Il quadro normativo digitale che sta cambiando le regole del gioco per l'energia

Una notifica che nessuno vuole ricevere  e che molti non sarebbero pronti a gestire

Immagina di ricevere domani mattina una comunicazione ufficiale dell'ACN (​Agenzia per la Cybersicurezza Nazionale)  che ti chiede di dimostrare, con evidenze e documenti, come gestisci il rischio informatico e come reagisci agli incidenti entro 48 ore.

Sei pronto?

Dal 2024, il settore energetico italiano si trova al centro di una trasformazione normativa senza precedenti. Quattro pilastri normativi europei - GDPR, AI Act, NIS2 e eIDAS - stanno ridefinendo le regole del gioco per chiunque gestisca infrastrutture digitali critiche.

La domanda non è più: "dobbiamo adeguarci?"

È: "quanto tempo abbiamo ancora, e da dove partiamo?"

Quattro normative, un solo ecosistema di rischio

L'errore più diffuso nelle utility energetiche è trattare GDPR, AI Act, NIS2 e eIDAS come quattro problemi separati da delegare a quattro squadre diverse. Il DPO gestisce il GDPR, l'IT gestisce NIS2, il CISO gestisce la cybersecurity, il legale gestisce il resto.

Il problema è che queste normative si intrecciano ogni giorno nei processi reali.

E i rischi più gravi nascono proprio nelle sovrapposizioni che nessuno presidia.

GDPR: il dato energetico è un dato personale  trattalo come tale

I profili di consumo dei clienti rivelano abitudini di vita, orari di presenza, tipo di attività svolta. Il GDPR impone una cultura di gestione responsabile del dato che diventa la base su cui si costruisce tutto il resto. Senza dati governati correttamente, qualsiasi sistema AI è un rischio, non un'opportunità.

AI Act: i tuoi sistemi AI esistono già — la classificazione no

L’AI Act è entrato in vigore nel 2024, ma la sua applicazione è progressiva: alcuni obblighi scattano prima, altri dopo. In ogni caso, nel settore energetico i sistemi di AI già in uso sono più numerosi di quanto si pensi: onboarding dei clienti, rilevamento anomalie sulle reti, forecasting, customer scoring, ottimizzazione interventi, chatbot.

Molti di questi possono rientrare tra gli usi a rischio elevato o comunque richiedere controlli, documentazione e responsabilità chiare.

Cosa cambia concretamente: prima si poteva implementare un sistema “intelligente” senza rendere tracciabile perché prende una decisione e con quali dati. Ora no. Servono logiche documentate, controlli, monitoraggio e ruoli chiari prima della messa in servizio, non dopo.

NIS2: quando un attacco cyber diventa un problema del management

La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, colloca spesso le utility energetiche tra i “soggetti essenziali”: requisiti più stringenti e sanzioni più elevate.

eIDAS 2.0: l'identità digitale come infrastruttura operativa

Il Portafoglio Europeo di Identità Digitale (EUDI Wallet) apre opportunità concrete per le utility: onboarding digitale dei clienti, firma dei contratti di fornitura, autenticazione sicura nei portali, processi B2B standardizzati con fornitori e partner.

Chi si posiziona ora guadagna un vantaggio in efficienza operativa, riduzione dei costi e customer experience. Chi aspetta l'obbligo parte in ritardo su processi che i competitor avranno già ottimizzato.

Cosa mettere in agenda  adesso

Non si tratta di aspettare una comunicazione dell'ufficio legale. Queste sono cinque priorità operative che riguardano direttamente Operations e IT:

1. Mappare i sistemi AI già in uso e classificarli secondo l'AI Act (ogni giorno di ritardo è un giorno di esposizione non gestita).
2. Aggiornare il registro dei trattamenti GDPR con qualsiasi sistema implementato negli ultimi 24 mesi.
3. Verificare se la propria organizzazione rientra tra i soggetti essenziali NIS2 e cosa comporta in termini di obblighi concreti.
4. Avviare una gap analysis di cybersecurity rispetto ai requisiti NIS2 (il piano di gestione del rischio deve essere approvato dal management, non solo dall'IT).
5. Valutare l'integrazione di eIDAS nei processi di onboarding e firma contrattuale prima che diventi un obbligo anziché un vantaggio.

La buona notizia  rappresentata dal fatto che  queste normative hanno un denominatore comune. Tutte spingono verso una gestione più matura, documentata e responsabile della tecnologia. Chi costruisce oggi questa maturità non sta solo evitando sanzioni sta costruendo un vantaggio competitivo strutturale.

Torniamo alla domanda iniziale

Sei pronto a rispondere a quella comunicazione dell'ACN entro 48 ore?

La risposta non dipende solo dai tuoi sistemi. Dipende dalla preparazione delle persone che li gestiscono. Comprendere il quadro normativo non è un esercizio accademico: è la base su cui si costruiscono decisioni operative solide, piani di investimento coerenti e una cultura aziendale che sa dove sta andando.

Il punto di partenza è la conoscenza. E la conoscenza, per essere operativa, richiede un percorso strutturato (non quattro letture sparse di testi normativi).