La Joint Opinion 4/2026 di EDPB ed EDPS sulle proposte di revisione del Cybersecurity Act e della direttiva NIS2 da parte della Commissione europea esprime un sostegno complessivo agli obiettivi di rafforzamento della cyber sicurezza europea, ma accompagna questo via libera con un richiamo costante ai principi del GDPR.
L’espansione degli strumenti di raccolta e condivisione delle informazioni deve rimanere entro le regole del GDPR.
Indice degli argomenti
I contenuti della Joint Opinion 4/2026
La Joint Opinion adottata da EDPB ed EDPS, adottata lo scorso 18 marzo, esamina le proposte della Commissione europea presentate il 20 gennaio 2026, relative alla revisione del Cybersecurity Act e alla modifica della direttiva NIS2, con l’obiettivo di rafforzare il quadro europeo della cybersicurezza e le accoglie sostanzialmente con favore, ma anche con la necessaria prudenza.
In particolare, le proposte intervengono sul ruolo di ENISA, ampliandone le funzioni di supporto operativo agli Stati membri, di coordinamento nella gestione degli incidenti e di raccolta e analisi delle informazioni sulle minacce, e sviluppano ulteriormente il quadro europeo di certificazione della cybersecurity, anche in relazione alla sicurezza della supply chain ICT.
Parallelamente, le modifiche alla NIS2 introducono misure per migliorare la cooperazione operativa e la cosiddetta situational awareness a livello europeo, rafforzano gli obblighi di notifica e condivisione delle informazioni sugli incidenti e prevedono l’istituzione di un punto unico di accesso per il reporting, volto a semplificare gli adempimenti per le imprese.
Le proposte includono inoltre strumenti per la raccolta e l’analisi di dati sugli attacchi informatici, inclusi quelli ransomware, nonché iniziative come il European Cybersecurity Skills Framework e un maggiore coordinamento tra autorità e organismi europei.
Nel valutare tali interventi, le autorità, pur esprimendo un sostegno generale agli obiettivi perseguiti, evidenziano come l’espansione delle attività di raccolta, analisi e condivisione delle informazioni comporti un aumento significativo dei trattamenti di dati personali, richiamando la necessità di garantire il rispetto dei principi di necessità, proporzionalità e minimizzazione e di evitare fenomeni di raccolta eccessiva o non sufficientemente delimitata dei dati.
La sicurezza come logica espansiva
Le politiche di cybersicurezza, per loro natura, tendono a espandere i flussi informativi.
Più aumenta la complessità delle minacce, più cresce la necessità di raccogliere dati, analizzarli, condividerli e incrociarli. Questo aspetto è difficilmente reversibile e riguarda sia le autorità pubbliche che le imprese, chiamate a partecipare attivamente a questo ecosistema informativo.
Il problema è che questa logica espansiva non si confronta sempre in modo lineare con i principi della protezione dei dati.
Minimizzazione, limitazione della finalità e proporzionalità rappresentano dei limiti strutturali, poiché, quando la sicurezza richiede “più dati”, questi principi diventano più difficili da applicare. La preoccupazione espressa dalle autorità è proprio in questo spazio e la loro Joint Opinion appare più come un alert preciso e sostanziale, che come un parere prettamente tecnico.
L’evoluzione del ruolo di ENISA
Il rafforzamento del ruolo di ENISA rappresenta uno degli interventi più significativi previsti dalla proposta di revisione del Cybersecurity Act.
La Joint Opinion evidenzia come all’Agenzia vengano attribuite funzioni più incisive sia in termini di supporto tecnico, che di coordinamento operativo e raccolta di informazioni sulle minacce a livello europeo.
In particolare, ENISA è destinata a svolgere un ruolo centrale nello sviluppo della situational awareness, attraverso la raccolta, l’analisi e la condivisione di dati relativi agli incidenti e alle vulnerabilità, nonché nel supporto agli Stati membri nella gestione di eventi di cybersicurezza su larga scala.
Questo rafforzamento comporterà un ampliamento significativo delle attività di trattamento dei dati, anche personali, in quanto le informazioni raccolte nell’ambito della gestione degli incidenti possono includere elementi riconducibili a individui, ad esempio utenti o dipendenti coinvolti negli eventi segnalati.
