Consiglio e Parlamento europeo hanno da poco raggiunto un accordo provvisorio sul Digital Omnibus, il pacchetto normativo che punta ad armonizzare le principali regole europee in materia digitale, dall’AI Act alla cybersicurezza. Tra le novità attualmente in discussione c’è anche l’introduzione del “Single Entry Point”, un sistema unico di notifica degli incidenti cyber che, una volta approvato definitivamente, dovrebbe consentire alle imprese di gestire attraverso un solo canale gli obblighi previsti daGDPR, DORA e NIS2. Una misura che punta a semplificare i processi di compliance e il coordinamento tra autorità europee. Per capirne di più, Affaritaliani ha interpellato Giuseppe Vaciago, Partner di 42 Law Firm.
In che cosa consiste il nuovo Single Entry Point previsto dal Digital Omnibus?
Partiamo da un presupposto fondamentale: nel contesto dei data breach (violazione dei dati, ndr) esisteva già un impianto normativo che prevedeva il coinvolgimento di autorità competenti nella gestione di incidenti che interessano più giurisdizioni. Era quindi già presente l’idea di centralizzare la gestione presso l’autorità con maggiore competenza sull’incidente informatico. Negli ultimi anni, però, sono entrate in vigore nuove normative come NIS2 (Network and Information Security 2, ndr) e DORA (Digital Operational Resilience Act, ndr), che hanno introdotto ulteriori obblighi di notifica e procedure differenti. Oggi ci troviamo quindi di fronte a un quadro molto frammentato: uno stesso incidente informatico può richiedere comunicazioni separate verso più autorità, ciascuna con regole e tempistiche diverse. Da qui nasce l’esigenza di creare un unico punto di contatto, il cosiddetto “Single Entry Point”, che permetterà alle aziende di effettuare una sola notifica. Sarà poi il sistema stesso a smistare automaticamente le informazioni verso le autorità competenti. Le modalità tecniche di funzionamento dovranno però essere definite nei successivi atti attuativi.
Come funzionerà operativamente questo sistema?
In pratica, l’azienda che subisce un incidente effettuerà un’unica segnalazione attraverso questa piattaforma centralizzata. Il sistema provvederà poi a inoltrare automaticamente la notifica al garante privacy, alle autorità NIS, alle autorità DORA e agli altri enti eventualmente coinvolti. Il principio è molto semplice: “reporting una sola volta”, con successiva condivisione verso più soggetti. Oggi, invece, molte aziende sono costrette a notificare lo stesso incidente a più autorità, spesso in situazioni di emergenza e senza avere piena chiarezza su quali enti siano effettivamente competenti. Questo genera inevitabilmente confusione, ritardi e un forte aumento del carico burocratico.
Quali problemi risolverebbe il nuovo modello?
Il vantaggio principale è sicuramente la semplificazione burocratica. Quando un’azienda subisce un attacco o un grave incidente informatico, spesso si trova in una situazione di totale emergenza: server bloccati, attività ferme, dipendenti impossibilitati a lavorare. In quel contesto dover compilare notifiche multiple verso diverse autorità aumenta enormemente il rischio di errore. Con il Single Entry Point l’azienda effettua una sola comunicazione, mentre sarà la piattaforma a gestire lo smistamento verso le autorità competenti. Faccio un esempio pratico: un data breach che coinvolge esclusivamente caselle email aziendali e dati personali potrebbe rientrare nell’ambito GDPR, ma non necessariamente in quello DORA, perché l’infrastruttura coinvolta potrebbe non essere soggetta a quella normativa. Oggi, nel dubbio, molte aziende notificano tutto a tutti. Domani, invece, il sistema potrà filtrare e indirizzare automaticamente la segnalazione corretta.
C’è anche un tema legato alle giurisdizioni europee?
Assolutamente sì, ed è uno degli aspetti più importanti. I data breach raramente coinvolgono un solo Paese. Molto spesso parliamo di infrastrutture cloud, servizi digitali o multinazionali che operano contemporaneamente in più Stati membri. In questi casi è fondamentale capire quale autorità sia realmente competente. Pensiamo a grandi aziende come Google o Apple: spesso la competenza ricade sull’Irlanda, dove si trovano i principali data center europei. Ma ci sono casi molto più complessi, in cui bisogna valutare dove avviene realmente il trattamento dei dati o quale Stato abbia il maggiore interesse giuridico. Il Single Entry Point dovrebbe consentire proprio questo: avere una struttura centrale capace di valutare immediatamente le giurisdizioni coinvolte e coordinare le autorità competenti.
Questa novità può rappresentare anche un cambio di paradigma nella gestione della cybersicurezza europea?
Sì, e secondo me è il punto più importante. Oggi molte aziende vedono il reporting come un obbligo punitivo: “devo notificare perché il garante potrebbe sanzionarmi”. In realtà la finalità dovrebbe essere molto più ampia. Come spiegato anche da Giuseppe D’Acquisto, funzionario del Garante per la protezione dei dati personali, il reporting serve soprattutto a consentire alle autorità di comprendere quali minacce stanno circolando e prevenire nuovi incidenti. Se emerge una nuova modalità di attacco, avere informazioni centralizzate in tempo reale permette di avvisare rapidamente tutte le organizzazioni europee, condividendo indicatori di compromissione, tecniche utilizzate dagli attaccanti e misure preventive. Finora questo sistema ha funzionato in modo frammentato perché le notifiche erano lente e spesso inviate con modalità non standardizzate. Ma nella cybersicurezza il tempo è fondamentale: se un alert arriva un mese dopo, il danno è già stato fatto.
Un salto di qualità che riguarda quindi anche la sicurezza collettiva (e non solo la semplificazione)
Esatto. Oggi gli attacchi cyber rappresentano uno dei principali rischi strategici per l’Europa, soprattutto in un contesto geopolitico sempre più instabile. Non parliamo soltanto di aziende private, ma anche di infrastrutture critiche, energia, sanità, trasporti e servizi pubblici essenziali. Avere un soggetto centrale come ENISA (Agenzia dell’Unione europea per la cibersicurezza, ndr), in grado di raccogliere in tempo reale le informazioni sugli attacchi che colpiscono l’Europa, rappresenta un cambio di passo enorme. La centralizzazione delle informazioni non è solo una semplificazione amministrativa: è uno strumento fondamentale per rafforzare la capacità di prevenzione e risposta dell’intero sistema europeo.