Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la riflessione

Cybersecurity Package UE: quando l’ambizione regolatoria si scontra con la sostenibilità

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il nuovo Cybersecurity Package UE prevede revisione del Cybersecurity Act, emendamenti NIS2 e potenziamento ENISA. Ma la sovrapposizione con DORA, CRA, AI Act crea stratificazione regolatoria insostenibile e, per le imprese italiane, più obblighi su supply chain e costi di adattamento

Pubblicato il 23 gen 2026
Tania Orrù

Privacy Officer e Consulente Privacy

Cybersecurity Package UE

Il 20 gennaio 2026 la Commissione europea ha presentato un nuovo pacchetto legislativo in materia di cybersicurezza, motivandolo con l’aumento costante di attacchi informatici e ibridi contro servizi essenziali, infrastrutture critiche e istituzioni democratiche nell’Unione.

Sempre più spesso gli attacchi sono condotti da gruppi criminali strutturati e attori statali, in un contesto geopolitico caratterizzato da conflitti aperti e tensioni sistemiche.

La proposta, parte di una più ampia riorganizzazione delle competenze europee in materia digitale, solleva però questioni di coordinamento normativo, costi economici per le organizzazioni e capacità di attuazione.

In cosa consiste il nuovo pacchetto della Commissione

Gli interventi si muovono su tre piani distinti ma interconnessi tra loro:

Revisione del Cybersecurity Act

Il Cybersecurity Act 2 mira a ridurre i rischi legati alle catene di fornitura ICT, in particolare quando coinvolgono fornitori di Paesi terzi ad alto rischio, introducendo un quadro europeo armonizzato, proporzionato e basato sul rischio per identificare e mitigare congiuntamente le vulnerabilità nei 18 settori critici europei.

Rafforza il Quadro europeo di certificazione della cybersicurezza (ECCF), per certificare anche processi, servizi di sicurezza gestiti e postura complessiva di cybersicurezza.

Rende la certificazione più semplice, chiara e rapida (con schemi da sviluppare entro 12 mesi).

Semplificazione delle regole di conformità

In particolare, la Commissione UE punta a una semplificazione delle regole di conformità per le imprese nell’adempimento degli obblighi di cybersecurity (gestione del rischio e segnalazione incidenti), mediante creazione di un single-entry point per la notifica degli incidenti (previsto dal Digital Omnibus, per evitare notifiche multiple a più autorità) e modifiche mirate alla Direttiva NIS2 (con introduzione della categoria delle small mid-cap enterprises).

Rafforzamento dell’ENISA

Il nuovo Cybersecurity Package presentato dalla Commissione UE interviene con un rafforzamento del ruolo dell’Agenzia europea per la cybersicurezza (ENISA), che:

  • diventa pilastro dell’ecosistema europeo di cybersicurezza a supporto degli Stati membri per l’analisi delle minacce comuni e preparazione e risposta agli incidenti cyber, anche attraverso early warning su minacce e incidenti;
  • in collaborazione con Europol e CSIRT, assisterà le imprese nella gestione e nel recupero da attacchi ransomware;
  • avrà un ruolo chiave nella formazione, attraverso la Cybersecurity Skills Academy e nuovi schemi europei di attestazione delle competenze.

Il Cybersecurity Act rivisto entrerà in vigore immediatamente dopo l’approvazione da parte del Parlamento europeo e del Consiglio; le modifiche alla Direttiva NIS2 seguiranno il normale iter legislativo e, una volta adottate, gli Stati membri avranno un anno di tempo per recepirle nel diritto nazionale.

La revisione del Cybersecurity Act e la sicurezza delle catene ICT

La revisione del Cybersecurity Act ha come obiettivo dichiarato di rafforzare la sicurezza delle catene di approvvigionamento ICT: la Commissione introduce un quadro europeo per la sicurezza delle supply chain basato su valutazioni di rischio armonizzate, che tengono conto sia delle caratteristiche tecniche di prodotti e servizi, che di fattori legati ai fornitori, come dipendenze strategiche, controllo societario e possibilità di interferenze esterne.

È un passaggio significativo perché riconosce formalmente che la vulnerabilità delle infrastrutture digitali europee, oltre a derivare da difetti tecnologici, può essere la conseguenza di scelte di mercato ed assetti geopolitici.

In questo quadro, la Commissione prevede la possibilità di intervenire con misure di derisking obbligatorie, in particolare nel settore delle reti mobili, rendendo vincolanti orientamenti che finora avevano natura prevalentemente politica o raccomandatoria, come quelli del 5G Toolbox (ovverossia il quadro di misure adottato a livello europeo dal 2020 per coordinare la valutazione dei rischi di sicurezza delle reti 5G e orientare gli Stati membri nella gestione dei fornitori e delle componenti più sensibili delle infrastrutture).

