà standardizzato. Oggi ogni autorità ha il suo modulo con i suoi campi. Domani ci sarà un template comune (che l’EDPB, lo European Data Protection Board, dovrà preparare) che andrà bene per tutte le notifiche.

ENISA farà solo il routing. Non valuta, non sanziona, non decide. Riceve la segnalazione, controlla che sia formalmente completa, e la inoltra alle autorità competenti del tuo Paese. Se l’incidente coinvolge più Stati membri, la inoltra a tutti i Paesi interessati.

Non sostituisce gli obblighi sostanziali. Il SEP è un canale di trasmissione. Le scadenze restano quelle delle singole leggi: 24 ore per la prima notifica NIS2, 96 ore per il GDPR (dopo le modifiche di cui parleremo tra poco), e così via.

Tempi di attivazione: il portale dovrà essere pronto entro 18 mesi dall’entrata in vigore del Digital Omnibus, con possibile estensione a 24 mesi se ENISA non riesce a consegnare in tempo. Considerato che il Digital Omnibus è ancora in negoziato e l’adozione è prevista verso metà 2026, il SEP dovrebbe diventare operativo tra la fine del 2027 e l’inizio del 2028.

Cosa copre: tutte le notifiche di incidente sotto NIS2, GDPR, DORA, eIDAS, CER. La Commissione ha già anticipato che porterà sotto il SEP anche obblighi specifici di settore, come quelli per il network code dell’elettricità e per l’aviazione.

In altre parole: oggi il tuo team mantiene cinque tubi separati, ognuno con la sua valvola e il suo manometro. Domani avrà un solo tubo con un manifold a valle che indirizza l’output dove serve. Stesso lavoro a monte, infinitamente meno fatica a valle.

Cosa cambia per il GDPR: due numeri da ricordare

Insieme al Single Entry Point, il Digital Omnibus modifica due aspetti pratici del GDPR che riguardano direttamente chi gestisce un incidente.

Primo numero: 96 ore al posto di 72. La finestra per notificare un data breach al Garante si estende da 72 a 96 ore. Quattro giorni netti invece di tre. Sembra poco, ma chi ha gestito un incidente sa che quelle 24 ore in più sono la differenza tra una notifica scritta sotto pressione (con il rischio di omissioni o imprecisioni che poi vanno corrette) e una notifica ben ricostruita.

Secondo numero, anzi concetto: “rischio elevato”. Oggi il GDPR ti obbliga a notificare quasi ogni data breach, salvo che tu possa dimostrare che è “improbabile presenti un rischio” per i diritti e le libertà delle persone. La nuova soglia è più alta: dovrai notificare solo i breach che presentano un rischio elevato per i diritti delle persone. È la stessa soglia che oggi fa scattare l’obbligo di informare anche le persone interessate (Articolo 34 GDPR).

In pratica: meno notifiche di routine, più focus sui casi davvero seri. Il Garante riceverà meno rumore e potrà concentrarsi su quello che conta.

Attenzione: non sparisce l’obbligo di registrare internamente ogni data breach. Quello resta. Cambia solo cosa devi mandare al Garante.

C’è anche un secondo pacchetto: la riforma NIS2 di gennaio 2026

Il Digital Omnibus non viaggia da solo. Il 20 gennaio 2026 la Commissione ha presentato un secondo pacchetto, complementare, che riguarda specificamente la cybersecurity: una revisione del Cybersecurity Act e ritocchi mirati alla NIS2.

Tre cose pratiche da sapere, perché toccano direttamente chi gestisce l’IT:

Giurisdizione cross-border più chiara. Se la tua azienda opera in più Paesi, oggi capire chi è il regolatore di riferimento per la NIS2 può essere un rebus. La nuova proposta semplifica le regole, rafforza il ruolo di coordinamento di ENISA, e introduce un meccanismo di “lead authority” per le entità multi-Paese.

Raccolta dati ransomware standardizzata. Quando notifichi un ransomware, dovrai fornire informazioni in un formato comune europeo: vettore d’attacco, eventuali misure di mitigazione applicate, e (per attacchi significativi) se c’è stata una richiesta di riscatto, l’importo, e il mezzo di pagamento (tipicamente quale criptovaluta). Serve all’Europa per costruire un quadro statistico vero del fenomeno, oggi reso opaco dal fatto che le aziende riportano ransomware in modi diversi a regolatori diversi.

Espansione del perimetro NIS2. Vengono aggiunti nuovi soggetti: i fornitori dei futuri European Digital Identity Wallet, i fornitori di European Business Wallet, gli operatori di infrastrutture sottomarine di trasmissione dati, e le infrastrutture dual-use strategiche (indipendentemente dalla loro dimensione). Vengono invece esclusi i microsoggetti DNS.

I due pacchetti, Digital Omnibus e riforma NIS2/CSA2, viaggiano insieme. La buona notizia è che la direzione è coerente: meno frammentazione, più convergenza, più automazione.

Quello che NON cambia (e che è importantissimo capire)

Qui c’è il punto che molti sbagliano leggendo i titoli. Il Digital Omnibus non riduce la sostanza degli obblighi.

Cosa significa? Significa che:

Chi è soggetto a NIS2 oggi, lo sarà anche dopo. L’Omnibus non ti tira fuori dal perimetro, anzi in qualche caso lo allarga. Cosa devi notificare resta uguale. Le definizioni di “incidente significativo” restano quelle. Le scadenze (24 ore, 72 ore, 96 ore a seconda del regolamento) restano legate alle singole leggi. Le sanzioni restano quelle previste dai singoli regolamenti. Il lavoro tecnico di rilevare, contenere, ricostruire l’incidente non cambia di una virgola.

