Vai al contenuto
Avanet
Data Act: Cosa devono implementare ora i team IT

Data Act: Cosa devono implementare ora i team IT

8. AGOSTO 2025

Il Data Act diventerà applicabile dal 12.09.2025. Rompe i silos di dati, obbliga produttori e operatori a fornire accesso ai dati e interviene profondamente nei processi dall’IoT al cloud. Si trae vantaggio se si armonizzano presto inventario dei dati, interfacce e controlli di sicurezza.

Breve panoramica

  • Applicabilità dal 12.09.2025, obbligo di progettazione per nuovi prodotti dal 12.09.2026.
  • Gli utenti ottengono l’accesso ai dati di prodotto e servizio; il trasferimento a terzi è possibile su richiesta. I gatekeeper sono esclusi.
  • Cloud switching e multi-cloud vengono rafforzati; requisiti su condizioni e tariffe eque.
  • Nessuna base giuridica autonoma per i dati personali; il GDPR rimane prioritario.
  • L’UE raccomanda clausole contrattuali modello; sono disponibili bozze, la versione finale è in parte ancora in corso.

Perché l’argomento è rilevante ora

Con l’inizio dell’applicazione del Data Act il 12.09.2025 termina il periodo di grazia. Le aziende devono fornire accessi ai dati, assicurarli contrattualmente e proteggerli tecnicamente. I ritardi riguardano non solo la conformità, ma anche i modelli di business: manutenzione, servizi post-vendita e offerte basate sui dati dipenderanno in futuro da flussi di dati trasparenti e sicuri.

Oltre al Data Act, con il Cyber Resilience Act entra in vigore un altro regolamento UE che porta nuovi obblighi per i produttori e ha effetti diretti sul funzionamento sicuro di soluzioni come Sophos Firewall.

Cosa cambia o cosa c’è di nuovo

  • Accesso ai dati: Gli utenti di prodotti connessi ottengono l’accesso a dati grezzi e determinati dati elaborati generati durante l’uso. Su richiesta è necessaria una fornitura diretta a terzi. I gatekeeper secondo il DMA sono esclusi come destinatari.
  • Design del prodotto: Dal 12.09.2026, i prodotti connessi devono essere progettati in modo che i dati siano direttamente disponibili per impostazione predefinita.
  • Cambio cloud: Il Data Act riduce gli effetti di lock-in, promuove il multi-cloud e regola condizioni eque per il cambio.
  • Regole contrattuali: Gli accordi di licenza dati tra titolare dei dati e utente diventano obbligatori. L’UE pubblica clausole modello non vincolanti per supporto.

Panoramica tecnica

Termini e Ruoli

  • Titolare dei dati: Entità con autorità di accesso ai dati di prodotto o servizio, spesso il produttore o l’operatore. Anche i fornitori di servizi responsabili delle operazioni possono essere titolari dei dati. In futuro, dovranno stabilire processi per consentire agli utenti l’accesso senza ritardi.
  • Utente: Utente legittimo del prodotto o servizio, incluse le aziende. Questo include anche operatori di flotte, agricoltori o clienti finali che lavorano con dispositivi connessi. Gli utenti ricevono non solo un diritto all’informazione, ma un diritto immediato di accesso ai propri dati.
  • Terza parte: Destinatari di dati autorizzati dagli utenti, ma non gatekeeper. Le terze parti possono essere partner di servizio, officine indipendenti, istituti di ricerca o fornitori di software. Devono essere integrati tramite interfacce sicure.

Tipi di dati

  • Coperti: Dati di prodotto e dati di servizio associati dall’uso, inclusi dati dei sensori, messaggi di stato, dati di posizione e metadati. Sono inclusi anche set di dati elaborati se destinati al riutilizzo.
  • Non coperti: Dati di contenuto come documenti, immagini o comunicazioni. Questi rimangono fuori dall’ambito di applicazione.
  • Interfaccia GDPR: Il riferimento personale è spesso possibile; il Data Act non crea una propria base giuridica. Ogni divulgazione deve avvenire in aggiunta conformemente al GDPR, inclusa la verifica della base giuridica e, se applicabile, il consenso.

Interfacce

  • Accesso diretto preferito; altrimenti fornitura standardizzata, leggibile da macchina e preferibilmente in tempo reale. Per le aziende, ciò significa stabilire API, funzioni di esportazione dati e processi chiaramente documentati. Anche monitoraggio, autenticazione e controllo delle autorizzazioni appartengono all’architettura dell’interfaccia.

Guida pratica

Preparazione

  1. Inventario dati: Elencare sistemi, prodotti, sensori e schemi di dati. Anticipare il riferimento personale, verificare i livelli di aggregazione. Dovrebbero essere considerate anche fonti di dati esterne, sistemi di archiviazione e dati di backup.
  2. Classificazione: Separare dati di prodotto e servizio dai dati di contenuto. Assegnare riferimento GDPR e basi giuridiche per set di dati. Inoltre, creare documentazione delle categorie e dei cicli di vita.
  3. Contratti: Preparare clausole di licenza dati per contratti nuovi ed esistenti; verificare bozze MCT e adattare se necessario. Inoltre, creare linee guida interne e formazione per i responsabili dei contratti.

