La Commissione europea ha messo sul tavolo la proposta di riforma del Cybersecurity Act: non un semplice “ritocco” al Regolamento (UE) 2019/881, ma un impianto che amplia il perimetro (certificazione, supply chain, telecomunicazioni) e introduce una logica più assertiva verso i rischi non tecnici e i fornitori ad alto rischio.

Quando nel 2019 l’Unione Europea ha adottato il Cybersecurity Act, il contesto digitale e geopolitico era profondamente diverso da quello attuale. Il regolamento nasceva con due obiettivi chiave: attribuire un mandato permanente all’ENISA e istituire un quadro europeo di certificazione della cybersicurezza per prodotti, servizi e processi ICT, riducendo la frammentazione normativa tra Stati membri e rafforzando la fiducia nel mercato unico digitale.

Quel passo è stato fondamentale. Ha posto le basi istituzionali della cyber sicurezza europea e ha introdotto una visione comune in un ambito fino ad allora molto disomogeneo. Tuttavia, era inevitabilmente figlio del suo tempo: un’epoca in cui la supply chain digitale non era ancora percepita come un fattore di rischio strategico e in cui il cybercrime non aveva raggiunto l’attuale livello di industrializzazione, organizzazione e impatto sistemico.

Il Cybersecurity Act 2 si colloca esattamente in questa traiettoria evolutiva. Non stravolge l’impianto originario, ma lo rafforza, lo rende più operativo e lo allinea a uno scenario in cui la cyber sicurezza è ormai una componente strutturale della sicurezza economica, industriale e, sempre più, geopolitica dell’Unione.

Rafforzamento delle capacità, non una corsa alla compliance

Uno degli aspetti più apprezzabili della revisione è l’approccio adottato: non una proliferazione di nuovi obblighi formali per le imprese, ma un investimento deciso sulle capacità del sistema europeo nel suo complesso.

La logica non è “più regole”, ma più resilienza, intesa come capacità di prevenire, assorbire e gestire eventi cyber di ampia portata.

In questo quadro si inserisce il rafforzamento del ruolo di ENISA, che evolve ulteriormente da centro di competenza a vero e proprio nodo di coordinamento operativo.

L’Agenzia viene messa nelle condizioni di supportare gli Stati membri non solo sul piano strategico e metodologico, ma anche nella gestione delle crisi, nella condivisione tempestiva delle informazioni e nello sviluppo di capacità comuni.

È un passaggio importante, che riconosce come gli incidenti cyber più gravi non possano più essere gestiti in modo efficace restando confinati entro i confini nazionali.

Coerenza normativa e visione di sistema

La revisione del Cybersecurity Act non va letta isolatamente, ma come parte di un disegno più ampio che comprende NIS2, DORA, CER e il Cyber Resilience Act. Il segnale è chiaro: l’Unione Europea sta cercando di costruire un impianto coerente di governance della sicurezza digitale, evitando sovrapposizioni inutili e spingendo verso una lettura integrata del rischio.

Per le organizzazioni, questo approccio rappresenta un’opportunità. Riduce la frammentazione, favorisce l’allineamento tra compliance e gestione del rischio e spinge verso modelli di sicurezza sempre meno “a silos” e sempre più integrati nei processi decisionali e nella strategia aziendale. È una maturazione culturale prima ancora che normativa.

Proposte di modifica e integrazione: cosa prevede la revisione

Entrando nel merito, la proposta della Commissione si articola su alcuni assi principali che meritano attenzione.

Più attenzione alla supply chain ICT

Il primo riguarda la supply chain ICT. Viene introdotto un quadro europeo per la gestione dei rischi legati ai fornitori tecnologici nelle infrastrutture critiche, con un approccio armonizzato, proporzionato e basato sul rischio. Non si tratta solo di valutare la sicurezza tecnica dei prodotti, ma anche di considerare dipendenze, concentrazioni, interferenze esterne e rischi sistemici.

Un passaggio delicato, ma ormai inevitabile, se si vuole affrontare seriamente il tema della resilienza.

Viene rafforzata la certificazione cyber

Il secondo asse è quello della certificazione. Il framework europeo viene rafforzato puntando su maggiore efficacia e tempestività. L’obiettivo è rendere gli schemi più rapidi da sviluppare, più aderenti all’evoluzione tecnologica e, soprattutto, più utili nella pratica.

La certificazione viene così rilanciata come strumento di fiducia e non come mero esercizio formale.

Semplificazione e coordinamento con NIS2

Il terzo elemento riguarda la semplificazione e il coordinamento con NIS2. La revisione mira a ridurre oneri amministrativi inutili e a favorire una maggiore coerenza nell’attuazione delle normative cyber, evitando che la compliance si trasformi in un accumulo sterile di documentazione scollegata dalla sicurezza reale.

Rafforzamento operativo di ENISA

Infine, un punto centrale è il rafforzamento operativo di ENISA, che comprende capacità di early warning, supporto nella risposta al ransomware, sviluppo di servizi comuni di vulnerability management e un ruolo nel modello europeo di incident reporting “one-stop”.

A questo si accompagna un incremento significativo delle risorse, necessario per rendere credibile questo salto di qualità.

Una direzione condivisibile e necessaria

Nel complesso, la revisione del Cybersecurity Act rappresenta un’evoluzione matura e pragmatica dell’approccio europeo alla cybersicurezza. Non cede a derive emergenziali né ideologiche, ma punta a rafforzare capacità reali, coordinamento e coerenza di sistema.

Per le imprese, il messaggio è chiaro: la resilienza digitale non è più un’opzione né un semplice obbligo normativo, ma una condizione strutturale per operare e competere in un mercato sempre più interconnesso e instabile.

In questo senso, la direzione intrapresa dalla Commissione è non solo condivisibile, ma necessaria.