La Commissione Europea ha presentato il 20 gennaio 2026 un ambizioso pacchetto normativo sulla cyber sicurezza, volto a rafforzare la resilienza e le capacità dell’Unione in materia di sicurezza informatica.

Il nuovo quadro regolamentare si articola principalmente attorno alla
proposta di revisione del Cybersecurity Act, all’introduzione di modifiche mirate alla Direttiva NIS2 e al potenziamento del ruolo dell’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA).

L’iniziativa rappresenta una risposta coordinata alle vulnerabilità identificate nelle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione, con l’obiettivo di garantire che i prodotti commercializzati nel mercato unico digitale europeo siano sicuri fin dalla progettazione.

Il contesto geopolitico del nuovo pacchetto normativo

La presentazione del nuovo pacchetto normativo si inserisce in un contesto geopolitico caratterizzato da una crescente sofisticazione delle minacce informatiche.

Gli attacchi cyber non rappresentano più fenomeni isolati, ma costituiscono elementi integranti di strategie ibride più ampie, dove la dimensione digitale si intreccia con obiettivi politici, economici e militari.

Le infrastrutture critiche europee, dai sistemi energetici alle reti di telecomunicazione, dalle istituzioni finanziarie ai servizi sanitari, sono bersagli costanti di operazioni malevole che possono compromettere la continuità dei servizi essenziali.

La Commissione Europea ha riconosciuto che la frammentazione normativa e la disomogeneità degli standard di sicurezza tra gli Stati membri costituiscono vulnerabilità strutturali che possono essere sfruttate dagli avversari.

La proposta di revisione del Cybersecurity Act

Il cuore dell’iniziativa legislativa risiede nella proposta di revisione del Cybersecurity Act, strumento normativo originariamente adottato nel 2019 per istituire un quadro europeo di certificazione della cyber sicurezza.

La versione rivista del regolamento introduce significative innovazioni volte a rafforzare la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione.

La sicurezza delle supply chain ICT rappresenta una sfida complessa, caratterizzata dalla presenza di molteplici attori, dalla distribuzione geografica dei processi produttivi e dall’opacità che spesso caratterizza le relazioni tra fornitori e subfornitori.

Gli incidenti recenti hanno dimostrato come vulnerabilità presenti in componenti
apparentemente marginali possano propagarsi attraverso l’intera catena, compromettendo sistemi critici.

La risposta della Commissione si articola attorno al principio della security by
design, secondo cui la sicurezza deve essere integrata fin dalle fasi iniziali di progettazione e sviluppo dei prodotti.

La conformità a standard di sicurezza

Il meccanismo proposto prevede che i prodotti destinati al mercato europeo debbano essere sottoposti a processi di certificazione che ne attestino la conformità a standard di sicurezza predefiniti.

Consapevole del rischio che requisiti eccessivamente onerosi possano costituire barriere all’ingresso, la Commissione ha posto particolare attenzione alla semplificazione delle procedure di certificazione.

L’obiettivo è creare un sistema che garantisca rigorosità tecnica senza imporre oneri burocratici sproporzionati, specialmente per le piccole e medie imprese.

La revisione introduce inoltre meccanismi di coordinamento più stringenti tra le autorità nazionali responsabili della certificazione, affidando all’ENISA un ruolo di supervisione e armonizzazione.

La centralità dell’Enisa

L’Agenzia dell’Unione Europea per la Cybersicurezza assume una centralità rinnovata nel quadro delineato dalla proposta normativa.

L’ENISA, che ha ottenuto un mandato permanente con il Cybersecurity Act del 2019, viene dotata di competenze ampliate e risorse aggiuntive per supportare gli Stati membri nella gestione delle minacce informatiche.

Il rafforzamento risponde all’esigenza di disporre di un centro di competenza a livello europeo, capace di aggregare conoscenze specialistiche, coordinare risposte a incidenti transnazionali e facilitare la condivisione di informazioni sulle minacce.

La natura interconnessa delle reti informatiche implica che un attacco in uno Stato membro possa rapidamente propagarsi ad altri, rendendo indispensabile un approccio collaborativo.

