Obblighi dell'EU AI Act per i sistemi AI in veicoli autonomi, gestione del traffico, aviazione, settore ferroviario e infrastrutture critiche. Comprende l'Annex I (NLF) e la categoria 2 dell'Annex III.
Perché i trasporti sono un settore prioritario per l'EU AI Act
L'EU AI Act (Regolamento (EU) 2024/1689) assegna gli obblighi più gravosi ai settori in cui i guasti dei sistemi AI comportano conseguenze dirette per la sicurezza fisica, la continuità dei servizi critici e la sicurezza pubblica. I trasporti e le infrastrutture critiche occupano una posizione centrale in questa architettura per due distinte ragioni giuridiche: la diffusione capillare dell'AI come componenti di sicurezza nei prodotti di trasporto regolamentati (che attiva l'Art. 6(1) tramite l'Annex I), e l'elencazione esplicita dei sistemi AI per la gestione delle infrastrutture critiche come ad alto rischio nell'Annex III, punto 2.
Il settore dei trasporti si distingue anche per la densità e la maturità dei quadri normativi preesistenti. L'omologazione dei veicoli ai sensi del Regolamento Generale sulla Sicurezza (EU) 2019/2144, la certificazione aeronautica ai sensi del Regolamento di base EASA (EU) 2018/1139, l'interoperabilità e la sicurezza ferroviaria ai sensi del Regolamento ERA (EU) 2016/796 e della Direttiva sulla sicurezza 2016/798, nonché la sicurezza informatica delle infrastrutture critiche ai sensi della Direttiva NIS2 (EU) 2022/2555 creano obblighi giuridici preesistenti che si sovrappongono — e in alcuni casi interagiscono strutturalmente — con l'EU AI Act.
Per le organizzazioni del settore dei trasporti, la conseguenza pratica è che la conformità AI non può essere gestita come un percorso normativo isolato. Deve essere integrata nei programmi esistenti di omologazione, certificazione, gestione della sicurezza e sicurezza informatica. Il mancato conseguimento di tale integrazione rischia di comportare non solo la non conformità all'AI Act, ma anche la non conformità alle normative settoriali, che dispongono di proprie autorità di vigilanza e conseguenze in materia di accesso al mercato.
AI come componente di sicurezza (Annex I) e AI per infrastrutture critiche (Annex III, punto 2)
L'EU AI Act prevede due distinte modalità di classificazione ad alto rischio rilevanti per i trasporti. Comprendere quale modalità si applica — e se entrambe si applichino simultaneamente — è il primo passo analitico di qualsiasi programma di conformità AI nel settore dei trasporti.
Annex I — Componenti di sicurezza di prodotti regolamentati dal NLF
L'Art. 6(1) dell'EU AI Act classifica come ad alto rischio qualsiasi sistema AI che sia un componente di sicurezza di un prodotto regolamentato ai sensi della legislazione del New Legislative Framework (NLF) elencata nell'Annex I. Per i trasporti, i principali strumenti NLF sono:
- Regolamento Generale sulla Sicurezza (EU) 2019/2144 — veicoli stradali (automobili, autocarri, motocicli, autobus)
- Regolamento di base EASA (EU) 2018/1139 — aeromobili, motori e apparecchiature associate
- Legislazione ferroviaria ERA — comprendente il Regolamento (EU) 2016/796 (Agenzia ERA), la Direttiva 2016/797 (interoperabilità) e la Direttiva 2016/798 (sicurezza ferroviaria)
- Regolamento Macchine (EU) 2023/1230 — rilevante per i sistemi AI in attrezzature portuali automatizzate, veicoli industriali e macchinari da costruzione impiegati in contesti di infrastruttura di trasporto
Un sistema AI è un componente di sicurezza di un prodotto di trasporto se il suo guasto o malfunzionamento potrebbe mettere in pericolo la salute o la sicurezza delle persone. Per i veicoli stradali, ciò comprende i sistemi di frenata automatica di emergenza, i sistemi AI di mantenimento della corsia, il cruise control adattivo al Livello SAE L2 e superiori, e tutti i sistemi di guida autonoma L3–L5. Per l'aviazione, comprende i sistemi AI nei sistemi di gestione del volo, i componenti del pilota automatico e i sistemi di avviso di avvicinamento al suolo. Per il settore ferroviario, comprende i sistemi AI nella protezione automatica del treno, il segnalamento assistito dall'AI e la manovra autonoma.
