Data Act: cosa devono implementare ora i team IT

Il Data Act sarà in vigore dal 12 settembre 2025. Abbatte i silos di dati, obbliga i produttori e gli operatori a fornire l’accesso ai dati e ha un profondo impatto sui processi, dall’IoT al cloud. Potrai trarre vantaggio dall’armonizzazione dell’inventario dei dati, delle interfacce e dei controlli di sicurezza fin dalle prime fasi.

Breve panoramica

  • Applicabilità dal 12/09/2025, obbligo di progettazione per i nuovi prodotti dal 12/09/2026.
  • Gli utenti hanno accesso ai dati dei prodotti e dei servizi; la divulgazione a terzi è possibile su richiesta. I gatekeeper sono esclusi.
  • Il cloud switching e il multi-cloud vengono rafforzati; i requisiti per condizioni e tariffe eque.
  • Non esiste una base giuridica indipendente per i dati personali; il GDPR ha la precedenza.
  • L’UE raccomanda clausole contrattuali modello; sono disponibili bozze, finalizzate ma ancora in evoluzione.

Perché l’argomento è attuale

Il periodo di grazia termina con l’entrata in vigore del Data Act il 12 settembre 2025. Le aziende devono fornire, garantire contrattualmente e proteggere tecnicamente l’accesso ai dati. I ritardi non riguardano solo la conformità, ma anche i modelli di business: La manutenzione, i servizi post-vendita e le offerte basate sui dati dipenderanno in futuro da flussi di dati trasparenti e sicuri.

Oltre al Data Act, il Cyber Resilience Act è un altro regolamento dell’UE che comporta nuovi obblighi per i produttori e ha un impatto diretto sul funzionamento sicuro di soluzioni come Sophos Firewall.

Cosa sta cambiando o cosa è nuovo

  • Accesso ai dati: gli utenti dei prodotti collegati in rete hanno accesso ai dati grezzi e ad alcuni dati elaborati generati durante l’uso. La fornitura diretta a terzi è richiesta su richiesta. I gatekeeper secondo il DMA sono esclusi come destinatari.
  • Progettazione dei prodotti: a partire dal 12 settembre 2026, i prodotti connessi dovranno essere progettati in modo tale da rendere i dati direttamente disponibili come standard.
  • Passaggio al cloud: il Data Act riduce gli effetti di lock-in, promuove il multi-cloud e regolamenta condizioni eque nel passaggio al cloud.
  • Regole contrattuali: Gli accordi di licenza dei dati tra proprietari e utenti diventano obbligatori. L’UE pubblica dei modelli di clausole non vincolanti a supporto.

Panoramica tecnica

Termini e ruoli

  • Proprietario dei dati: entità con l’autorità di accedere ai dati di un prodotto o di un servizio, spesso il produttore o l’operatore. Anche i fornitori di servizi con responsabilità operative possono essere proprietari dei dati. In futuro, dovranno stabilire processi per consentire agli utenti di accedere senza ritardi.
  • Utenti: utenti legittimi del prodotto o del servizio, comprese le aziende. Sono compresi anche gli operatori di flotte, gli agricoltori o i clienti finali che lavorano con dispositivi collegati in rete. Agli utenti non viene riconosciuto solo il diritto all’informazione, ma anche il diritto di accesso diretto ai propri dati.
  • Terze parti: destinatari di dati autorizzati dagli utenti, ma non gatekeeper. Le terze parti possono essere partner di servizi, laboratori indipendenti, istituti di ricerca o fornitori di software. Devono essere integrate tramite interfacce sicure.

Tipi di dati

  • Catturati: Dati del prodotto e dati di servizio associati all’utilizzo, compresi i dati dei sensori, i messaggi di stato, i dati sulla posizione e i metadati. Sono inclusi anche i record di dati elaborati se destinati a un uso successivo.
  • Non registrati: Dati di contenuto come documenti, immagini o comunicazioni. Questi rimangono al di fuori dell’ambito di applicazione.
  • Interfaccia GDPR: il riferimento personale è spesso possibile; la legge sui dati non crea una propria base giuridica. Qualsiasi divulgazione deve essere conforme al GDPR, compresa la verifica della base giuridica e, se necessario, del consenso.

