La proposta Digital Omnibus segna un passaggio delicato nella razionalizzazione del diritto digitale europeo. La Commissione interviene su un blocco di atti esistenti – GDPR, ePrivacy, Data Act, NIS2, CER, oltre a norme su dati e piattaforme come il Data Governance Act e il Free Flow of Non-Personal Data Regulation – con l’obiettivo dichiarato di semplificare il digital acquis, ridurre costi di conformità e rendere più lineare l’applicazione delle regole. Il cuore tecnico della proposta è duplice: da un lato la convergenza del quadro regolatorio sui dati in un numero più ristretto di strumenti, dall’altro la creazione di un single-entry point per l’incident reporting gestito da ENISA, capace di assorbire gli obblighi oggi distribuiti tra GDPR, NIS2, DORA, eIDAS e CER. Il tutto senza abbassare gli standard su diritti fondamentali, sicurezza o cyber resilienza, ma intervenendo su ridondanze, sovrapposizioni e frammentazioni che negli ultimi anni hanno reso difficile per imprese e amministrazioni avere una vista coerente degli adempimenti.
La proposta non introduce nuovi diritti sostanziali per gli interessati, né nuove categorie di obblighi radicalmente diversi, ma ristruttura il modo in cui vengono applicati e integrati tra loro. Sulla parte dati, Data Act e GDPR diventano gli assi portanti attorno a cui vengono assorbite funzioni oggi sparse tra Data Governance Act, Open Data Directive e Free Flow of Non-Personal Data Regulation. Sul fronte sicurezza, il single-entry point mira a realizzare il principio “report once, share many”, coordinando in un’unica pipeline la notifica di violazioni di dati personali, incidenti cyber e eventi critici per infrastrutture essenziali. Per i soggetti obbligati – in particolare PMI, small mid-cap, enti essenziali e importanti NIS2, operatori finanziari DORA e critical entities CER – il cambiamento è essenzialmente operativo: meno canali, meno template separati, più riuso dei dati di notifica.
Cosa leggere
Digital Omnibus: obiettivi e perimetro della semplificazione
La Commissione inquadra il Digital Omnibus nel programma “A simpler and faster Europe” e nel mandato politico 2024-2029, come primo pacchetto di semplificazione mirato al digital acquis. L’obiettivo tecnico è ridurre il numero di testi da applicare e armonizzare definizioni, obblighi e governance, senza rimettere in discussione gli obiettivi sostanziali delle normative esistenti.
In pratica, il regolamento Omnibus:
– interviene sul GDPR e sulla normativa privacy per integrare in un unico corpo normativo anche le regole su accesso e memorizzazione di dati nei terminali (oggi in gran parte nel quadro ePrivacy) e per introdurre meccanismi automatizzati e machine-readable per il consenso e il diritto di opposizione;
– consolida il quadro dati non personali / dati pubblici abrogando e assorbendo FFDR, Data Governance Act e Open Data Directive all’interno del Data Act, che diventa la dorsale del diritto europeo dei dati non personali e dell’accesso ai dati pubblici riutilizzabili;
– definisce un single-entry point per l’incident reporting che collega in modo strutturale GDPR, NIS2, DORA, eIDAS, CER e i futuri flussi previsti, ad esempio, dal Cyber Resilience Act;
– cancella norme ormai superate nel campo della regolazione delle piattaforme, come il P2B Regulation, il cui perimetro materiale è oggi coperto da DMA e DSA.
Il perimetro è quindi ampio ma mirato: non si tratta di riscrivere le grandi leggi digitali europee, bensì di riorganizzarle, allinearle e accorparle per ridurre gli oneri interpretativi e operativi che ricadono soprattutto su PMI, small mid-cap e amministrazioni nazionali.
Razionalizzazione del data framework europeo
Negli ultimi anni l’Unione ha stratificato un vero e proprio “data legislative acquis” fatto di regolamenti e direttive che si sovrappongono su più piani: FFDR per il divieto di data localisation, Data Governance Act per intermediazione, data altruism e riuso di dati protetti, Open Data Directive per il riuso delle informazioni del settore pubblico, Data Act per condivisione B2B e B2G e switching tra servizi di data processing. La proposta Omnibus riconosce che questa stratificazione genera complessità, definizioni non perfettamente allineate e dubbi di interplay tra strumenti diversi. Per questo:
– la disciplina del Free Flow of Non-Personal Data viene sostanzialmente assorbita dal Data Act, preservando il principio di divieto di data localisation nella misura in cui è ancora necessario, ma evitando la coesistenza di due testi normativi paralleli sullo stesso oggetto;
– il Data Governance Act viene in larga parte inglobato nel Data Act: le regole su data intermediation services, data altruism, requisiti per l’accesso di governi stranieri a dati non personali e il ruolo del European Data Innovation Board convergono in un quadro unico, con un rafforzamento del ruolo del Board sul fronte experience and good practices;
– le norme sul riuso dei dati detenuti dalla PA, oggi divise tra Open Data Directive e capitoli specifici del Data Governance Act, vengono fuse nel Data Act, che diventa il punto di riferimento per chi riutilizza dati pubblici, anche quando sono soggetti a restrizioni.
