Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la proposta

NIS2 e Cybersecurity Act 2: verso una semplificazione matura della compliance europea

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

La Commissione UE ha presentato una proposta di semplificazione della NIS2 che non snatura la direttiva, ma al contrario la rende più applicabile, più sostenibile e più coerente con l’ecosistema normativo europeo che nel frattempo si è ampliato. Ecco i punti cardine

Pubblicato il 27 gen 2026
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

Semplificazione NIS2

Con la proposta COM(2026) 13, presentata il 20 gennaio 2026, la Commissione europea avvia una revisione mirata della Direttiva NIS2 che segna un passaggio di maturità dell’intero impianto normativo europeo sulla cyber security.

Non si tratta di un cambio di rotta, né di un allentamento degli obblighi, ma di una ricalibrazione strategica finalizzata a rendere la compliance più sostenibile, coerente e realmente efficace nel tempo.

La proposta si inserisce nel più ampio pacchetto di revisione del Cybersecurity Act (il cosiddetto Cybersecurity Act 2) e nasce da una constatazione chiara: la crescita del perimetro normativo europeo ha prodotto valore in termini di resilienza, ma anche complessità applicative, sovrapposizioni e costi amministrativi che rischiano di sottrarre risorse alla sicurezza operativa.

Semplificazione della NIS2: dal “più regole” al “migliori regole”

Il documento esplicativo è molto esplicito: la NIS2 ha rafforzato la postura cyber dell’Unione, ma la sua implementazione ha evidenziato criticità su quattro assi principali:

  • definizione dello scope,
  • proporzionalità degli obblighi,
  • supervisione delle entità transfrontaliere,
  • frammentazione degli adempimenti di reporting e controllo.

La risposta della Commissione non è un arretramento normativo, bensì un tentativo di ridurre l’attrito regolatorio e riallineare il framework ai bisogni reali di imprese e autorità, mantenendo inalterati i pilastri della direttiva: risk management, incident reporting, responsabilità del management e sicurezza della supply chain.

Chiarezza sul perimetro: meno ambiguità, più certezza giuridica

Uno dei contributi più concreti della proposta riguarda la revisione degli Allegati I e II della NIS2, che definiscono i settori e i tipi di entità soggette alla direttiva.

Le modifiche non ampliano indiscriminatamente lo scope, ma lo raffinano.

Vengono introdotti criteri più precisi per alcuni settori critici, tra cui:

  • produzione di energia elettrica, con esclusione degli operatori sotto la soglia di 1 MW;
  • settore dell’idrogeno, ora esplicitamente allineato alla normativa energetica UE;
  • sanità, con una delimitazione più netta dei provider effettivamente rilevanti;
  • chimica, con un collegamento diretto agli obblighi REACH;
  • infrastrutture di trasmissione dati sottomarine, riconosciute come asset critici a prescindere dal modello operativo.

L’effetto pratico è una riduzione dell’incertezza interpretativa, sia per le imprese sia per le autorità nazionali, con un perimetro più coerente con il rischio sistemico reale.

La categoria “small mid-cap”: proporzionalità come principio operativo

Il cuore politico della proposta è l’introduzione formale della categoria delle small mid-cap enterprises, già definita dalla Commissione nel 2025 ma ora integrata nel framework NIS2.

Queste entità, pur operando in settori critici, vengono inquadrate come important entities e non come essential, con un alleggerimento del regime di supervisione e degli oneri amministrativi. Il messaggio è chiaro: la sicurezza resta obbligatoria, ma la compliance deve essere commisurata alla capacità organizzativa e al rischio effettivo.

È un passaggio tutt’altro che simbolico, perché riconosce che l’eccesso di burocrazia può diventare un fattore di rischio, distogliendo risorse dalla sicurezza concreta.

Certificazione come strumento di compliance, non come adempimento aggiuntivo

L’allineamento con il Cybersecurity Act 2 introduce un cambio di paradigma rilevante: la certificazione europea di cyber security viene esplicitamente valorizzata come strumento per dimostrare la conformità agli obblighi NIS2.