La pubblicazione contestuale di una valutazione approfondita dell’impatto e dell’efficacia dell’ENISA e del quadro europeo di certificazione della cyber sicurezza fornisce elementi empirici per orientare il potenziamento dell’agenzia.

La valutazione analizza la performance, la governance e le pratiche operative secondo cinque criteri principali: efficacia, efficienza, rilevanza, coerenza e valore aggiunto europeo.

Tra le funzioni rafforzate assume particolare rilievo il ruolo di coordinamento nella supervisione di entità che operano in contesti transfrontalieri.

Le 3 dimensioni degli emendamenti alla Direttiva NIS2

Parallelamente alla revisione del Cybersecurity Act, il pacchetto introduce emendamenti mirati alla Direttiva NIS2.

Gli emendamenti proposti si concentrano su tre dimensioni principali. Si mira a incrementare la chiarezza giuridica attraverso la semplificazione delle regole di
giurisdizione, introducendo criteri più netti per l’attribuzione delle competenze e riducendo le zone grigie.

In secondo luogo, vengono introdotti meccanismi semplificati per la raccolta di dati relativi agli attacchi ransomware, fenomeno che negli ultimi anni ha assunto proporzioni preoccupanti.

Gli attacchi ransomware hanno colpito organizzazioni di ogni dimensione e settore, causando interruzioni operative significative.

La raccolta sistematica di informazioni su questi incidenti è essenziale per comprendere le dinamiche del fenomeno e sviluppare strategie di contrasto efficaci.

In terzo luogo, gli emendamenti facilitano la supervisione di entità transfrontaliere rafforzando il ruolo di coordinamento dell’ENISA.

L’integrazione con il Digital Omnibus

Le misure di semplificazione si integrano con il Digital Omnibus, che prevede l’istituzione di un punto unico di accesso per la segnalazione degli incidenti.

Le imprese che operano nel mercato europeo sono soggette a molteplici obblighi di notifica derivanti da diversi strumenti legislativi, ciascuno con proprie tempistiche e modalità.

Questa frammentazione genera oneri amministrativi significativi e può ritardare la segnalazione di incidenti critici. Il punto unico di accesso mira a centralizzare le comunicazioni, permettendo alle entità di soddisfare molteplici obblighi attraverso un’unica interfaccia.

Le implicazioni del nuovo framework normativo

Il nuovo framework normativo avrà implicazioni significative per le imprese che operano nel mercato europeo, particolarmente quelle attive nei settori delle tecnologie dell’informazione e della comunicazione.

I requisiti di certificazione per i prodotti ICT richiederanno investimenti in progettazione sicura e test di conformità, mentre le modifiche alla NIS2 potrebbero comportare aggiustamenti nei sistemi di gestione del rischio.

Tuttavia, la Commissione ha cercato di bilanciare l’innalzamento degli standard di sicurezza con l’esigenza di non soffocare l’innovazione o penalizzare eccessivamente le piccole e medie imprese attraverso la semplificazione dei processi e la chiarificazione delle regole.

La dimensione globale della cyber

Sebbene la proposta si concentri sul rafforzamento della resilienza interna all’Unione, la cyber sicurezza presenta inevitabilmente una dimensione internazionale.

Le minacce informatiche non rispettano confini geografici, e le catene di approvvigionamento delle tecnologie ICT sono globali.

L’approccio europeo dovrà confrontarsi con iniziative analoghe intraprese da altri attori globali, con l’opportunità di promuovere convergenza verso standard elevati di sicurezza attraverso il dialogo internazionale.

L’approvazione formale della proposta rappresenterà il primo passo di un processo implementativo che presenterà sfide significative.

La traduzione delle disposizioni legislative in pratiche operative efficaci richiederà coordinamento tra istituzioni europee e autorità nazionali, sviluppo di linee guida tecniche dettagliate e allocazione di risorse adeguate.

La disponibilità di competenze specialistiche costituisce un vincolo critico, con la domanda di professionisti qualificati che eccede significativamente l’offerta in molti Stati membri.