Presentata la revisione del Cybersecurity Act e della Direttiva NIS2: l’obiettivo è blindare le catene di approvvigionamento TIC e potenziare il ruolo di ENISA di fronte alle crescenti minacce geopolitiche.
In un’epoca in cui la stabilità democratica e l’efficienza delle infrastrutture critiche dipendono sempre più dalla resilienza digitale, la Commissione Europea ha mosso un passo decisivo.
Il 20 gennaio 2026 è stato presentato un nuovo pacchetto legislativo sulla cybersecurity che punta a trasformare la difesa informatica da mero adempimento tecnico a pilastro strategico dell’Unione.
Un aggiornamento necessario: il mutamento dello scenario globale
Dal 2019, anno dell’adozione del primo Cybersecurity Act, il panorama del rischio è radicalmente cambiato.
Non ci troviamo più solo di fronte a cybercriminali isolati, ma ad attacchi ibridi orchestrati da attori statali volti a destabilizzare i servizi essenziali. Il nuovo pacchetto risponde all’esigenza di agilità e coordinamento, superando le frammentazioni nazionali per una risposta europea unitaria.
Sicurezza della Supply Chain e contrasto alle ingerenze straniere
Uno dei punti più qualificanti della riforma è la protezione delle catene di approvvigionamento TIC. La Commissione introduce un approccio armonizzato per mitigare i rischi strategici in 18 settori critici.
- Settore Telecomunicazioni: Prevista la riduzione obbligatoria della dipendenza da fornitori di paesi terzi considerati ad alto rischio.
- Valenza Geopolitica: La scelta dei fornitori non è più valutata solo su parametri di costo, ma sulla sicurezza nazionale e sulla prevenzione di potenziali “backdoor” o interruzioni di servizio arbitrarie.
Certificazione Europea (ECCF): Semplificazione per le imprese
Il pilastro del nuovo quadro è il rafforzamento dell’ECCF (European Cybersecurity Certification Framework). Il sistema mira a superare la burocrazia attraverso:
- Tempistiche certe: Sviluppo di nuovi regimi di certificazione in soli 12 mesi.
- Estensione dell’ambito: Oltre ai prodotti, si potranno certificare processi e la “postura informatica” complessiva di un’azienda.
- Presunzione di conformità: Ottenere la certificazione varrà automaticamente come prova di adeguamento alla Direttiva NIS2, riducendo drasticamente gli oneri amministrativi per le imprese.
Modifiche alla NIS2: Focus su PMI e Mid-Cap
La revisione della Direttiva NIS2 introduce maggiore proporzionalità, con l’obiettivo di non soffocare la crescita economica con eccessivi costi di compliance:
- Semplificazione per 28.700 imprese, incluse oltre 6.000 micro-imprese.
- Introduzione della categoria “piccole imprese a media capitalizzazione”, con vantaggi diretti per ulteriori 22.500 realtà produttive.
- Nuove norme sulla raccolta dati per gli attacchi ransomware e una vigilanza più stretta sulle entità che operano oltre i confini nazionali.
ENISA: Il “Cuore Operativo” della Difesa Europea
L’Agenzia dell’Unione Europea per la Cibersicurezza (ENISA) vede i propri poteri significativamente ampliati. Diventerà il punto di ingresso unico per la segnalazione degli incidenti e lavorerà in stretta sinergia con Europol.
Inoltre, l’Agenzia gestirà l’Accademia europea della cibersicurezza, un progetto vitale per colmare il gap di competenze tecniche specializzate all’interno dell’Unione.
Tempistiche e prospettive future
Dopo il via libera di Parlamento e Consiglio Europeo, il Regolamento sarà immediatamente applicabile. Per il recepimento nazionale delle modifiche alla NIS2, gli Stati membri avranno invece un anno di tempo.
Si tratta di una corsa contro il tempo per garantire la sovranità tecnologica e la competitività dell’intero ecosistema digitale europeo.
