Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

nuovo regolamento

Cybersecurity Act 2: una revisione mirata alla NIS2 e che potenzia il ruolo dell’Enisa

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Lo strumento normativo del Cybersecurity Act, adottato nel 2019 per istituire un quadro europeo di certificazione della cyber sicurezza, si aggiorna. Ecco il cuore dell’iniziativa legislativa che risiede nella proposta di revisione del pacchetto normativo, bilanciando l’innalzamento degli standard di sicurezza con l’esigenza di non soffocare l’innovazione o penalizzare le PMI

Pubblicato il 21 gen 2026
Luisa Franchina

Presidente Associazione Italiana Infrastrutture Critiche (AIIC)

Tommaso Diddi

Analista Hermes Bay

Cybersecurity Act news; Cybersecurity Act: la revisione introduce modifiche mirate alla Direttiva NIS2 e potenzia il ruolo dell'Enisa

La Commissione Europea ha presentato il 20 gennaio 2026 un ambizioso pacchetto normativo sulla cyber sicurezza, volto a rafforzare la resilienza e le capacità dell’Unione in materia di sicurezza informatica.

Il nuovo quadro regolamentare si articola principalmente attorno alla
proposta di revisione del Cybersecurity Act, all’introduzione di modifiche mirate alla Direttiva NIS2 e al potenziamento del ruolo dell’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA).

L’iniziativa rappresenta una risposta coordinata alle vulnerabilità identificate nelle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione, con l’obiettivo di garantire che i prodotti commercializzati nel mercato unico digitale europeo siano sicuri fin dalla progettazione.

Cybersecurity Act 2: la revisione 2026 è un’evoluzione matura della resilienza digitale UE

Il contesto geopolitico del nuovo pacchetto normativo

La presentazione del nuovo pacchetto normativo si inserisce in un contesto geopolitico caratterizzato da una crescente sofisticazione delle minacce informatiche.

Gli attacchi cyber non rappresentano più fenomeni isolati, ma costituiscono elementi integranti di strategie ibride più ampie, dove la dimensione digitale si intreccia con obiettivi politici, economici e militari.

Le infrastrutture critiche europee, dai sistemi energetici alle reti di telecomunicazione, dalle istituzioni finanziarie ai servizi sanitari, sono bersagli costanti di operazioni malevole che possono compromettere la continuità dei servizi essenziali.

La Commissione Europea ha riconosciuto che la frammentazione normativa e la disomogeneità degli standard di sicurezza tra gli Stati membri costituiscono vulnerabilità strutturali che possono essere sfruttate dagli avversari.

La proposta di revisione del Cybersecurity Act

Il cuore dell’iniziativa legislativa risiede nella proposta di revisione del Cybersecurity Act, strumento normativo originariamente adottato nel 2019 per istituire un quadro europeo di certificazione della cyber sicurezza.

La versione rivista del regolamento introduce significative innovazioni volte a rafforzare la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione.

La sicurezza delle supply chain ICT rappresenta una sfida complessa, caratterizzata dalla presenza di molteplici attori, dalla distribuzione geografica dei processi produttivi e dall’opacità che spesso caratterizza le relazioni tra fornitori e subfornitori.

Gli incidenti recenti hanno dimostrato come vulnerabilità presenti in componenti
apparentemente marginali possano propagarsi attraverso l’intera catena, compromettendo sistemi critici.

La risposta della Commissione si articola attorno al principio della security by
design, secondo cui la sicurezza deve essere integrata fin dalle fasi iniziali di progettazione e sviluppo dei prodotti.

La conformità a standard di sicurezza

Il meccanismo proposto prevede che i prodotti destinati al mercato europeo debbano essere sottoposti a processi di certificazione che ne attestino la conformità a standard di sicurezza predefiniti.

Consapevole del rischio che requisiti eccessivamente onerosi possano costituire barriere all’ingresso, la Commissione ha posto particolare attenzione alla semplificazione delle procedure di certificazione.

L’obiettivo è creare un sistema che garantisca rigorosità tecnica senza imporre oneri burocratici sproporzionati, specialmente per le piccole e medie imprese.

La revisione introduce inoltre meccanismi di coordinamento più stringenti tra le autorità nazionali responsabili della certificazione, affidando all’ENISA un ruolo di supervisione e armonizzazione.

La centralità dell’Enisa

L’Agenzia dell’Unione Europea per la Cybersicurezza assume una centralità rinnovata nel quadro delineato dalla proposta normativa.

L’ENISA, che ha ottenuto un mandato permanente con il Cybersecurity Act del 2019, viene dotata di competenze ampliate e risorse aggiuntive per supportare gli Stati membri nella gestione delle minacce informatiche.

Il rafforzamento risponde all’esigenza di disporre di un centro di competenza a livello europeo, capace di aggregare conoscenze specialistiche, coordinare risposte a incidenti transnazionali e facilitare la condivisione di informazioni sulle minacce.

La natura interconnessa delle reti informatiche implica che un attacco in uno Stato membro possa rapidamente propagarsi ad altri, rendendo indispensabile un approccio collaborativo.