Questa impostazione, pur coerente con l’evoluzione del contesto internazionale, pone tuttavia alcuni interrogativi concreti sul piano economico, dal momento che la sostituzione di fornitori considerati ad alto rischio comporta costi di riconfigurazione delle reti, revisione dei contratti e rallentamenti nei processi di innovazione.

Nonostante il comunicato faccia riferimento alla necessità di considerare anche gli impatti di mercato, non chiarisce come questi verranno bilanciati rispetto agli obiettivi di sicurezza.

Certificazione UE: semplificazione procedurale e carico regolatorio

Con riferimento al secondo asse del pacchetto, riguardante la riforma del ECCF, la Commissione propone procedure più snelle, con schemi di certificazione sviluppabili entro dodici mesi e una governance più trasparente, affidata a ENISA con maggiore coinvolgimento degli stakeholder.

La certificazione viene presentata come strumento volontario, utile alle imprese per dimostrare la conformità alla normativa europea e ridurre il carico di verifiche ripetitive. In teoria, questo approccio dovrebbe favorire la diffusione di standard comuni e aumentare la fiducia nei prodotti e servizi digitali.

Resta tuttavia aperta una questione di fondo: la certificazione europea si aggiunge a un ecosistema normativo già denso, in cui le imprese devono confrontarsi con requisiti diversi a seconda del settore (es. DORA per il finanziario o al Cyber Resilience Act per i prodotti).

In questo quadro, anche l’introduzione di una certificazione “semplificata” rischia di tradursi, nella pratica, in un ulteriore livello di adempimento, soprattutto per operatori medio-piccoli che non dispongono di strutture interne e risorse dedicate per far fronte anche a questa novità.

Gli emendamenti alla NIS2 e il problema della frammentazione

Il pacchetto interviene sulla Direttiva NIS2 con emendamenti mirati a chiarire le regole di giurisdizione, semplificare gli obblighi di notifica e migliorare la raccolta dei dati sugli attacchi ransomware.

La Commissione stima, infatti, che tali modifiche ridurranno gli oneri di compliance per le imprese, incluse le micro e piccole aziende oltre alla nuova categoria di “small mid-cap enterprises” destinatarie di obblighi attenuati.

L’intento è quello di rendere il sistema più gestibile e meno burocratico; tuttavia, la distinzione tra soggetti pienamente assoggettati e soggetti parzialmente esentati rischia di creare squilibri di sicurezza.

In ecosistemi digitali fortemente interconnessi, il livello di protezione complessivo tende, infatti, ad allinearsi a quello dell’anello più debole della catena e le esperienze più recenti mostrano che gli attacchi informatici sfruttano spesso fornitori minori o meno strutturati per raggiungere organizzazioni più grandi: in questo senso, alleggerire eccessivamente i requisiti per alcune categorie potrebbe produrre effetti indiretti sull’intero ecosistema.

ENISA, competenze e strumenti avanzati

Il comunicato sottolinea anche il ruolo di ENISA nello sviluppo delle competenze, attraverso la Cybersecurity Skills Academy e schemi europei di attestazione professionale, rispondendo a una carenza strutturale del mercato europeo, in cui la domanda di esperti di sicurezza supera ampiamente l’offerta.

Sul piano tecnologico, il rafforzamento delle capacità di analisi delle minacce implica un ricorso crescente a strumenti automatizzati e a sistemi di analisi avanzata, dato che questo aspetto si intreccia con altre iniziative normative, in particolare l’AI Act, che disciplina l’uso di sistemi di intelligenza artificiale ad alto rischio. Il coordinamento tra queste normative non è esplicitato nel pacchetto, ma sarà determinante per evitare conflitti interpretativi e rallentamenti operativi.

Il rafforzamento del ruolo di ENISA nella gestione operativa degli incidenti è poi senz’altro uno degli aspetti più rilevanti del pacchetto, in quanto l’Agenzia sarà responsabile del punto unico di accesso per la notifica degli incidenti, supporterà le imprese nella risposta agli attacchi ransomware e coordinerà la raccolta dei dati a livello europeo, collaborando con Europol e CSIRT nazionali.

Ransomware e centralizzazione delle informazioni

La centralizzazione delle informazioni sugli attacchi può migliorare la capacità di analisi e prevenzione, consentendo di superare la frammentazione attuale e individuare schemi ricorrenti e vulnerabilità sistemiche.