Cambia solo il front-end: come consegni l’informazione, dove la consegni, in quale formato. La parte burocratica, in altre parole. Che è già un grande risparmio (la Commissione stima fino a 5 miliardi di euro all’anno per l’intero pacchetto entro il 2029), ma non è la rivoluzione che alcuni titoli lasciano intendere.

Se qualcuno ti dice “con il Digital Omnibus non dovrai più fare la valutazione di impatto per i breach”, non si è letto il testo. Quella valutazione la dovrai fare comunque, semplicemente per decidere se il breach rientra nel “rischio elevato” e quindi va notificato.

Tradotto per chi gestisce l’IT: cinque cose pratiche

Adesso il punto vero. Cosa significa tutto questo per te, che lunedì mattina dovrai gestire un incidente?

Uno. Il tuo playbook di notifica oggi è probabilmente un file Word con cinque procedure parallele. Domani può diventare un’unica procedura, con un solo formato di output. Inizia a pensarlo come un dato strutturato, non come un documento. Significa: invece di scrivere “compilare il modulo A sul portale X”, costruire una checklist di campi (timestamp, sistemi coinvolti, tipo di dati, persone impattate, vettore d’attacco, eccetera) che alimenta tutti i possibili moduli oggi e che alimenterà il SEP domani.

Due. Il SIEM e il sistema di ticketing devono dialogare con la procedura di notifica. Quando il SOC apre un incident, i campi che compilano (timestamp, sistemi coinvolti, tipo di attacco, dati impattati) sono già il 70% di quello che andrà nella notifica. Se oggi questi dati vivono in tre tool diversi che non si parlano, è il momento di iniziare a riconciliarli. Anche solo un foglio condiviso ben strutturato è meglio di niente.

Tre. Il template europeo non c’è ancora, ma i campi prevedibili sono già noti. Li puoi dedurre incrociando i moduli attuali ACN, Garante, e DORA. Costruire oggi un modello dati interno che li copra tutti significa essere pronti il giorno in cui il SEP va live, senza dover rifare il lavoro da zero.

Quattro. La tua catena di responsabilità deve essere chiara prima dell’incidente, non durante. Chi firma la notifica? Chi la valida? Chi parla con il legale? Chi parla con il regolatore se chiede chiarimenti? Definire questo a freddo è mezz’ora di riunione. Definirlo a caldo, mentre l’attaccante è ancora dentro, è un disastro.

Cinque. Se usi un MSSP per il SOC, chiedi adesso al tuo fornitore come pensa di integrarsi con il SEP. Non è una domanda per il 2027, è una domanda per il prossimo rinnovo contrattuale. Un buon fornitore già ci sta lavorando, e ha una roadmap. Un fornitore che cade dalle nuvole è un segnale.

Le critiche legittime al Digital Omnibus

Il pacchetto non è esente da critiche, ed è giusto conoscerle prima di firmare il prossimo budget.

Alcuni Stati membri hanno sollevato dubbi pratici sul Single Entry Point: quanto sarà sicuro un portale che concentra in un unico punto le notifiche di mezzo continente? Cosa succede se va offline durante una crisi cyber paneuropea? Sarà davvero interoperabile con i sistemi nazionali esistenti?

Le associazioni di tutela dei dati personali hanno espresso preoccupazione per l’innalzamento della soglia GDPR a “rischio elevato”: meno notifiche significano meno visibilità delle autorità sui breach minori, e quindi meno capacità di leggere fenomeni di insieme. Il rischio è che si perdano i segnali deboli che oggi permettono di intercettare campagne sistemiche.

Alcuni esperti hanno fatto notare che il SEP, di fatto, semplifica solo il canale di trasmissione: i thresholds, i deadlines, i requisiti informativi delle singole leggi restano differenti. Quindi dietro al “single entry” potrebbe esserci ancora una bella complessità di “single content”.

Sono critiche serie, e probabilmente influenzeranno il testo finale che uscirà dal trilogo europeo. Ma la direzione politica è chiara, e improbabilmente cambierà.

La conclusione: 18 mesi non sono tempo morto

Per chi gestisce l’IT, il messaggio è semplice. La frammentazione attuale dei reporting è un costo nascosto enorme, in tempo e in stress, e l’Europa ha deciso di smontarla. Ci vorranno 18-24 mesi prima che il Single Entry Point sia operativo, ma quei 18 mesi non sono tempo morto: sono la finestra in cui si decide se arrivi pronto o se ti fai prendere alla sprovvista.

I responsabili IT che usano questo tempo per riprogettare il proprio processo di incident response come un flusso di dati strutturato, integrato tra SIEM, ticketing, e ufficio compliance, si troveranno il giorno del go-live a dover solo cambiare l’endpoint a cui mandano la notifica. Una settimana di lavoro.

Quelli che invece arrivano al go-live con cinque procedure parallele in cinque Word diversi, dovranno rifare tutto sotto pressione. Un trimestre di lavoro, e in mezzo magari capiterà anche un incidente vero da gestire.

Il Digital Omnibus non risolverà tutti i problemi della compliance europea. Ma è il primo segnale concreto che la direzione di marcia è una sola: meno burocrazia parallela, più automazione, più convergenza tra regolamenti che fino a ieri parlavano lingue diverse. E per chi gestisce l’IT è una buona notizia, a patto di iniziare a prepararsi adesso.

Quando lunedì mattina, tra qualche anno, il telefono squillerà di nuovo alle 7:42, la differenza tra una giornata gestibile e un incubo dipenderà da quello che hai costruito nei 18 mesi precedenti.

Hai bisogno di una consulenza? Contattaci!

    Logo Digimetrica

    Il partner per la sicurezza informatica della tua azienda

    Link rapidi

    Servizi

    Iscriviti alla nostra Newsletter

      Seguici sui social:

      Linkedin-in Facebook-f Youtube X-twitter