La Joint Opinion richiama quindi la necessità di delimitare con precisione le finalità e le categorie di dati trattati da ENISA, evitando che l’ampliamento delle sue competenze si traduca in una raccolta generalizzata di informazioni. In particolare, le autorità sottolineano che le attività di analisi e condivisione devono essere strettamente funzionali agli obiettivi di sicurezza e non possono giustificare un accesso indiscriminato ai dati.
Un ulteriore profilo critico riguarda la posizione di ENISA come nodo centrale dei flussi informativi europei. Il rafforzamento del suo ruolo implica infatti una maggiore concentrazione di dati presso un unico soggetto, con conseguenti implicazioni sia in termini di sicurezza sia di governance dei dati.
EDPB ed EDPS chiedono inoltre esplicitamente che anche l’EDPS sia aggiunto come possible requestor del supporto tecnico di ENISA e raccomandano una consultazione preventiva dell’EDPS sulle regole che ENISA potrebbe adottare ai sensi dell’articolo 66.
La Joint Opinion evidenzia quindi la necessità di prevedere garanzie adeguate, sia sul piano tecnico che organizzativo, per assicurare che tale centralizzazione non comporti rischi eccessivi per i diritti degli interessati.
Situational awareness e condivisione delle informazioni
Un ulteriore elemento rilevante delle proposte riguarda lo sviluppo di strumenti di situational awareness a livello europeo, basati sulla raccolta e condivisione sistematica di informazioni sulle minacce informatiche.
L’obiettivo è costruire una capacità di analisi e risposta coordinata, in grado di anticipare e gestire attacchi su larga scala.
La Joint Opinion riconosce il valore strategico di questi strumenti, ma evidenzia che essi comportano un incremento significativo dei flussi informativi, che possono includere anche dati personali.
In questo contesto, le autorità richiamano la necessità di definire con precisione le categorie di dati trattati e di limitare la condivisione a quanto strettamente necessario, evitando che la logica della conoscenza preventiva si traduca in una raccolta generalizzata di informazioni.
A tal proposito, EDPB ed EDPS chiedono infatti di specificare meglio nel testo i casi in cui vi sarebbe un trattamento sostanziale di dati, oppure di chiarire che ENISA dovrebbe trattare prevalentemente dati aggregati e non personali.
Lo European Cybersecurity Skills Framework
La Joint Opinion prende in considerazione anche le iniziative volte a rafforzare le competenze nel settore della cybersicurezza, tra cui l’introduzione di un European Cybersecurity Skills Framework.
Pur trattandosi di misure apparentemente lontane dal trattamento dei dati personali, le autorità sottolineano che tali strumenti possono comportare la raccolta e gestione di informazioni relative a professionisti, qualifiche e percorsi formativi.
L’Opinion si concentra però sul fatto che tale framework non dovrebbe essere limitato ai soli “cybersecurity professionals”, ma dovrebbe includere anche profili per la general workforce o per i cittadini, e che tali profili dovrebbero includere in modo esplicito competenze relative alla conformità al diritto europeo della protezione dei dati, in particolare ai principi di data protection by design e by default, superando una visione della cyber security puramente tecnica.
In questo senso, la Joint Opinion suggerisce implicitamente che la cybersecurity, per essere realmente efficace, deve integrare strutturalmente la dimensione della protezione dei dati.
Il single entry point
Tra gli elementi più celebrati delle proposte vi è poi l’introduzione di un punto unico di accesso per la notifica degli incidenti: la misura è presentata come una semplificazione, e in effetti lo è dal punto di vista procedurale. L’intento è quello di superare la frammentazione degli obblighi di reporting, consentendo alle imprese di effettuare una sola notifica invece di interagire con più autorità. Tuttavia, questa semplificazione produce un effetto collaterale che la Joint Opinion lascia intravedere, vale a dire la concentrazione delle informazioni.
Le autorità di protezione dei dati, nonostante accolgano favorevolmente questa soluzione, riconoscendo che essa può ridurre gli oneri amministrativi e migliorare l’efficienza complessiva del sistema, evidenziano un effetto meno evidente ma rilevante: la centralizzazione delle informazioni.
