Sovranità EU Dossier conformità · v1.0 · 2026

Quattro norme,
una postura operativa.

Per ogni norma: cosa chiede, da quando, chi impatta, e quale combinazione di prodotti P3 te la fa rispettare senza riscrivere il portfolio fornitori.

[ Prenota Munin ] Mapping norme → prodotti
[P3] conformità 4 norme
NIS2Cyber · PMI critiche2024 → 2026
AI ActClassificazione rischioago 2026
DORAResilienza ICT · finanzagen 2025
GDPRPrivacy · data residencydal 2018
01 Le quattro norme Fonte · Gazzetta UE / Italia

I pilastri della conformità
per chi opera in Europa.

Nessuna è opzionale. Tre sono già in vigore. La quarta è la più pesante e scade nel 2026.

NIS2
Network & Information
Security 2
Cyber · obbligo PMI critiche

Risk management, incident reporting in 24h+72h, supply-chain security, board accountability. Sanzioni fino al 2% del fatturato globale o 10M€.

Scadenza: recepimento IT entro 17 ott 2024 · applicazione 2026
AI Act
EU Artificial
Intelligence Act
AI · classificazione rischio

Classificazione dei sistemi AI per rischio (proibito → minimo). Documentazione tecnica, governance, sorveglianza umana, registry pubblico. Multe fino a 35M€ o 7%.

Scadenza: applicabile da ago 2026 per high-risk
DORA
Digital Operational
Resilience Act
Finanza · ICT risk

Resilienza ICT del settore finanziario. Third-party risk, testing avanzato (TLPT), incident report, oversight provider critici. Diretta su banche, asset manager, IT service provider.

Scadenza: applicabile 17 gen 2025
GDPR
General Data
Protection Regulation
Privacy · data residency

Trasferimenti extra-UE, basi giuridiche, DPIA, notifica di incidente 72h. Combinato col Cloud Act, rende l'EU-hosting una scelta tecnica, non politica.

Scadenza: in vigore dal 2018 · applicazione continua
02 Mapping requisito → prodotto 15 controlli principali

Per ogni richiesta normativa,
quale prodotto P3 la copre.

È così che funziona davvero un'auditoria: il revisore ti chiede "controllo X", tu mostri "prodotto Y configurato così". Tabella usata letteralmente nelle nostre proposte.

Norma · req.
Cosa ti chiede
Come P3 lo copre
Prodotti
NIS2 · art. 21
Misure tecniche di gestione del rischio cyber, in modo proporzionato.
SOC italiano in 48h, MDR h24, asset inventory continuo, vulnerability mgmt.
[ Fenrir SOC ]
[ Fenrir MDR ]
[ Munin ]
NIS2 · art. 23
Incident reporting 24h alert + 72h report intermedio + 1m finale.
Playbook IR italiano, retention log su soil EU, integrazione con CSIRT-IT.
[ Fenrir MDR ]
[ HUGIN ]
NIS2 · supply chain
Sicurezza dei fornitori ICT, valutazione third-party.
Audit fornitori on-prem, attack surface esterna continua, certificati TLS monitoring.
[ HUGIN ]
[ Munin ]
AI Act · governance
Classificazione del sistema AI, documentazione tecnica, sorveglianza umana.
Risk classification workshop, technical file italiano, audit trail su pipeline AI.
[ AI Consulting ]
[ P3 Dev Bridge ]
AI Act · provider
Obblighi su provider e deployer di modelli high-risk.
Choice architecture EU-hosted, due diligence supplier AI, contratti EU-only.
[ AI Consulting ]
DORA · ICT risk
Framework di gestione del rischio ICT, RTO/RPO documentati.
Risk assessment annuale, backup EU-hosted, DR plan testato, log retention 5 anni.
[ Cybersecurity ]
[ Fenrir MDR ]
DORA · third party
Registro fornitori critici ICT, oversight, exit strategy.
Vendor inventory automatico, attack surface monitoring, contract review italiano.
[ HUGIN ]
[ AI Consulting ]
GDPR · art. 28
Responsabile del trattamento, DPA, sub-processor list.
DPA italiano standard, lista sub-processor solo EU, audit on-demand del cliente.
Tutto il portfolio
EU-hosted, per architettura
GDPR · art. 32
Misure tecniche e organizzative adeguate. E2EE quando trattabile.
Chat E2EE per PA, MDM rugged con cifratura, log immutable retention EU.
[ MIRA ]
[ Anvil MDM ]
GDPR · transfer
Trasferimenti extra-UE, SCC, valutazione del paese terzo.
Zero transfer: tutti i dati restano in UE, nessun sub-processor USA, niente Cloud Act.
Architettura
EU-only, per architettura
03 Cloud Act Quello che nessun provider USA ti dirà

Il problema che
non puoi contrattualizzare.

Anche con il miglior contratto, il miglior DPA, il miglior SCC, un provider americano resta soggetto a una legge americana. Punto.

USC 18 §2713 · il riassunto onesto

Quando un'autorità USA chiede dati a Microsoft, Google o AWS, il provider deve fornirli, anche se i dati sono in Europa, anche senza dirlo al cliente europeo.

Non è una posizione politica: è il testo del Clarifying Lawful Overseas Use of Data Act, firmato nel 2018. Nessuna clausola privata può derogarlo. Nessun DPA, nessun SCC, nessuna certificazione ISO. Quando arriva l'ingiunzione, il provider americano sceglie tra rispettare la legge USA o quella UE. Sceglie sempre la legge USA: è quella che lo manda in prigione.

Provider americano EU-region
Esposto al Cloud Act
I dati sono fisicamente in Europa ma il provider è soggetto a USC 18 §2713. Un'ingiunzione USA li ottiene comunque, in silenzio.
P3 · EU-only, per architettura
Fuori dal perimetro USA
Datacenter EU, ownership EU (società estone), nessun BAA con provider USA. Un'ingiunzione statunitense non ha giurisdizione.

Questo è il motivo per cui ogni byte di ogni cliente P3 vive in Europa. Non è marketing, è architettura. Se un giorno cambiasse, anche per un solo cliente migrato su servizio USA-region, saremmo costretti a riscrivere il manifesto. Per ora, lo manteniamo per design.

Hai un audit di conformità
da affrontare nei prossimi 90 giorni?

Munin è la porta d'ingresso. Sette giorni on-prem, report archiviabile, deliverable in italiano.

[ Prenota Munin ]