Cosa entra in vigore il 9 aprile 2026
Il 9 aprile 2026 entra in vigore la Legge 17 marzo 2026, n. 36, la cosiddetta Legge di Delegazione Europea 2025. Si tratta di una legge-delega: non cambia direttamente le regole, ma autorizza il Governo italiano ad adottare — nei prossimi 3-12 mesi — i decreti legislativi necessari per recepire una serie di direttive e regolamenti dell'Unione europea. Tra i temi più rilevanti per aziende e professionisti: protezione dei dati personali, cybersecurity e Cyber Resilience Act.
In pratica, il Parlamento ha tracciato la mappa e dato i poteri al Governo. Ora i decreti attuativi devono arrivare entro i termini fissati. Chi gestisce dati personali o produce/distribuisce prodotti digitali deve cominciare a prepararsi adesso.
Cyber Resilience Act: obblighi per chi vende prodotti digitali
La novità più impattante per le imprese è il recepimento del Cyber Resilience Act (CRA), il nuovo regolamento europeo sulla sicurezza dei prodotti digitali. Il principio è semplice ma rivoluzionario: ogni prodotto con componenti digitali — da un router a un'app, da un software gestionale a un dispositivo IoT — deve soddisfare requisiti minimi di sicurezza informatica prima di poter essere messo in commercio.
Chi è coinvolto? Tre categorie di operatori economici:
- Produttori: devono progettare e sviluppare il prodotto rispettando i requisiti di sicurezza, garantire aggiornamenti di sicurezza per tutta la vita utile del prodotto e notificare le vulnerabilità attivamente sfruttate all'ACN (Agenzia per la Cybersicurezza Nazionale)
- Importatori: devono verificare che i prodotti che introducono sul mercato italiano rispettino il CRA prima di immetterli in commercio
- Distributori: devono fare le opportune verifiche e non distribuire prodotti non conformi
NIS2 e il coordinamento con la normativa nazionale
La legge delega prevede anche che il Governo coordini la normativa nazionale con la Direttiva NIS2, già recepita in Italia con il D.Lgs. 138/2024. La NIS2 obbliga migliaia di aziende italiane — nei settori considerati critici come energia, trasporti, banche, infrastrutture digitali, sanità — a dotarsi di misure di sicurezza informatica robuste e a notificare gli incidenti significativi all'ACN entro 24-72 ore.
Il coordinamento richiesto dalla nuova legge mira a evitare sovrapposizioni e antinomie tra i diversi strumenti normativi: NIS2, CRA e il Perimetro di Sicurezza Nazionale Cibernetica devono formare un sistema coerente.
Protezione dei dati: cosa potrebbe cambiare per le aziende
Sul fronte GDPR, la delegazione europea 2025 prevede alcune novità attese sul piano della protezione dei dati personali, tra cui:
- Limiti all'accesso delle forze dell'ordine ai dispositivi elettronici dei privati, con garanzie più stringenti per i diritti degli interessati
- Rafforzamento delle tutele nelle attività di profilazione e trattamento automatizzato
- Potenziamento dei poteri e delle risorse dell'ACN in materia di vigilanza, controllo e certificazione della conformità
I decreti attuativi determineranno l'impatto concreto sulle imprese. Tuttavia, le aziende che già oggi hanno una privacy policy aggiornata e conforme al GDPR saranno in posizione migliore per adeguarsi rapidamente.
Il ruolo dell'ACN: un interlocutore sempre più centrale
Un elemento comune a tutte le novità introdotte dalla delega è il ruolo crescente dell'Agenzia per la Cybersicurezza Nazionale (ACN), che diventa il punto di riferimento unico per notifiche di incidenti, certificazione della conformità dei prodotti digitali e vigilanza sul rispetto delle nuove norme. Le aziende devono sapere chi è il loro referente in caso di incidente informatico: l'ACN è raggiungibile tramite il portale ufficiale acn.gov.it.
Cosa fare adesso: 4 passi pratici
Anche se i decreti attuativi non sono ancora arrivati, ci sono azioni concrete che le aziende possono avviare subito:
- 1. Verificare la conformità GDPR: la privacy policy del proprio sito deve essere aggiornata, chiara e conforme al Regolamento UE 2016/679. Se non lo è, è il momento di adeguarla
- 2. Mappare i fornitori di prodotti digitali: chi usa software, dispositivi IoT o app di terze parti deve verificare se questi soggetti saranno soggetti al Cyber Resilience Act
- 3. Valutare l'applicabilità della NIS2: se l'azienda opera in uno dei settori critici, verificare se rientra nel perimetro NIS2 e iniziare l'iter di registrazione presso l'ACN
- 4. Redigere o aggiornare gli accordi di riservatezza: nei contratti con fornitori, consulenti e collaboratori che trattano dati aziendali, è essenziale avere clausole di riservatezza aggiornate alle nuove norme
Come LegalePronto può aiutarti
Se devi adeguare la tua documentazione legale alle nuove normative, su LegalePronto puoi generare in pochi minuti una Privacy Policy GDPR aggiornata e conforme alla normativa italiana, un accordo di riservatezza (NDA) per i tuoi fornitori e collaboratori che trattano dati sensibili, o una lettera d'incarico professionale che includa clausole aggiornate sulla protezione dei dati.
Fonti
Le informazioni riportate si basano sulla Gazzetta Ufficiale (Legge 17 marzo 2026, n. 36), sul portale Federprivacy, su INSIC e sull'Agenzia per la Cybersicurezza Nazionale. Per applicazioni specifiche al proprio contesto aziendale, si raccomanda il supporto di un consulente privacy o di un avvocato specializzato in diritto digitale.