Oggi, la gestione delle informazioni sugli attacchi ransomware è infatti affidata prevalentemente alle autorità nazionali, con modelli di raccolta non omogenei che ostacolano sia l’analisi comparata sia la capacità di individuare tempestivamente campagne e vulnerabilità comuni.

Tuttavia, la centralizzazione proposta comporta anche una concentrazione di informazioni altamente sensibili relativi agli incidenti, che includono dettagli tecnici, dati aziendali e, in alcuni casi, dati personali.

Il comunicato non entra nel dettaglio delle garanzie di governance di questi dati, così la compatibilità con il GDPR, le modalità di accesso e le finalità di utilizzo restano aspetti che dovranno essere chiariti nella fase di attuazione.

Senza una definizione precisa, resta il rischio che l’efficienza operativa venga ottenuta a scapito della trasparenza e della fiducia degli operatori.

La stratificazione normativa europea: un problema strutturale

Il Cybersecurity Package si inserisce in un quadro normativo già alquanto complesso, poiché, negli ultimi anni, l’Unione ha adottato o si accinge a finalizzare una serie di atti che incidono direttamente o indirettamente sulla sicurezza digitale: Cybersecurity Act, NIS2, DORA, Cyber Resilience Act, AI Act, Digital Services Act, Digital Omnibus.

Ciascuno risponde ad esigenze specifiche, che, però, nel loro insieme finiscono col produrre una stratificazione regolatoria che rende complicato per imprese e amministrazioni avere una visione unitaria degli obblighi.

La proposta della Commissione cerca di correggere alcune frizioni, senza però affrontare in modo sistematico il tema della coerenza normativa complessiva.

Il rischio è, pertanto, che la cybersicurezza europea continui ad essere costruita per accumulazione normativa, più che attraverso un disegno unitario; interventi successivi e settoriali finiscono per creare sovrapposizioni di competenze, ruoli e obblighi di reporting.

Senza un coordinamento più esplicito tra strumenti, autorità e obblighi, si rischia di incrementare costantemente la complessità, senza un corrispondente aumento della sicurezza effettiva.

CSA, NIS2, DORA, CRA, Cybersecurity Package: obblighi diversi sullo stesso perimetro

Negli ultimi anni la cybersicurezza europea si è infatti strutturata attraverso atti normativi distinti, ciascuno con una logica propria.

Così il Cybersecurity Act agisce sul prodotto e sulla certificazione volontaria; la NIS2 impone obblighi organizzativi e di gestione del rischio agli operatori essenziali e importanti; DORA introduce requisiti dettagliati e prescrittivi per il settore finanziario; il Cyber Resilience Act impone obblighi di sicurezza by design e di gestione delle vulnerabilità a produttori di hardware e software.

Il risultato è una sovrapposizione funzionale: norme diverse insistono sugli stessi ambiti (supply chain, incident reporting, gestione delle vulnerabilità) ma con destinatari, tempi e autorità di riferimento differenti.

Per un’impresa italiana questo si traduce in complessità operative concrete.
Una media azienda manifatturiera che utilizza software embedded nei propri prodotti può essere coinvolta dal CRA come produttore, dalla NIS2 come soggetto rilevante nella supply chain e, indirettamente, dal CSA se adotta o fornisce componenti certificati.

La sicurezza del prodotto, dell’organizzazione e dei fornitori deve essere gestita attraverso obblighi formalmente distinti, ma tecnicamente interdipendenti.

Una banca o un intermediario finanziario italiano è soggetto contemporaneamente a DORA e NIS2: deve rispettare regole diverse per il reporting degli incidenti, per i test di resilienza e per la gestione dei fornitori ICT critici, spesso interfacciandosi con autorità differenti per requisiti simili.

Una PMI tecnologica che sviluppa software per clienti europei può trovarsi a dover garantire requisiti di sicurezza by design (CRA), dimostrare buone pratiche organizzative (NIS2) e rispondere a richieste di certificazione volontaria (CSA), senza di fatto avere strutture interne dedicate alla compliance multilivello.

Il nuovo Cybersecurity Package cerca di ridurre alcune frizioni, in particolare sul reporting e sul coordinamento tramite ENISA, ma il nodo che resta aperto è che la cybersicurezza europea è costruita per strati successivi, e la difficoltà principale per imprese e amministrazioni è una “superfetazione” regolatoria che rende complesso rendere coerenti, gestibili e sostenibili nel loro insieme tutte queste norme.

Sovranità digitale e cybersicurezza: il governo delle dipendenze

Nel Cybersecurity Package la sovranità digitale, pur non essendo enunciata come obiettivo politico astratto, emerge come conseguenza operativa delle scelte normative sulla sicurezza delle supply chain ICT.