Il single entry point diventa infatti un nodo attraverso cui transitano grandi quantità di dati relativi agli incidenti, che possono includere informazioni tecniche dettagliate e, in alcuni casi, dati personali. In questo contesto, il rischio è l’espansione progressiva delle informazioni condivise, spinta dall’esigenza di completezza e tempestività.
Per questo motivo, le autorità insistono sulla necessità di definire con precisione le categorie di dati da trasmettere e di evitare fenomeni di over-reporting. La Joint Opinion considera comunque questo strumento complessivamente positivo, ritenendolo in grado di semplificare gli adempimenti senza ridurre il livello di tutela, purché siano garantite adeguate misure di sicurezza nella gestione delle notifiche.
Certificazione cyber: standard europei e implicazioni sui dati
Un altro pilastro delle proposte riguarda il rafforzamento del quadro europeo di certificazione della cybersecurity, già introdotto dal Cybersecurity Act e ora ulteriormente sviluppato, anche con riferimento alla sicurezza della supply chain ICT.
La Joint Opinion evidenzia come l’estensione dei meccanismi di certificazione comporti un incremento delle attività di valutazione, verifica e audit, che possono implicare il trattamento di informazioni tecniche e organizzative relative ai sistemi e ai servizi certificati.
In tali contesti, non è escluso che vengano trattati anche dati personali, ad esempio nell’ambito delle verifiche sui processi interni o sulle modalità di gestione degli accessi e delle identità.
Le autorità sottolineano quindi la necessità di garantire che i sistemi di certificazione siano progettati secondo un approccio data protection by design, limitando la raccolta di informazioni a quanto strettamente necessario per la valutazione dei requisiti di sicurezza. In particolare, viene richiamato il rischio che i processi di certificazione, se non adeguatamente delimitati, possano evolvere in strumenti di raccolta estesa di dati, andando oltre la loro funzione originaria.
Il cuore del rilievo, oltre il fatto che la certificazione possa implicare trattamenti di dati, è anche che l’articolo 80(1)(w) del CSA2, sebbene sia formulato in modo molto vicino ai requisiti GDPR sulla sicurezza del trattamento, non chiarisce abbastanza il rapporto con la certificazione GDPR ex articoli 42-43. EDPB ed EDPS chiedono quindi di chiarire meglio la portata della disposizione e raccomandano che ENISA consulti l’EDPB prima di adottare uno schema di certificazione sotto quell’articolo.
Su questo fronte le autorità fanno inoltre esempi concreti di strumenti da adottare, quali: logging granulare, storage periods configurabili, tecniche certificate di cancellazione o anonimizzazione.
Supply chain e certificazione
Il rafforzamento dei meccanismi di certificazione e il focus sulla sicurezza della supply chain rappresentano un altro tassello fondamentale delle proposte di intervento.
L’obiettivo delle proposte è costruire fiducia lungo tutta la catena di fornitura, riducendo le vulnerabilità sistemiche; questo approccio implica però un’intensificazione delle attività di verifica, monitoraggio e audit lungo la catena di fornitura.
La Joint Opinion, su questo punto, è piuttosto favorevole e accoglie positivamente il trusted ICT supply chain framework, sottolineando che esso serve soprattutto ad affrontare rischi non tecnici come quelli geopolitici, di dipendenza, ownership e strategic interference, e osservando persino che può avere un effetto benefico sulla protezione dei diritti fondamentali, perché limita interferenze straniere, anche tramite espionage e surveillance.
L’Opinion evidenzia tuttavia che tali processi possono comportare attività di monitoraggio e valutazione che includono dati personali, anche indirettamente; le autorità richiamano quindi la necessità di evitare che la sicurezza della catena di fornitura si traduca in una raccolta sistematica e generalizzata di informazioni sui soggetti della filiera, ribadendo che anche i processi di audit devono rispettare i principi di proporzionalità.
Le nuove essential entities: il ruolo strategico dei wallet digitali
Un passaggio rilevante della Joint Opinion riguarda l’estensione dell’ambito di applicazione della NIS2 attraverso l’inclusione di nuove essential entities.
In particolare, EDPB ed EDPS accolgono favorevolmente la proposta di qualificare come soggetti essenziali i fornitori di European Digital Identity Wallets e di European Business Wallets, indipendentemente dalla loro dimensione. La motivazione è esplicita: tali soggetti rappresentano componenti centrali dell’infrastruttura digitale europea e svolgono un ruolo critico nella gestione dell’identità e delle transazioni, con un potenziale impatto sistemico in caso di incidente.