La classificazione ai sensi dell'Art. 6(1) è categorica. Non richiede che il sistema AI dimostri autonomamente una significativa probabilità di danno — la designazione come componente di sicurezza è sufficiente. Ciò significa che i fornitori di tali sistemi devono rispettare i requisiti del Capitolo III, Sezione 2 (Artt. 9–15), che disciplinano la gestione del rischio, la governance dei dati, la documentazione tecnica, la registrazione automatica, la trasparenza, la sorveglianza umana, nonché l'accuratezza e la robustezza.
Annex III, punto 2 — Gestione delle infrastrutture critiche
Indipendentemente dalla modalità relativa ai componenti di sicurezza, l'Annex III, punto 2 elenca espressamente come ad alto rischio i sistemi AI destinati a essere utilizzati come componenti di sicurezza nella gestione e nell'esercizio di infrastrutture critiche, in particolare:
- Infrastrutture di viabilità stradale critiche
- Infrastrutture di trasporto per vie d'acqua critiche
- Componenti critici della rete elettrica (in quanto infrastrutture critiche con profili di rischio equivalenti a quelli del settore dei trasporti)
I sistemi AI che rientrano in questa categoria includono: piattaforme di gestione del traffico autostradale che utilizzano AI per il controllo dinamico della velocità e il rilevamento degli incidenti, sistemi di bilanciamento del carico e stabilità delle reti intelligenti basati sull'AI laddove un guasto alla rete pregiudicherebbe le operazioni di trasporto, e sistemi AI che gestiscono le infrastrutture portuali a livello di servizio essenziale.
La distinzione tra il punto 2 e la modalità dell'Annex I risiede nel fatto che l'Annex III, punto 2 si applica agli operatori di infrastrutture, e non soltanto ai produttori di prodotti. Un'autorità pubblica o un concessionario privato che gestisce un centro di gestione del traffico basato sull'AI è soggetto agli obblighi del punto 2 in qualità di deployer o, qualora abbia sviluppato autonomamente il sistema AI, in qualità di fornitore.
Doppia classificazione
Laddove un sistema AI sia sia un componente di sicurezza di un prodotto regolamentato dal NLF sia impiegato nella gestione di infrastrutture critiche (ad esempio, un sistema AI integrato in una piattaforma autostradale intelligente che interagisce anche con i sistemi dei veicoli), entrambe le modalità si applicano. Prevalgono gli obblighi più rigorosi.
Fornitore e deployer nel contesto dei trasporti — OEM e operatore
L'attribuzione degli obblighi tra fornitori (Art. 16) e deployer (Art. 26) è particolarmente complessa nel settore dei trasporti, dove la catena di approvvigionamento tra lo sviluppatore AI, l'integratore di sistema, l'OEM, l'operatore di infrastrutture e la flotta dell'utente finale può coinvolgere molteplici entità giuridiche, ciascuna con proprie e distinte responsabilità ai sensi dell'AI Act.
Gli OEM di veicoli come fornitori
Un OEM che integra un sistema AI di guida — sviluppato internamente o acquistato da un fornitore di primo o secondo livello — e immette il veicolo sul mercato UE con il proprio marchio è il fornitore del sistema AI ai sensi dell'Art. 16. Tale circostanza sussiste anche se la tecnologia AI è stata originariamente sviluppata da terzi, purché l'OEM non si sia limitato a rivendere un sistema invariato con il marchio del terzo. Gli obblighi del fornitore includono:
- La definizione di un sistema di gestione della qualità ai sensi dell'Art. 17
- La predisposizione e la conservazione della documentazione tecnica ai sensi dell'Art. 11 e dell'Annex IV, che comprenda la finalità prevista del sistema AI, il progetto, i dati di addestramento, i risultati della validazione e il piano di monitoraggio post-commercializzazione
- Lo svolgimento o il mandato della valutazione di conformità — che, per i componenti di sicurezza dei veicoli, deve essere coordinata con la procedura di omologazione ai sensi del GSR 2019/2144
- La registrazione del sistema AI nella banca dati UE per i sistemi AI ad alto rischio ai sensi dell'Art. 49 prima dell'immissione sul mercato