Implementazione

  1. Interfacce: Stabilire API o esportazione, implementare AuthN/AuthZ, documentare formati di output. Fornire anche controllo delle versioni e ambienti di test.
  2. Autorizzazione di terzi: Impostare processi per consenso o controllo autorizzazione; integrare saldamente il controllo gatekeeper. Inoltre, utilizzare modelli di accesso basati sui ruoli e token limitati nel tempo.
  3. Cloud switching: Pianificare percorsi di cambio, trasferimento dati e mappatura; definire strategie multi-cloud. Programmare migrazioni di test e controlli delle prestazioni.
  4. Protezione segreti commerciali: Valutare filtri per segreti commerciali, minimizzazione e pseudonimizzazione. Verificare procedure tecniche come mascheramento dei dati o privacy differenziale.
  5. Gestione del cambiamento: Documentare e comunicare processi per aggiornamenti e modifiche alle interfacce.

Validazione

  • Casi di test: Self-service utente, rilascio a terzi, revoca, scenari di errore. Includere anche casi limite e test di carico.
  • Registrazione: Documentare output, destinatari, orari, base giuridica in modo verificabile. Implementare archiviazione a prova di audit e report regolari.
  • Test di sicurezza: Pen test API, limitazione della velocità, rilevamento anomalie. Considerare scansioni di vulnerabilità automatizzate e programmi bug bounty.
  • Controlli di conformità: Audit interni per garantire la conformità a GDPR e Data Act.

Rollback e Monitoraggio

  • Percorso di rollback in caso di rilasci errati. Documentare scenari per ripristino e risposta agli incidenti.
  • Monitoraggio dei deflussi di dati tramite firewall, IDS e SIEM; avvisi per deviazioni di volume o modello. Inoltre, implementare dashboard in tempo reale e processi di escalation per i team di sicurezza.

Raccomandazioni e Best Practices

Misure raccomandate

  • Inventario e categorizzazione dei dati come passaggio obbligatorio.
  • Approccio API-first con schemi coerenti.
  • Minimo privilegio e consenso granulare fine.
  • Automatizzare controllo gatekeeper.
  • Registrazione e prove a prova di audit.
  • Testare presto il multi-cloud switching.

Tabella di assegnazione compatta

Misura Scopo Nota
Inventario dati Trasparenza e Ambito Base per controllo GDPR
Revisione MCT Chiarezza contrattuale Usare bozze UE, adattare localmente
Limiti velocità API Protezione abusi Combinare in firewall e gateway API
Filtro Gatekeeper Conformità Confronto con elenchi DMA
Regole correlazione SIEM Tracciabilità Integrazione in playbook esistenti
Design dal 2026 Sicurezza futura Accesso diretto by design

Impatto su Sophos e altre piattaforme

  • Policy Firewall: Nuovi endpoint dati e API di amministrazione necessitano di regole, ispezione TLS dopo valutazione dei rischi, Threat Feeds per rilevamento anomalie. Inoltre, si raccomanda una segmentazione stretta e l’uso di regole di controllo applicativo per accessi basati su API.
  • Zero Trust: Zone segmentate e mTLS per accessi di terzi. Inoltre, rotazione regolare dei certificati e integrazione in provider di identità esistenti per controllare autorizzazioni granulari.
  • SIEM/EDR: Correlare eventi su rilasci di dati, in particolare volumi o destinatari insoliti. Casi d’uso estesi dovrebbero coprire anche errori API, tentativi di autenticazione e query non autorizzate.
  • Cloud: Stabilire controlli di uscita e checklist di uscita contrattuali per scenari di switch. Inoltre, considerare pianificazione della capacità, test automatizzati dei processi di uscita e policy per classificazione e crittografia dei dati.
  • Backup e Archiviazione: I dati rilasciati ai sensi del Data Act dovrebbero essere protetti da strategie coerenti di backup e archiviazione. Ciò consente un recupero in caso di rilasci errati o uso improprio.
  • Reporting: I team IT dovrebbero creare report regolari sui deflussi di dati e trasmetterli ai livelli di conformità e gestione. Ciò garantisce trasparenza e tracciabilità.

Domande frequenti

Come si distinguono i dati personali da quelli non personali?

Si verificano contesti e collegabilità. I dati di posizione e utilizzo sono spesso riferibili a persone. Senza adeguata base giuridica GDPR, nessuna divulgazione.

Bisogna fornire dati a qualsiasi terza parte?

Solo su richiesta dell’utente e nel rispetto dei requisiti. I gatekeeper sono esclusi.

Da quando è obbligatorio l’accesso diretto?

Per nuovi prodotti e servizi che arrivano sul mercato dal 12.09.2026. Fino ad allora, la fornitura su richiesta deve funzionare.

Esistono clausole modello?

Sì, l’UE sta elaborando MCT non vincolanti e SCC cloud; è disponibile una dichiarazione dell’EDPB sulla bozza.

Che ruolo gioca il cloud switching?

L’Act promuove il cambio e il multi-cloud. Le tariffe devono essere eque e non discriminatorie.

Conclusione

Il Data Act sposta il controllo sui dati di prodotto e servizio verso gli utenti e apre mercati per servizi relativi a manutenzione, analisi e integrazione. Per i team IT, ciò significa lavoro su tre fronti: inventario dei dati e diritto, interfacce sicure e monitoraggio operativo. Inoltre, sorgono nuove responsabilità nelle aree di gestione della conformità, documentazione dei processi e formazione dei dipendenti. Anche l’interazione con i servizi cloud e l’integrazione nelle architetture di sicurezza esistenti devono essere pianificate presto. Chi standardizza, automatizza e implementa salvaguardie presto riduce lo sforzo e il rischio e si posiziona contemporaneamente per futuri sviluppi normativi e nuovi modelli di business nell’ambiente guidato dai dati.

Riferimenti

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.