Il 20 gennaio 2026 la Commissione europea ha presentato un nuovo pacchetto legislativo sulla cibersicurezza, finalizzato a rafforzare in modo strutturale la resilienza dell’Unione europea di fronte a minacce informatiche sempre più frequenti, sofisticate e geopoliticamente rilevanti.
L’iniziativa si inserisce in un contesto caratterizzato da attacchi informatici e ibridi ai servizi essenziali, alle infrastrutture critiche e alle istituzioni democratiche, attribuibili sia a gruppi criminali organizzati sia ad attori statali.
Il pacchetto comprende la revisione del regolamento (UE) 2019/881 (Cybersecurity Act) e modifiche mirate alla direttiva (UE) 2022/2555 (direttiva NIS2), con l’obiettivo di migliorare la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione (TIC), semplificare gli obblighi di conformità e rafforzare il ruolo dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA).
Dall’adozione del Cybersecurity Act nel 2019, il panorama delle minacce informatiche è profondamente mutato. I progressi tecnologici e l’instabilità geopolitica hanno aumentato i rischi per settori economici critici e funzioni sociali essenziali dell’Unione. Secondo la Commissione, il quadro normativo vigente necessita quindi di un aggiornamento per garantire maggiore agilità, efficienza e coordinamento a livello europeo.
La revisione del Cybersecurity Act mira innanzitutto a rafforzare la sicurezza delle catene di approvvigionamento delle TIC, adottando un approccio armonizzato, proporzionato e basato sul rischio. Il nuovo regolamento consentirà all’Unione e agli Stati membri di individuare e mitigare congiuntamente i rischi strategici, comprese le dipendenze critiche e le ingerenze straniere, in tutti i 18 settori critici dell’UE.
Particolare attenzione è riservata alle reti di telecomunicazione, per le quali è prevista la riduzione obbligatoria dei rischi derivanti dall’utilizzo di fornitori di paesi terzi considerati ad alto rischio, in continuità con il pacchetto di strumenti per la sicurezza del 5G. In tale prospettiva, la sicurezza della supply chain non è più solo una questione tecnica, ma assume una valenza strategica e geopolitica.
Un pilastro centrale della proposta è il rafforzamento del quadro europeo di certificazione della cibersicurezza (European Cybersecurity Certification Framework – ECCF). Il sistema rinnovato introduce procedure più chiare e semplificate, con l’obiettivo di sviluppare nuovi regimi di certificazione entro 12 mesi come regola generale.
La certificazione, gestita dall’ENISA, diventerà uno strumento pratico e volontario per le imprese, consentendo di dimostrare la conformità alla normativa dell’Unione. Oltre a prodotti e servizi TIC, sarà possibile certificare anche processi, servizi di sicurezza gestiti e la postura informatica dei soggetti, con effetti di riduzione degli oneri amministrativi e presunzione di conformità alla direttiva NIS2 e ad altre normative UE.
Il pacchetto introduce modifiche mirate alla direttiva NIS2 per aumentare la chiarezza giuridica e garantire una maggiore proporzionalità degli obblighi. Le revisioni faciliteranno la conformità per 28.700 imprese, incluse 6.200 micro e piccole imprese, e introdurranno una nuova categoria di piccole imprese a media capitalizzazione, riducendo i costi di compliance per ulteriori 22.500 imprese.
Le modifiche intervengono inoltre sulle norme giurisdizionali, sulla raccolta dei dati relativi agli attacchi ransomware e sulla vigilanza delle entità transfrontaliere, rafforzando il coordinamento a livello europeo.
La proposta attribuisce all’ENISA un ruolo centrale nel nuovo assetto di cibersicurezza dell’Unione. L’Agenzia sarà potenziata nelle attività di cooperazione operativa, condivisione della conoscenza situazionale e supporto alla prevenzione e risposta agli incidenti informatici, anche in collaborazione con Europol e i CSIRT.
L’ENISA gestirà inoltre il punto di ingresso unico per la segnalazione degli incidenti, previsto dall’omnibus digitale, e contribuirà allo sviluppo delle competenze attraverso l’Accademia europea della cibersicurezza e sistemi di attestazione delle competenze a livello UE.
Il regolamento sulla cibersicurezza sarà applicabile immediatamente dopo l’approvazione da parte del Parlamento europeo e del Consiglio. Le modifiche alla direttiva NIS2 seguiranno lo stesso iter e, una volta adottate, gli Stati membri avranno un anno per il recepimento nel diritto nazionale.
Nel complesso, il pacchetto rappresenta un passo strategico verso il rafforzamento della sovranità tecnologica europea, incidendo in modo significativo sulla sicurezza, sulla competitività e sulla resilienza dell’ecosistema digitale dell’Unione.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".