- La predisposizione di istruzioni per l'uso per i deployer a valle (operatori di flotte, società di noleggio) sufficienti a consentire un'implementazione conforme
Operatori di flotte e concessionari come deployer
Un'azienda che gestisce una flotta di veicoli autonomi, un ente locale che implementa un sistema AI di gestione del traffico, o un gestore dell'infrastruttura ferroviaria che utilizza strumenti di manutenzione assistita dall'AI è un deployer ai sensi dell'Art. 26. Gli obblighi del deployer includono:
- L'utilizzo del sistema AI nell'ambito delle istruzioni per l'uso del fornitore — qualsiasi impiego operativo al di fuori di tale perimetro può riqualificare il deployer come fornitore, con conseguente applicazione dell'insieme completo degli obblighi del fornitore
- L'adozione di misure di sorveglianza umana indicate dal fornitore e adeguate al contesto operativo
- La conservazione dei registri operativi generati dal sistema AI per almeno sei mesi, o per un periodo più lungo ove richiesto dalla legislazione settoriale applicabile (NIS2, legislazione nazionale in materia di sicurezza dei trasporti)
- La segnalazione tempestiva al fornitore di malfunzionamenti o incidenti gravi, e alle autorità nazionali competenti ai sensi dell'Art. 73 laddove siano coinvolte la sicurezza o i diritti fondamentali
- Lo svolgimento di valutazioni d'impatto sui diritti fondamentali (FRIA) ai sensi dell'Art. 27 laddove il sistema AI sia implementato da un'autorità pubblica o in contesti che incidono su persone su larga scala
Interazione con le normative settoriali — EASA, ERA e omologazione
Veicoli stradali — GSR 2019/2144 e omologazione
Il Regolamento Generale sulla Sicurezza (EU) 2019/2144 impone l'inclusione di specifiche funzionalità ADAS e di guida autonoma nei nuovi tipi di veicolo e stabilisce i requisiti tecnici per le relative prestazioni. L'omologazione del veicolo — condotta dalle autorità nazionali competenti (ad esempio, KBA in Germania, DREAL in Francia, Rijksdienst voor het Wegverkeer nei Paesi Bassi) — è il principale meccanismo di accesso al mercato per i veicoli stradali.
L'EU AI Act non sostituisce l'omologazione. L'Art. 8(1) dell'AI Act prevede che, laddove la legislazione settoriale specifica imponga requisiti di rigore equivalente o superiore, sia possibile un allineamento procedurale, ma gli obblighi dell'AI Act rimangono fermi. In pratica, la valutazione di conformità per un sistema AI di guida deve riguardare sia i requisiti tecnici del GSR (valutati nell'ambito dell'omologazione) sia i requisiti dell'AI Act (documentazione tecnica, governance dei dati, registrazione, sorveglianza umana, monitoraggio post-commercializzazione). Gli OEM dovrebbero pianificare una valutazione integrata che copra entrambi i quadri normativi, al fine di evitare duplicazioni e potenziali lacune.
Aviazione — EASA e la roadmap AI
L'EASA esercita l'autorità di certificazione sugli aeromobili, i motori e i componenti ai sensi del Regolamento (EU) 2018/1139. La roadmap AI dell'EASA (pubblicata in successive edizioni a partire dal 2020) tratta l'affidabilità dell'AI per i sistemi AI di bordo ed è il principale riferimento di certificazione per l'AI nelle applicazioni critiche per il volo.
L'EU AI Act si applica ai sistemi AI a terra nel settore aeronautico (gestione del traffico, diagnostica manutentiva, sistemi di gestione della cabina) che esulano dal perimetro di aeronavigabilità dell'EASA. Per i sistemi AI di bordo certificati dall'EASA, è disponibile l'allineamento ai sensi dell'Art. 8(1), ma la sovrapposizione tra i requisiti di aeronavigabilità EASA e gli obblighi dell'AI Act (in particolare in materia di registrazione e sorveglianza umana) deve essere analizzata sistema per sistema. Il concetto di "livello di garanzia AI" dell'EASA non si traduce direttamente nella classificazione ad alto rischio o nei requisiti di valutazione della conformità previsti dall'EU AI Act.