Interfacce

  • È preferibile un accesso diretto, altrimenti una fornitura standardizzata, leggibile dal computer e preferibilmente in tempo reale. Per le aziende, questo significa creare API, funzioni di esportazione dei dati e processi chiaramente documentati. Anche i controlli di monitoraggio, autenticazione e autorizzazione fanno parte dell’architettura dell’interfaccia.

Guida pratica

Preparazione

  1. Inventario dei dati: elenca sistemi, prodotti, sensori e schemi di dati. Prevedere riferimenti personali, verificare il grado di aggregazione. Occorre tenere conto anche delle fonti di dati esterne, dei sistemi di archivio e dei dati di backup.
  2. Classificazione: separa i dati relativi a prodotti e servizi da quelli relativi ai contenuti. Assegnare il riferimento GDPR e la base legale per ogni record di dati. Creare una documentazione aggiuntiva delle categorie e dei cicli di vita.
  3. Contratti: Preparare le clausole di licenza dei dati per i contratti nuovi ed esistenti; controllare le bozze di MCT e adattarle se necessario. Inoltre, crea linee guida interne e formazione per i responsabili dei contratti.

Realizzazione

  1. Interfacce: Stabilire API o esportazioni, implementare AuthN/AuthZ, documentare i formati di output. Fornisci anche ambienti di versioning e di test.
  2. Autorizzazione di terze parti: imposta processi per il controllo del consenso e dell’autorizzazione; integra saldamente i controlli del gatekeeper. Inoltre, utilizza modelli di accesso basati sui ruoli e token limitati nel tempo.
  3. Commutazione del cloud: pianificare i percorsi di commutazione, il trasferimento e la mappatura dei dati; definire strategie multi-cloud. Pianificare migrazioni di prova e controlli delle prestazioni.
  4. Protezione dei segreti: valuta i filtri per i segreti commerciali, la minimizzazione e la pseudonimizzazione. Verifica le procedure tecniche come il mascheramento dei dati o la privacy differenziale.
  5. Gestione delle modifiche: documenta e comunica i processi per gli aggiornamenti e le modifiche alle interfacce.

Convalida

  • Casi di test: Self-service dell’utente, rilascio da parte di terzi, cancellazione, scenari di errore. Include anche casi limite e test di carico.
  • Registrazione: documenta le spese, i destinatari, i tempi, la base legale in modo verificabile. Implementa un’archiviazione a prova di audit e rapporti periodici.
  • Test di sicurezza: pen-test API, limitazione della velocità, rilevamento delle anomalie. Considera le scansioni automatizzate delle vulnerabilità e i programmi di bug bounty.
  • Controlli di conformità: Audit interni per garantire la conformità al GDPR e al Data Act.

Rollback e monitoraggio

  • Percorso di rollback per i rilasci errati. Documenta gli scenari per il ripristino e la risposta agli incidenti.
  • Monitoraggio dei flussi di dati in uscita tramite firewall, IDS e SIEM; avvisi in caso di deviazioni del volume o dei modelli. Inoltre, implementa dashboard in tempo reale e processi di escalation per i team di sicurezza.

Raccomandazioni e buone pratiche

Misure consigliate

  • Inventario e categorizzazione dei dati come passo obbligatorio.
  • Approccio API-first con schemi coerenti.
  • Consenso con il minimo privilegio e finemente granulare.
  • Automatizza il controllo del gatekeeper.
  • Registrazione e prove a prova di audit.
  • Testa il passaggio al multi-cloud fin dalle prime fasi.