Per le amministrazioni detentrici di dati, ciò significa processi più lineari, meno incertezze interpretative e un unico set di regole per autorizzare il riuso. Per i riutilizzatori, si traduce in maggiore prevedibilità su condizioni, licenze, eventuali compensi e sull’interfaccia con le autorità competenti. L’effetto complessivo è quello di un data framework centrato sul Data Act come “codice dei dati non personali e dei dati pubblici”, con il GDPR che continua a presidiare la sfera dei dati personali e la protezione dei diritti fondamentali.
Le modifiche al GDPR e alle regole ePrivacy
Sul piano privacy, il Digital Omnibus interviene in modo particolarmente tecnico, ma con impatti pratici rilevanti. Il primo snodo è il trasferimento nel GDPR delle regole oggi collocate nella direttiva ePrivacy in materia di accesso e memorizzazione di dati nei terminali degli utenti (i classici scenari “cookie e tecnologie affini”).
L’inserimento di un nuovo articolo nel GDPR consente di:
– unificare in un solo testo l’intera disciplina che governa il trattamento di dati personali e l’accesso a informazioni memorizzate nei terminali;
– allineare il regime sostanziale agli standard di trasparenza, base giuridica e accountability già tipici del GDPR;
– ridurre il rischio di interpretazioni divergenti tra strumenti diversi e tra Stati membri, specie alla luce delle differenze di recepimento della direttiva ePrivacy.
Il secondo snodo è l’introduzione di meccanismi automatizzati e machine-readable per il consenso e l’esercizio del diritto di opposizione. La proposta prevede che gli interessati possano esprimere e revocare le proprie scelte attraverso segnali standardizzati, trasmessi da browser, app mobili o altri strumenti – compresi in prospettiva agentic AI – verso i servizi online. La Commissione ottiene un mandato esplicito per chiedere agli organismi di standardizzazione lo sviluppo di standard tecnici per codificare e trasmettere queste scelte, che dovranno essere:
– machine-readable, così da essere interpretati automaticamente dai siti e dalle app;
– interoperabili tra browser, sistemi operativi mobili e servizi web;
– tecnologicamente neutrali, in modo da poter essere veicolati non solo da impostazioni del browser ma anche da altri agenti software, purché rispettino il quadro del GDPR.
Una volta disponibili gli standard e trascorso un periodo di grazia di sei mesi, i controller che offrono servizi via web o app mobile dovranno rispettare questi segnali e potranno beneficiare di una presunzione di conformità se attuano correttamente le specifiche. Un punto politicamente sensibile è l’eccezione introdotta per i media service provider ai sensi della European Media Freedom Act: considerando la centralità dei ricavi online per il pluralismo e il giornalismo indipendente, questi operatori non saranno obbligati a rispettare i segnali automatizzati, potendo mantenere una interazione diretta con l’utente tramite interfacce di consenso dedicate. È un bilanciamento esplicito tra automazione delle scelte di privacy e sostenibilità economica dei media. Sul versante delle data breach notifications, il Digital Omnibus interviene sull’articolo 33 GDPR per:
– ribadire la necessità di template comuni e di un ruolo rafforzato dell’EDPB nella proposta di modelli standard di notifica;
– predisporre il collegamento strutturale con il single-entry point, così che le notifiche di violazione di dati personali fluiscano attraverso lo stesso canale tecnico degli incidenti NIS2, DORA, eIDAS e CER.
Si tratta di un passo importante verso un ecosistema di notifiche cyber e privacy unificato, in cui il GDPR smette di essere un binario parallelo e diventa parte di una pipeline di incident reporting integrata.
Single-entry point ENISA per l’incident reporting
Il cuore operativo del Digital Omnibus, lato sicurezza, è la creazione di un single-entry point per la segnalazione degli incidenti, affidato ad ENISA. Dal punto di vista normativo, la proposta modifica la direttiva NIS2 introducendo un nuovo articolo 23a, che definisce:
– il mandato di ENISA a sviluppare e mantenere la piattaforma unica di notifica;
– le misure tecniche, operative e organizzative che l’Agenzia deve adottare a tutela di integrità, riservatezza e disponibilità dei dati trasmessi;
– le specifiche di interoperabilità con le altre basi normative, incluse le future estensioni per settori come energia e aviazione.