Settore ferroviario — ERA e sistemi di gestione della sicurezza
L'ERA (Agenzia dell'Unione europea per le ferrovie) sovrintende all'interoperabilità ferroviaria e al quadro di sicurezza comune ai sensi delle Direttive 2016/797 e 2016/798. Le imprese ferroviarie e i gestori dell'infrastruttura sono tenuti a mantenere un Sistema di Gestione della Sicurezza (SMS) che comprenda la valutazione del rischio, le indagini sugli incidenti e il miglioramento continuo.
I requisiti di gestione del rischio dell'EU AI Act ai sensi dell'Art. 9 sono strettamente paralleli ai requisiti SMS dell'ERA. Le organizzazioni dotate di un SMS maturo sono nella posizione migliore per integrare la documentazione di gestione del rischio prevista dall'AI Act nel quadro esistente. L'ERA e la Commissione europea hanno espresso una preferenza per approcci di conformità integrati che evitino duplicazioni tra SMS e obblighi dell'AI Act. I sistemi AI utilizzati nell'esercizio automatico del treno, i componenti AI dell'ETCS (European Train Control System), o la manutenzione predittiva che confluisce in decisioni critiche per la sicurezza sono ad alto rischio ai sensi dell'Annex I (componente di sicurezza di veicoli o infrastrutture ferroviarie).
Autorità di vigilanza e certificazione
La conformità AI nel settore dei trasporti coinvolge molteplici organi di vigilanza con giurisdizioni parzialmente sovrapposte, in funzione della finalità del sistema AI e del prodotto in cui è integrato.
L'EASA è l'autorità di certificazione per i sistemi AI negli aeromobili e nei prodotti aeronautici. Può condurre indagini su guasti di sistemi AI che incidono sull'aeronavigabilità, e le sue decisioni influenzano l'accesso al mercato nell'UE e nelle giurisdizioni partner bilaterali.
L'ERA sovrintende al quadro di sicurezza comune per le ferrovie. I certificati di sicurezza ferroviaria e le autorizzazioni all'esercizio sono subordinati alla conformità all'SMS, che interseca in misura crescente la conformità all'AI Act per i sistemi ferroviari abilitati dall'AI.
Le autorità nazionali di omologazione dei veicoli — tra cui KBA (Germania), gli organismi delegati dall'ANFIA (Italia) e il Rijksdienst voor het Wegverkeer (Paesi Bassi) — rilasciano e possono revocare le omologazioni per i veicoli stradali. La non conformità ai requisiti dell'AI Act per i componenti di sicurezza AI può costituire motivo di sospensione dell'omologazione o di richiamo.
Le autorità nazionali competenti NIS2 — designate da ciascuno Stato membro, spesso un'agenzia nazionale per la sicurezza informatica come BSI (Germania), ANSSI (Francia) o NCSC-NL (Paesi Bassi) — applicano gli obblighi NIS2 agli operatori di trasporto di servizi essenziali. L'applicazione della NIS2 può comportare istruzioni vincolanti, sanzioni pecuniarie e, nei casi più gravi, la sospensione delle attività.
Le autorità nazionali di supervisione dell'AI designate ai sensi dell'Art. 70 dell'EU AI Act disporranno di poteri generali di sorveglianza del mercato, con meccanismi di coordinamento con le autorità settoriali specifiche per evitare conflitti di giurisdizione.
Priorità di conformità per operatori e fornitori nel settore dei trasporti
Fase 1: Inventario e classificazione dei sistemi AI
Effettuare un inventario strutturato di tutti i sistemi AI in fase di sviluppo o implementazione nel portafoglio di prodotti di trasporto o nell'ambito operativo. Per ciascun sistema, determinare se si tratta di un componente di sicurezza di un prodotto regolamentato dal NLF (modalità Art. 6(1)), di un sistema AI per la gestione di infrastrutture critiche (Annex III, punto 2), o di entrambe le categorie. Documentare per iscritto la motivazione della classificazione. I sistemi che non possono essere definitivamente esclusi dalla classificazione ad alto rischio devono essere trattati come tali in attesa di un'analisi giuridica definitiva.
Fase 2: Pianificazione del percorso di valutazione della conformità
Per i sistemi AI che sono componenti di sicurezza di veicoli, aeromobili o prodotti ferroviari, identificare la procedura di certificazione settoriale applicabile e mapparla rispetto ai requisiti di valutazione della conformità dell'AI Act. Determinare se è richiesto un organismo notificato (Art. 43(3)) o se è sufficiente un'autovalutazione con audit tecnico di terze parti. Coordinare il calendario della valutazione di conformità dell'AI Act con il programma di omologazione o certificazione per evitare ritardi nell'accesso al mercato.
