La Commissione Europea ha presentato una pacchetto di semplificazione, noto come digital omnibus che mira a ridurre il peso amministrativo a carico delle imprese per la compliance in materia di intelligenza artificiale (AI), cyber security e dati.

Tra le azioni proposte, lo slittamento dell’entrata in vigore delle norme dell’AI Act – per un periodo massimo di 16 mesi – per quanto riguarda i sistemi classificati come “ad alto rischio”.

La proposta mira a dare più tempo alle imprese per adeguarsi ai nuovi obblighi normativi e a ridurre il carico economico associato alla compliance: la Commissione stima infatti che le modifiche proposte aiuteranno le aziende a risparmiare 5 miliardi di euro entro il 2029.

Digital omnibus, le modifiche proposte all’AI Act

Per quanto riguarda le modifiche proposte all’AI Act, la Commissione propone di legare l’applicazione delle norme alla concreta disponibilità di strumenti di supporto, come gli standard tecnici richiesti.

La tempistica per l’applicazione delle regole ad alto rischio viene quindi ridefinita a un massimo di 16 mesi e scatterà solo dopo che la Commissione avrà confermato che le aziende hanno a disposizione tutto il supporto necessario.

In questo modo la Commissione raccoglie le rimostranze delle imprese che avevano chiesto più tempo per adeguarsi ai nuovi obblighi, soprattutto vista la mancanza di standard tecnici definitivi, attesi dal Cen-Cenelec solo nei primi mesi del 2026, che non lasciano alle imprese tempo sufficiente per adeguarsi.

Viene inoltre alleggerito il carico burocratico per le piccole e medie imprese (PMI), per le small mid cap companies (SMC) e le startup, con un nuovo modulo tecnico semplificato che permetterà loro di riportare la documentazione tecnica richiesta dell’Allegato IV del Regolamento sull’AI, necessaria per dimostrare che il sistema di AI ad alto rischio è conforme ai requisiti stabiliti.

Le semplificazioni si estendono anche alla modalità di applicazione delle sanzioni pecuniarie per le violazioni del Regolamento. Nello specifico:

• gli Stati membri devono tenere conto degli interessi delle SMC e delle PMI (incluse le start-up) e della loro redditività economica quando impongono sanzioni

• per le SMC e le PMI, qualsiasi multa sarà limitata alla percentuale o all’importo inferiore tra quelli previsti per le diverse violazioni, a seconda di quale sia il minore.

Le semplificazioni mirano a generare un risparmio stimato di almeno 225 milioni di euro all’anno.

Saranno inoltre ampliate le misure di compliance per facilitare l’accesso degli innovatori a sandbox regolamentari – tra cui una sandbox a livello dell’UE dal 2028 – e sarà incentivato il testing in contesti reali, soprattutto in settori chiave come l’automotive.

Il pacchetto digital omnibus, inoltre, rafforza il ruolo dell’AI Office, centralizzando la supervisione dei sistemi basati su modelli di AI per scopi generici e riducendo la frammentazione della governance a livello europeo.

Semplificazione nel reporting degli incidenti di cyber security

Oltre a queste misure, il pacchetto contiene anche disposizioni volte a semplificare il sistema di segnalazione degli incidenti di cyber security.

La novità principale consiste nell’introduzione di un punto di accesso unico (single-entry point) attraverso il quale le imprese potranno adempiere a tutti gli obblighi di reporting degli incidenti richiesti da molteplici normative UE.

Attualmente, infatti, le aziende sono costrette a segnalare lo stesso incidente in base a leggi diverse, tra cui la Direttiva NIS2, il Regolamento Generale sulla Protezione dei Dati (GDPR) e il Digital Operational Resilience Act (DORA).

Questa nuova interfaccia, che sarà sviluppata con rigorose misure di sicurezza e sottoposta a test per garantirne l’affidabilità e l’efficacia, mira a centralizzare la segnalazione, eliminando la frammentazione e la duplicazione delle procedure per gli operatori.