La revisione del Cybersecurity Act, le misure di derisking obbligatorio per le reti mobili e il rafforzamento dei meccanismi di certificazione indicano infatti una linea chiara: ridurre le dipendenze tecnologiche che limitano la capacità dell’Unione di prevenire interferenze esterne e di garantire continuità ai servizi essenziali.

In questa prospettiva, la sovranità digitale, più che con l’autosufficienza tecnologica, coincide con la possibilità di governare infrastrutture, fornitori e flussi informativi secondo regole europee, anche quando ciò comporta costi economici e scelte di mercato meno efficienti nel breve periodo.

In poche parole, la sovranità digitale richiamata dal pacchetto coincide con la capacità dell’Unione di esercitare un controllo effettivo e continuativo sulle infrastrutture digitali critiche e sulle dipendenze tecnologiche che le sostengono

Gli impatti per le organizzazioni italiane

Se si pensa però alle imprese e alle amministrazioni italiane, coinvolte nella realizzazione dei progetti PNRR e nella digitalizzazione della PA e dei servizi essenziali, quanto sopra si traduce in obblighi più stringenti nella selezione dei fornitori ICT, in tempi di transizione più lunghi e in investimenti aggiuntivi per la riconfigurazione delle infrastrutture.

Per le nostre organizzazioni il pacchetto rappresenta quindi un ulteriore livello di complessità, visto che amministrazioni e imprese dovranno integrare i nuovi requisiti in un contesto già caratterizzato da risorse limitate e forte eterogeneità territoriale.

La Commissione riconosce implicitamente questi costi, ma affida il bilanciamento tra sicurezza, competitività e velocità della trasformazione digitale a decisioni politiche che variano tra Stati membri.

In assenza di un rafforzamento parallelo dell’ecosistema industriale europeo, potrebbe accadere che la sovranità digitale si esaurisca in una gestione più controllata delle dipendenze esistenti, ma che non si traduca in una reale capacità autonoma di sviluppo tecnologico.

Tra ambizione UE e implementazione nazionale

La proposta della Commissione consolida l’impianto europeo di cybersicurezza e ne estende il perimetro, collegando in modo esplicito la protezione delle infrastrutture digitali a temi di sicurezza economica, affidabilità delle catene di fornitura e capacità di intervento pubblico.

Il rafforzamento del Cybersecurity Act, gli aggiustamenti alla NIS2 e l’espansione del ruolo operativo di ENISA mostrano una crescente consapevolezza della natura sistemica del rischio cyber.

Al tempo stesso, il pacchetto rende evidente un limite strutturale dell’approccio europeo, cioè la difficoltà di governare in modo unitario un insieme di norme che si èsviluppato per stratificazioni successive, con logiche e destinatari diversi, che richiedono un coordinamento più esplicito tra i diversi strumenti regolatori.

Inoltre, la capacità di recepire e applicare le nuove misure sarà strettamente correlata alla disponibilità di competenze, risorse e strumenti di coordinamento a livello nazionale.

La questione centrale è rafforzare la cybersicurezza evitando che l’accumulo degli obblighi regolatori comprometta l’efficacia delle misure e che i costi dell’adattamento ricadano in modo sproporzionato su imprese e amministrazioni.

In definitiva, la capacità dell’Unione di trasformare l’ambizione regolatoria in resilienza concreta dipenderà dalla coerenza delle nuove (e meno nuove) regole nel loro insieme e dalla sostenibilità della loro attuazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Privacy Officer e Consulente Privacy
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Dpo e Ciso, un'alleanza necessaria: due funzioni, un’unica visione

  • GDPR

    Il DPO deve essere indipendente e autonomo: punto fermo ribadito dal Garante privacy

    03 Mar 2025

    di Rosario Palumbo

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Sette motivi per cui la cybersecurity ha un'importanza strategica per aziende e nazioni

  • sicurezza aziendale

    Sette motivi che indicano l'importanza strategica della cyber security

    29 Ott 2025

    di Giuditta Mosca

    Condividi
  • DORA e Data Act catena di fornitura - Third-Party Risk Management (Tprm): come proteggere davvero la supply chain digitale; Strategic Sourcing e governance del rischio cyber: un framework per la gestione sostenibile delle terze parti digitali; I pilastri del TPRM con DORA: come trasformare il rischio terze parti in vantaggio competitivo

  • sicurezza fornitori

    Strategic Sourcing e governance del rischio cyber: una gestione sostenibile delle terze parti digitali

    22 Dic 2025

    di Marco Toiati

    Condividi
0
Lascia un commento, la tua opinione conta.x