Il single-entry point è progettato come canale tecnico comune, non come nuova autorità: le notifiche continuano a essere giuridicamente indirizzate alle autorità competenti e ai CSIRT previsti da ciascun atto (NIS2, GDPR, DORA, eIDAS, CER), ma vengono veicolate attraverso un’unica piattaforma. L’obiettivo è esplicito: “report once, share many”. Gli operatori essenziali e importanti, le entità finanziarie, i fornitori di servizi fiduciari o di servizi digitali regolati, non dovranno più duplicare notifiche simili su canali distinti, ma potranno:
– inviare una sola notifica strutturata con un set di campi armonizzati;
– beneficiare di un riuso automatico delle informazioni, che verranno smistate dal single-entry point alle autorità pertinenti in base al profilo giuridico dell’evento;
– ridurre gli errori e l’incompletezza dei report, grazie a template allineati agli standard già sviluppati sotto DORA per gli incidenti ICT del settore finanziario.
La proposta prevede una finestra temporale di 18 mesi per rendere operativo il single-entry point, con la possibilità di slittare a 24 mesi se la Commissione riterrà necessario un periodo aggiuntivo per verificare il pieno funzionamento e la sicurezza della piattaforma. In caso di indisponibilità tecnica del sistema, resta la possibilità di adempiere via canali alternativi, che le autorità dovranno mantenere e pubblicizzare. Tuttavia, il modello target è chiaro: nel regime di piena operatività, tutte le notifiche rientranti nel perimetro dovranno transitare dal single-entry point ENISA.
Impatto su NIS2, DORA, CER ed eIDAS
Per realizzare questa convergenza, il Digital Omnibus interviene con modifiche puntuali su più testi:
– su NIS2, oltre all’articolo 23a, vengono ritoccati gli articoli 23 e 30 per mandatare l’uso del single-entry point per le notifiche di incidenti significativi e abilitare il sistema come opzione anche per notifiche ulteriori su base volontaria;
– su DORA, l’articolo 19 viene modificato per prevedere che le notifiche di major ICT-related incidents e le voluntary notifications di cyber threats significative transitino attraverso il single-entry point, facendo leva sulle regulatory technical standards già esistenti per template e contenuti dei report;
– su CER, l’articolo 15 viene allineato al nuovo flusso, in modo che gli incidenti che disturbano significativamente i servizi essenziali delle critical entities possano essere notificati mediante la stessa piattaforma;
– su eIDAS, vengono introdotti riferimenti alla piattaforma unica per le notifiche relative a trust service providers, EU Digital Identity Wallet e web-browser providers, così da mantenere coerenza anche sul fronte identità digitale e servizi fiduciari;
– su GDPR, come visto, le notifiche di personal data breach vengono formalmente collegate al single-entry point, con un ruolo strutturale per l’EDPB nella definizione di template comuni che tengano conto di quanto già sperimentato in ambito DORA.
Un elemento tecnico rilevante è l’enfasi sulla interoperabilità e sul riuso degli standard DORA: la Commissione riconosce che il settore finanziario ha già implementato un framework armonizzato di incident reporting, con template che distinguono notifica iniziale, report intermedi e report finale. L’esperienza maturata viene quindi elevata a benchmark per la definizione dei requisiti informativi minimi di NIS2, CER e GDPR, evitando che ogni dominio sviluppi schemi proprietari incompatibili.
In parallelo, il Digital Omnibus chiarisce che il single-entry point dovrà supportare non solo la ricezione delle notifiche dai soggetti obbligati, ma anche lo scambio successivo di informazioni tra autorità competenti, lì dove ciò è previsto dagli atti di base. Questo implica una piattaforma di livello enterprise, capace di:
– gestire routing granulare dei dati in base al perimetro normativo e alla giurisdizione;
– assicurare tracciabilità degli accessi, logging e segregazione dei flussi per finalità di audit;
– sostenere meccanismi opzionali di condivisione inter-autorità, attivabili dagli Stati membri che intendono sfruttare la piattaforma anche come strumento di cooperazione regolatoria.