Fase 3: Documentazione tecnica e governance dei dati
Predisporre la documentazione tecnica ai sensi dell'Annex IV per ciascun sistema AI ad alto rischio. Per i sistemi AI nel settore dei trasporti, tale documentazione deve includere: la finalità prevista con un grado di precisione sufficiente a supportare la classificazione sia ai sensi dell'AI Act sia ai sensi della normativa settoriale; la provenienza dei dati di addestramento, compresi eventuali dati di guida reale, operativi o sensoriali utilizzati; le descrizioni dell'ambiente di simulazione per i sistemi AI validati tramite test virtuali; e i piani di monitoraggio post-commercializzazione allineati agli obblighi di segnalazione specifici del settore.
Fase 4: Integrazione NIS2 per gli operatori di infrastrutture critiche
Gli operatori di trasporto di servizi essenziali devono integrare i requisiti di sicurezza informatica dell'AI Act ai sensi dell'Art. 15 con gli obblighi di gestione del rischio informatico previsti dalla NIS2. Istituire un unico processo di valutazione del rischio per la sicurezza che copra entrambi i quadri normativi. Garantire che i fornitori di software AI — compresi gli sviluppatori di modelli AI e i fornitori di dati — siano soggetti a requisiti di sicurezza della catena di approvvigionamento coerenti con l'Art. 21(2)(d) della NIS2 e l'Art. 25 dell'AI Act (obblighi relativi a strumenti di terze parti).
Fase 5: Sorveglianza umana nei contesti operativi
Progettare meccanismi di sorveglianza umana ai sensi dell'Art. 14 che siano operativamente praticabili negli ambienti di trasporto. Per i sistemi di guida autonoma, definire le condizioni in cui il conducente deve essere in grado di riprendere il controllo (L3) o un operatore remoto deve poter intervenire (L4). Per i sistemi AI di gestione del traffico aereo, specificare i punti del flusso di lavoro in cui un controllore deve esaminare e approvare le istruzioni generate dall'AI. Per i sistemi AI di manutenzione ferroviaria, definire i protocolli di escalation quando il sistema segnala anomalie critiche per la sicurezza. I meccanismi di sorveglianza devono essere documentati nella documentazione tecnica e riflessi nelle istruzioni per l'uso fornite ai deployer.
Fase 6: Monitoraggio post-commercializzazione e segnalazione degli incidenti
Predisporre sistemi di monitoraggio post-commercializzazione che soddisfino sia i requisiti dell'Art. 72 dell'AI Act sia gli obblighi di segnalazione della sicurezza specifici del settore (segnalazione degli incidenti ERA, segnalazione delle occorrenze EASA ai sensi del Regolamento (EU) 376/2014, notifica degli incidenti NIS2). Gli incidenti gravi che coinvolgono sistemi AI ad alto rischio devono essere segnalati all'autorità nazionale di supervisione dell'AI ai sensi dell'Art. 73 entro 15 giorni lavorativi dal momento in cui se ne è venuti a conoscenza. Tale termine deve essere riconciliato con il requisito NIS2 di notifica iniziale entro 24 ore per gli incidenti informatici significativi, che può riguardare il medesimo evento qualora il malfunzionamento del sistema AI sia attribuibile a una violazione della sicurezza informatica.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sì, nella maggior parte delle configurazioni commercialmente rilevanti. Un sistema AI che costituisce un componente di sicurezza di un veicolo stradale omologato ai sensi del Regolamento Generale sulla Sicurezza (EU) 2019/2144 è automaticamente classificato ad alto rischio ai sensi dell'Art. 6(1) dell'EU AI Act, in combinato disposto con l'Annex I (New Legislative Framework). Tale classificazione si applica dai sistemi di assistenza alla guida di Livello SAE 2+ che influenzano sterzo, frenata o accelerazione, fino ai sistemi di guida autonoma di Livello L4 e L5. La classificazione è categorica e non richiede una valutazione separata della probabilità di danno. Sia la valutazione di conformità prevista dall'AI Act sia la procedura di omologazione ai sensi del GSR 2019/2144 devono essere soddisfatte prima che il veicolo sia immesso sul mercato UE.