Tabella di allocazione compatta

MisuraScopoNota
Inventario dei datiTrasparenza e ambito di applicazioneBase per l’audit GDPR
Recensione di MCTChiarezza contrattualeUsa le bozze dell’UE e adattale a livello locale
Limiti del tasso APIProtezione contro gli abusiCombinare firewall e gateway API
Filtro gatekeeperConformitàConfronto con gli elenchi DMA
Regole di correlazione SIEMTracciabilitàIntegrazione nei playbook esistenti
Design dal 2026Sicurezza futuraAccesso diretto per design

Impatto su Sophos e altre piattaforme

  • Criteri del firewall: i nuovi endpoint di dati e le API di amministrazione richiedono regole, ispezione TLS dopo la valutazione dei rischi, feed di minacce per il rilevamento delle anomalie. Inoltre, si raccomanda una segmentazione a maglie strette e l’uso di regole di controllo delle applicazioni per l’accesso basato su API.
  • Zero Trust: zone segmentate e mTLS per l’accesso di terze parti. Inoltre, rotazione regolare dei certificati e integrazione con i fornitori di identità esistenti per controllare le autorizzazioni granulari.
  • SIEM/EDR: correla gli eventi ai rilasci di dati, in particolare i volumi o i destinatari insoliti. I casi d’uso estesi dovrebbero riguardare anche gli errori API, i tentativi di autenticazione e le query non autorizzate.
  • Cloud: stabilisci controlli di uscita e liste di controllo contrattuali di uscita per gli scenari di switch. Inoltre, considera la pianificazione della capacità, i test automatizzati dei processi di uscita e le politiche di classificazione e crittografia dei dati.
  • Backup e archiviazione: i dati rilasciati ai sensi del Data Act devono essere protetti da strategie di backup e archiviazione coerenti. Ciò consente il ripristino in caso di rilascio errato o di uso improprio.
  • Reporting: i team IT devono creare report regolari sui flussi di dati in uscita e trasmetterli ai livelli di compliance e di gestione. Questo garantisce trasparenza e tracciabilità.

Domande frequenti

Come distinguere tra dati personali e non personali
Vengono controllati i contesti e la collegabilità. I dati relativi all’ubicazione e all’utilizzo sono spesso dati personali. Nessuna divulgazione senza un’adeguata base giuridica GDPR.

Devi fornire dati a tutte le terze parti?

Solo su richiesta dell’utente e in conformità ai requisiti. I gatekeeper sono esclusi.

Quando è obbligatorio l’accesso diretto?

Per i nuovi prodotti e servizi che verranno immessi sul mercato a partire dal 12/09/2026. Fino ad allora, la fornitura deve avvenire su richiesta.

Esistono clausole modello?

Sì, l’UE sta sviluppando MCT e SCC cloud non vincolanti; è disponibile una dichiarazione dell’EDPB sulla bozza.

Che ruolo ha il cloud switching?

La legge promuove lo switching e il multi-cloud. Le tariffe devono essere eque e non discriminatorie.

Conclusione

Il Data Act sposta il controllo sui dati di prodotti e servizi all’utente e apre i mercati per i servizi di manutenzione, analisi e integrazione. Per i team IT questo significa lavorare su tre fronti: Inventario e legge dei dati, interfacce sicure e monitoraggio operativo. Inoltre, sorgono nuove responsabilità nelle aree della gestione della conformità, della documentazione dei processi e della formazione dei dipendenti. Anche l’interazione con i servizi cloud e l’integrazione nelle architetture di sicurezza esistenti devono essere pianificate in una fase iniziale. Chi standardizza, automatizza e implementa le misure di sicurezza in una fase iniziale ridurrà i costi e i rischi, posizionandosi al contempo per i futuri sviluppi normativi e per i nuovi modelli di business in un ambiente guidato dai dati.

Fonti

Patrizio
Patrizio

Patrizio è un esperto specialista di rete specializzato in firewall, switch e access point Sophos. Supporta i clienti o il loro reparto IT nella configurazione e nella migrazione dei firewall Sophos e garantisce una sicurezza di rete ottimale attraverso una segmentazione pulita e la gestione delle regole del firewall.

Iscrizione alla newsletter

Inviamo una newsletter mensile con tutti i post del blog di quel mese.