La Joint Opinion sottolinea come un attacco o una compromissione di questi servizi potrebbe produrre effetti transfrontalieri significativi, incidendo su un’ampia platea di utenti e su molteplici settori economici.
Proprio per questo, la loro inclusione tra le essential entities risponde a una logica di prevenzione del rischio sistemico, più che a criteri dimensionali tradizionali.
Questo passaggio è particolarmente significativo perché riflette un’evoluzione nel modo in cui viene concepita la sicurezza: non più solo in funzione della dimensione dell’operatore, ma del ruolo che esso svolge all’interno dell’ecosistema digitale.
Raccolta e condivisione dei dati sugli attacchi
Le proposte della Commissione prevedono un rafforzamento dei meccanismi di raccolta e analisi delle informazioni sugli attacchi informatici, con particolare attenzione agli attacchi ransomware, considerati una delle minacce più rilevanti a livello europeo.
Le entità interessate possono essere chiamate a trasmettere alle autorità competenti (in particolare ai CSIRT) informazioni specifiche relative agli incidenti, come l’eventuale pagamento del riscatto, l’importo, il destinatario e i punti di contatto coinvolti.
Si tratta di dati essenziali per migliorare la capacità di risposta e la comprensione delle dinamiche degli attacchi, ma che possono includere, direttamente o indirettamente, informazioni riconducibili a persone fisiche.
La Joint Opinion esprime un sostegno chiaro a questo tipo di misure, riconoscendone il valore operativo, ma introduce una condizione precisa: la raccolta dei dati deve essere rigorosamente delimitata e accompagnata da garanzie adeguate.
In particolare, le autorità accolgono positivamente l’impostazione “a livelli” (tiered approach) prevista dalla proposta, in base alla quale le informazioni più sensibili vengono richieste solo su base mirata e non sistematica.
Questo approccio consente di bilanciare l’esigenza di intelligence con quella di protezione dei dati, evitando una raccolta generalizzata e preventiva.
Il punto critico è il rischio di espansione progressiva dei dati trattati, spinta dalla logica della sicurezza e dalla ricerca di informazioni sempre più dettagliate.
La Joint Opinion richiama per questo la necessità di distinguere chiaramente tra dati strettamente necessari all’analisi delle minacce e informazioni solo incidentalmente disponibili, sottolineando che anche i trattamenti a fini statistici o di intelligence devono rispettare i principi di minimizzazione e limitazione della finalità.
In questo quadro, eventuali processi di aggregazione o anonimizzazione devono essere effettivi e verificabili, evitando che dataset apparentemente neutri possano essere ricondotti, anche indirettamente, a individui.
Rafforzamento della cooperazione e governance europea
Le proposte prevedono un rafforzamento dei meccanismi di cooperazione tra Stati membri, autorità competenti e organismi europei, con un maggiore coordinamento operativo e scambio di informazioni.
La Joint Opinion evidenzia che questa evoluzione comporta la creazione di reti sempre più integrate, in cui i dati possono circolare tra più attori. In assenza di regole chiare sulla governance dei dati, il rischio è quello di una perdita di controllo sui flussi informativi, con conseguenze sulla responsabilità e sulla trasparenza dei trattamenti.
Cybersecurity e protezione dei dati: una complementarità da rivedere
Per anni si è sostenuto che cyber security e protezione dei dati erano due facce della stessa medaglia e che dovessero essere complementari. La Joint Opinion, pur non smentendo questa affermazione, la rende un po’ più complessa.
Nella pratica operativa, le due dimensioni possono infatti entrare in tensione, soprattutto quando la sicurezza richiede interventi rapidi e basati su un’ampia disponibilità di informazioni.
In questi casi, il rischio è che la protezione dei dati venga percepita come un vincolo da gestire, piuttosto che come un principio da integrare. Una dinamica sottile, ma rilevante, perché incide sul modo in cui le organizzazioni prendono le loro decisioni.
Se la sicurezza diventa prepotentemente prioritaria, la protezione dei dati rischia di essere adattata “a posteriori”.