Le entità che otterranno una certificazione di “cyber posture” nell’ambito dell’European Cybersecurity Certification Framework potranno evitare controlli duplicativi sulle aree già coperte dalla certificazione. Non viene meno la responsabilità finale dell’organizzazione, ma si supera l’idea di una compliance basata solo su audit ripetuti e documentazione ridondante.

È un passaggio chiave verso una compliance basata sull’evidenza tecnica, più vicina alla realtà operativa dei CISO.

Supply chain, ransomware e post-quantum: più sostanza, meno frizione

La proposta interviene anche su tre temi particolarmente sensibili:

Supply chain security

La Commissione riconosce che i questionari eterogenei imposti ai fornitori stanno generando un carico amministrativo sproporzionato.

Per questo annuncia linee guida europee per armonizzare richieste, formati e livelli di dettaglio, evitando il “trasferimento indiscriminato” degli obblighi NIS2 a soggetti fuori scope.

Ransomware

Viene introdotta una raccolta armonizzata di dati sugli attacchi ransomware, inclusi vettori di attacco e misure di mitigazione, con un principio importante: la notifica non deve generare responsabilità aggiuntive per l’ente che collabora.

Un segnale chiaro per favorire trasparenza e intelligence condivisa.

Post-quantum cryptography

Per la prima volta, la migrazione verso algoritmi post-quantum entra formalmente nella strategia nazionale di cybersecurity degli Stati membri, con milestone chiare: 2030 per i casi critici, 2035 per quelli a rischio medio-basso.

Un tema che esce dall’ambito accademico e diventa pianificazione strategica.

ENISA come facilitatore della supervisione europea

La proposta rafforza in modo significativo il ruolo di ENISA, che non diventa un’autorità di enforcement, ma un abilitatore della cooperazione tra Stati membri.

ENISA gestirà un registro europeo delle entità NIS2, analizzerà i rischi cross-border e potrà supportare la creazione di team di supervisione congiunti per le entità più critiche. Un passaggio essenziale per evitare approcci divergenti su organizzazioni che operano su più mercati nazionali.

Una NIS2 più matura, non più debole

La revisione proposta non snatura la NIS2. Al contrario, la rende più applicabile, più sostenibile e più coerente con l’ecosistema normativo europeo che nel frattempo si è ampliato (CRA, DORA, Cyber Solidarity Act, Digital Omnibus).

Per le imprese, il messaggio è inequivocabile: la cyber security resta una responsabilità di governance. Ma l’Europa sembra finalmente aver compreso che una sicurezza efficace non nasce dalla moltiplicazione degli adempimenti, bensì dalla qualità delle misure e dalla capacità di applicarle nel tempo.

Ed è, probabilmente, il segnale più interessante che arriva da Bruxelles in questo avvio di 2026.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Dpo e Ciso, un'alleanza necessaria: due funzioni, un’unica visione

  • GDPR

    Il DPO deve essere indipendente e autonomo: punto fermo ribadito dal Garante privacy

    03 Mar 2025

    di Rosario Palumbo

    Condividi
  • GDPR AI assicurazioni; Sanzione del Garante Privacy a Verisure Italia e Aimag: sette anni di GDPR, zero progressi

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Meme4Cyber360: Il rischio delle analisi dei rischi

  • meme della settimana

    Il rischio delle analisi dei rischi

    14 Ago 2025

    di Redazione Cybersecurity360.it

    Condividi
  • DORA e Data Act catena di fornitura - Third-Party Risk Management (Tprm): come proteggere davvero la supply chain digitale; Strategic Sourcing e governance del rischio cyber: un framework per la gestione sostenibile delle terze parti digitali; I pilastri del TPRM con DORA: come trasformare il rischio terze parti in vantaggio competitivo

  • sicurezza fornitori

    Strategic Sourcing e governance del rischio cyber: una gestione sostenibile delle terze parti digitali

    22 Dic 2025

    di Marco Toiati

    Condividi
0
Lascia un commento, la tua opinione conta.x