L'attribuzione degli obblighi dipende dalla struttura contrattuale e tecnica dell'integrazione. Qualora l'OEM incorpori un sistema AI di terze parti nel tipo di veicolo senza modifiche e lo immetta sul mercato con il proprio nome, l'OEM è il fornitore ai sensi dell'Art. 16 dell'EU AI Act e si fa carico di tutti gli obblighi previsti per i fornitori, compresa la valutazione di conformità, la marcatura CE e la registrazione nella banca dati UE sull'AI. Lo sviluppatore originario del sistema AI può essere un sub-fornitore, ma non è automaticamente il fornitore ai sensi dell'AI Act. Se l'OEM apporta modifiche sostanziali al sistema AI prima dell'immissione sul mercato, gli obblighi del fornitore si confermano integralmente. Le flotte o le società di noleggio che successivamente mettono in servizio il veicolo con il sistema AI attivo sono deployer ai sensi dell'Art. 26.
No. La certificazione EASA ai sensi del Regolamento di base (EU) 2018/1139 e la valutazione di conformità prevista dall'AI Act sono obblighi giuridici distinti che operano in parallelo. La roadmap AI dell'EASA e le future linee guida sull'affidabilità dell'AI per l'aviazione riguardano i requisiti di aeronavigabilità e sicurezza operativa ai sensi del diritto aeronautico. I requisiti dell'EU AI Act — tra cui la documentazione tecnica ai sensi dell'Annex IV, la registrazione automatica ai sensi dell'Art. 12 e la sorveglianza umana ai sensi dell'Art. 14 — sono obblighi distinti che devono essere soddisfatti autonomamente. L'Art. 8(1) dell'AI Act riconosce la legislazione settoriale e può consentire un allineamento procedurale laddove i requisiti EASA siano equivalenti, ma non elimina gli obblighi derivanti dall'AI Act per i sistemi AI a terra o i sistemi AI di cabina che esulano dal perimetro di aeronavigabilità dell'EASA.
Dipende dal contesto operativo. I sistemi AI utilizzati per la gestione e l'esercizio delle infrastrutture stradali critiche sono espressamente elencati come ad alto rischio nell'Annex III, punto 2 dell'EU AI Act. Un sistema che gestisce il flusso del traffico autostradale, il controllo adattivo della segnaletica per una rete stradale metropolitana, o l'assegnazione dinamica delle corsie sull'accesso a una galleria soddisfa con ogni probabilità la soglia di 'infrastruttura stradale critica'. Un sistema AI autonomo che ottimizza la tempistica semaforica in un singolo incrocio rurale con traffico minimo e senza interdipendenze critiche per la sicurezza potrebbe esulare da questa definizione, ma tale valutazione deve essere documentata. Gli operatori dovrebbero adottare un'interpretazione prudenziale: se un guasto o un errore di calcolo nell'output del sistema AI potrebbe generare un rischio concreto di incidenti, cascate di congestione o ritardi per i veicoli di emergenza su larga scala, la classificazione come ad alto rischio è la risposta predefinita appropriata.
Gli operatori ferroviari qualificati come operatori di servizi essenziali ai sensi della Direttiva NIS2 (EU) 2022/2555 sono soggetti a un duplice obbligo di conformità. Ai sensi di NIS2, devono adottare misure di gestione del rischio informatico, rispettare i tempi di notifica degli incidenti (notifica degli incidenti significativi all'autorità nazionale competente entro 24 ore, relazione completa entro 72 ore) e garantire la sicurezza della catena di approvvigionamento, anche per i fornitori di software AI. Ai sensi dell'EU AI Act, i sistemi AI integrati nelle operazioni ferroviarie critiche per la sicurezza — AI per la manutenzione predittiva, segnalamento assistito dall'AI, sistemi di manovra autonoma — sono ad alto rischio ai sensi dell'Art. 6(1) (in quanto componenti di sicurezza ai sensi della legislazione ferroviaria ERA) o dell'Annex III, punto 2. I requisiti di sicurezza informatica e robustezza previsti dall'AI Act all'Art. 15 devono essere soddisfatti in modo coerente e complementare rispetto agli obblighi NIS2. Un unico sistema integrato di gestione del rischio che affronti entrambi i quadri normativi è preferibile sotto il profilo operativo ed è coerente con i requisiti del Sistema di Gestione della Sicurezza ERA ai sensi della Direttiva 2016/798.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.