Il Digital Omnibus è un pacchetto legislativo dell’UE che rivede parti del lancio dell’AI Act, inclusi i tempi di conformità e i dettagli di attuazione. Non sostituisce l’AI Act; ne modifica il modo e il momento in cui si applicano alcuni obblighi, soprattutto per i sistemi di IA ad alto rischio. In pratica, ciò significa che le organizzazioni possono avere più tempo prima che alcuni controlli diventino applicabili, mentre altre restrizioni possono essere inasprite o chiarite.
Questo è importante nella sicurezza informatica perché la regolamentazione dell’IA non è solo politica giuridica; influenza l’ingegneria della sicurezza. Scadenze rinviate possono incidere su quando i team devono dimostrare la resilienza contro data poisoning, input avversari, uso improprio e governance carente. I difensori usano il tempo extra per costruire log di audit, red teaming, controlli di accesso, moderazione dei contenuti e raccolta di evidenze che possano soddisfare future ispezioni. Anche gli aggressori possono sfruttare la confusione intorno a tempistiche in evoluzione, presumendo che il lavoro di conformità possa essere rimandato. La lezione chiave per la sicurezza è che i cambiamenti nei tempi normativi non eliminano il rischio sottostante: cambiano la finestra in cui i sistemi devono essere resi difendibili.