Repeal del P2B Regulation e razionalizzazione della platform regulation
Sul fronte platform regulation, la proposta riconosce che il P2B Regulation ha svolto una funzione pionieristica, ma che il suo perimetro materiale è stato in gran parte assorbito da Digital Markets Act e Digital Services Act. La coesistenza di tre testi con clausole sovrapponibili su trasparenza, ranking, condizioni generali e fairness nei rapporti piattaforma–business user rischia di generare ridondanze e ambiguità. Il Digital Omnibus propone dunque di abrogare il P2B Regulation, preservando tuttavia per un periodo transitorio la validità dei rinvii normativi ad esso contenuti in altri atti, fino al loro aggiornamento e comunque non oltre il 31 dicembre 2032. È un dettaglio tecnico cruciale per evitare vuoti di disciplina o incertezze interpretative durante la fase di migrazione. Il risultato atteso è un quadro nel quale DMA e DSA restano i pilastri regolatori per le piattaforme online, mentre i riferimenti al P2B vengono progressivamente eliminati tramite modifiche mirate agli atti che ancora lo menzionano.
Sinergie con European Business Wallets e Cyber Resilience Act
Un’altra direttrice tecnica del Digital Omnibus è la integrazione con due iniziative parallele: la proposta di regolamento sugli European Business Wallets e il Cyber Resilience Act. I Business Wallets vengono presentati come strumento cardine per semplificare la compliance: un ambiente digitale sicuro in cui le imprese – in particolare PMI e small mid-cap – possono gestire identità, certificati, attestazioni e scambi di informazioni regolamentate. Il Digital Omnibus prevede espressamente un collegamento tra wallet aziendali e single-entry point, in modo che:
– le identità digitali e gli attributi verificati del soggetto notificante possano essere riusati automaticamente per autenticare l’accesso alla piattaforma ENISA;
– si possano immaginare in prospettiva notifiche precompilate, firmate e timestamped dal Business Wallet, riducendo ulteriormente l’overhead burocratico.
Sul versante Cyber Resilience Act, la proposta chiarisce che la notifica di incidenti gravi ai sensi del CRA potrà valere anche come notifica ai sensi di NIS2, nel rispetto del principio once-only. Ciò implica che il single-entry point dovrà essere progettato per assorbire e riconciliare gli obblighi di notifica provenienti da più fonti, evitando duplicazioni e garantendo coerenza dei dataset usati per l’analisi delle minacce e la supervisione.
Effetti pratici per imprese, PA e operatori digitali
Dal punto di vista operativo, il Digital Omnibus mira a generare riduzioni tangibili dei costi di conformità in due direzioni:
– riduzione della complessità normativa, tramite l’accorpamento degli strumenti sui dati nel Data Act e il consolidamento delle regole privacy nel GDPR, con un numero minore di testi da studiare, implementare e monitorare;
– semplificazione dei processi di incident reporting, grazie al single-entry point ENISA e ai template allineati tra domini diversi.
Per le imprese data-driven, la convergenza su Data Act e GDPR significa un quadro più prevedibile per data sharing, B2B/B2G access e riuso dei dati pubblici, con maggiore certezza sui ruoli delle autorità competenti e sui canali di reclamo. L’introduzione di European Business Wallets promette di ridurre la frizione amministrativa legata alla verifica dell’identità aziendale e alla produzione di documentazione di conformità. Per i responsabili cybersecurity e compliance di soggetti NIS2, DORA, CER, eIDAS, la novità maggiore è la riconfigurazione dei processi interni di incident response:
– i flussi di raccolta dati dovranno essere mappati sui nuovi template unificati;
– bisognerà integrare nei playbook il single-entry point ENISA come canale predefinito di notifica, mantenendo solo in via residuale i canali alternativi di emergenza;
– sarà necessario coordinare in modo più stretto team privacy, sicurezza e risk management, dato che le notifiche GDPR e quelle NIS2/DORA saranno veicolate dallo stesso strumento tecnico.
Per le amministrazioni pubbliche, la fusione delle norme sul riuso dei dati pubblici nel Data Act offre un’opportunità per rivedere le policy interne di data governance, semplificando le procedure di rilascio, standardizzando i contratti e riducendo le barriere per i riutilizzatori. Sul versante degli utenti, la spinta verso consensi automatizzati e machine-readable può tradursi in un maggiore controllo effettivo sulle scelte di tracciamento, a condizione che gli standard sviluppati siano comprensibili e gestibili anche da chi non ha competenze tecniche avanzate, e che i browser e gli altri strumenti che veicolano tali scelte mantengano una governance trasparente e orientata all’utente. Il Digital Omnibus rappresenta un passo tecnico ma strategico verso un ecosistema normativo digitale più compatto, interoperabile e operativo, in cui dati, privacy e sicurezza vengono trattati come componenti di un unico framework, anziché come silos regolatori separati. Molto dipenderà dall’implementazione concreta: dalla progettazione del single-entry point ENISA, dalla qualità degli standard di consenso machine-readable, dalla capacità delle autorità nazionali di allineare le proprie prassi. Ma la direzione è chiara: meno testi, più integrazione, più riuso di processi e infrastrutture regolatorie condivise.