Imprese tra obblighi e responsabilità: la fine della separazione organizzativa
Dal punto di vista delle imprese, le proposte segnano un ulteriore passo verso l’integrazione tra cyber security e protezione dei dati, in quanto una gestione separata di questi ambiti non sembra più sostenibile. Le decisioni in materia di sicurezza hanno (quasi sempre inevitabilmente) un impatto diretto sui trattamenti di dati personali, e viceversa.
Questo comporta un cambiamento organizzativo significativo, poiché, oltre ad adeguarsi a nuovi obblighi, le imprese devono ripensare i loro processi decisionali, introducendo una valutazione sistematica dei rischi che tenga conto simultaneamente sia delle esigenze di sicurezza che dei diritti degli interessati.
Una trasformazione che richiede competenze, risorse e, soprattutto, una nuova cultura della gestione del dato, che non si improvvisa.
Semplificazione procedurale e complessità sostanziale
La Joint Opinion suggerisce che la tanto decantata semplificazione è, almeno in parte, illusoria e che ridurre il numero di notifiche o razionalizzare i flussi non elimina la complessità, poiché in realtà la trasforma.
Le imprese si troveranno pertanto a dover prendere decisioni più complesse, in un contesto in cui le norme interagiscono tra loro in modo sempre più stretto. La semplificazione procedurale si accompagna così ad una maggiore complessità sostanziale, che richiede un livello più elevato di consapevolezza e responsabilità.
Implicazioni concrete per le imprese
Per le imprese, le proposte su Cybersecurity Act 2 e NIS2 non si traducono semplicemente in nuovi obblighi, ma in un cambiamento sostanziale nel modo in cui devono essere gestiti i dati.
Il rafforzamento degli obblighi di sicurezza, unito all’aumento delle attività di raccolta e condivisione delle informazioni sugli incidenti, comporta la necessità di strutturare in modo più rigoroso i flussi informativi, stabilendo con precisione quali dati possano essere trattati, da chi e per quali finalità.
In concreto, questo significa che le organizzazioni dovranno evitare approcci “estensivi” nella gestione degli incidenti (ad esempio trasmettendo più dati del necessario per cautela) e adottare invece criteri selettivi coerenti con i principi di minimizzazione e proporzionalità.
Allo stesso tempo, la centralizzazione delle notifiche e l’intensificazione dei meccanismi di cooperazione richiederanno una maggiore integrazione tra funzioni aziendali che tradizionalmente operano in modo separato, in particolare tra cybersecurity, IT, legal e privacy.
La gestione degli incidenti non potrà più essere trattata come un’attività puramente tecnica e dovrà invece incorporare valutazioni giuridiche fin dalle fasi iniziali.
Ne deriva un aumento della responsabilità decisionale interna, sia nel rispetto degli obblighi che nel dimostrare che ogni scelta (dalla raccolta dei dati alla loro condivisione) è stata effettuata nel rispetto del quadro normativo.
Riportare la sicurezza entro i confini del GDPR
Al di là dei singoli interventi e delle raccomandazioni tecniche, la Joint Opinion potrebbe dirsi costruita attorno a un filo conduttore preciso: riportare l’intero impianto delle nuove misure di cybersicurezza entro i confini dei principi del GDPR, evitando che l’espansione degli strumenti operativi si traduca in una loro progressiva disconnessione dal quadro originario della protezione dei dati.
Nonostante il sostanziale favore con cui le autorità guardano le proposte della Commissione, l’Opinion ricorda che la sicurezza non deve diventare un fattore autonomo di ridefinizione delle regole, capace di incidere, anche in modo implicito, su principi come minimizzazione, limitazione della finalità e proporzionalità.
Il richiamo costante al GDPR assume il valore di un’operazione di ricentramento del sistema. EDPB ed EDPS intervengono più volte per riaffermare che la cyber sicurezza, pur evolvendosi, non può costituire un dominio regolatorio autonomo, né tantomeno sottrarsi ai principi che hanno definito il modello europeo.
I singoli interventi settoriali, anche laddove utili e ben accolti, non devono condurre all’attenuazione della portata applicativa dei principi espressi nel GDPR.
Le autorità intendono infatti evitare che il pilastro su cui è costruito il sistema venga ridimensionato proprio nel momento in cui nuove esigenze (legittime) spingono verso una maggiore disponibilità e circolazione dei dati.