La pubblicazione contestuale di una valutazione approfondita dell’impatto e dell’efficacia dell’ENISA e del quadro europeo di certificazione della cyber sicurezza fornisce elementi empirici per orientare il potenziamento dell’agenzia.

La valutazione analizza la performance, la governance e le pratiche operative secondo cinque criteri principali: efficacia, efficienza, rilevanza, coerenza e valore aggiunto europeo.

Tra le funzioni rafforzate assume particolare rilievo il ruolo di coordinamento nella supervisione di entità che operano in contesti transfrontalieri.

Le 3 dimensioni degli emendamenti alla Direttiva NIS2

Parallelamente alla revisione del Cybersecurity Act, il pacchetto introduce emendamenti mirati alla Direttiva NIS2.

Gli emendamenti proposti si concentrano su tre dimensioni principali. Si mira a incrementare la chiarezza giuridica attraverso la semplificazione delle regole di
giurisdizione, introducendo criteri più netti per l’attribuzione delle competenze e riducendo le zone grigie.

In secondo luogo, vengono introdotti meccanismi semplificati per la raccolta di dati relativi agli attacchi ransomware, fenomeno che negli ultimi anni ha assunto proporzioni preoccupanti.

Gli attacchi ransomware hanno colpito organizzazioni di ogni dimensione e settore, causando interruzioni operative significative.

La raccolta sistematica di informazioni su questi incidenti è essenziale per comprendere le dinamiche del fenomeno e sviluppare strategie di contrasto efficaci.

In terzo luogo, gli emendamenti facilitano la supervisione di entità transfrontaliere rafforzando il ruolo di coordinamento dell’ENISA.

L’integrazione con il Digital Omnibus

Le misure di semplificazione si integrano con il Digital Omnibus, che prevede l’istituzione di un punto unico di accesso per la segnalazione degli incidenti.

Le imprese che operano nel mercato europeo sono soggette a molteplici obblighi di notifica derivanti da diversi strumenti legislativi, ciascuno con proprie tempistiche e modalità.

Questa frammentazione genera oneri amministrativi significativi e può ritardare la segnalazione di incidenti critici. Il punto unico di accesso mira a centralizzare le comunicazioni, permettendo alle entità di soddisfare molteplici obblighi attraverso un’unica interfaccia.

Le implicazioni del nuovo framework normativo

Il nuovo framework normativo avrà implicazioni significative per le imprese che operano nel mercato europeo, particolarmente quelle attive nei settori delle tecnologie dell’informazione e della comunicazione.

I requisiti di certificazione per i prodotti ICT richiederanno investimenti in progettazione sicura e test di conformità, mentre le modifiche alla NIS2 potrebbero comportare aggiustamenti nei sistemi di gestione del rischio.

Tuttavia, la Commissione ha cercato di bilanciare l’innalzamento degli standard di sicurezza con l’esigenza di non soffocare l’innovazione o penalizzare eccessivamente le piccole e medie imprese attraverso la semplificazione dei processi e la chiarificazione delle regole.

La dimensione globale della cyber

Sebbene la proposta si concentri sul rafforzamento della resilienza interna all’Unione, la cyber sicurezza presenta inevitabilmente una dimensione internazionale.

Le minacce informatiche non rispettano confini geografici, e le catene di approvvigionamento delle tecnologie ICT sono globali.

L’approccio europeo dovrà confrontarsi con iniziative analoghe intraprese da altri attori globali, con l’opportunità di promuovere convergenza verso standard elevati di sicurezza attraverso il dialogo internazionale.

L’approvazione formale della proposta rappresenterà il primo passo di un processo implementativo che presenterà sfide significative.

La traduzione delle disposizioni legislative in pratiche operative efficaci richiederà coordinamento tra istituzioni europee e autorità nazionali, sviluppo di linee guida tecniche dettagliate e allocazione di risorse adeguate.

La disponibilità di competenze specialistiche costituisce un vincolo critico, con la domanda di professionisti qualificati che eccede significativamente l’offerta in molti Stati membri.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Luisa Franchina
Presidente Associazione Italiana Infrastrutture Critiche (AIIC)
D
Tommaso Diddi
Analista Hermes Bay

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Sette motivi per cui la cybersecurity ha un'importanza strategica per aziende e nazioni

  • sicurezza aziendale

    Sette motivi che indicano l'importanza strategica della cyber security

    29 Ott 2025

    di Giuditta Mosca

    Condividi
  • Cybersecurity Act 2

  • sicurezza informatica

    Cybersecurity Act 2: la revisione 2026 è un’evoluzione matura della resilienza digitale UE

    21 Gen 2026

    di Sandro Sana

    Condividi
  • Attacchi Transient Schedule (Tsa) contro le Cpu di Amd: come mitigare il rischio

  • vulnerabilità hardware

    Attacchi Transient Schedule (Tsa) contro le CPU di Amd: ci sono le patch, ma non bastano

    15 Lug 2025

    di Mirella Castigli

    Condividi
  • Termini perentori sanzioni GDPR

  • l'analisi

    Termini perentori per le sanzioni GDPR: la sentenza della Cassazione che cambia tutto

    21 Gen 2026

    di Chiara Ponti

    Condividi
0
Lascia un commento, la tua opinione conta.x