Le autorità europee per la protezione dei dati hanno detto la loro sulle nuove norme in materia di cybersicurezza. Il 18 marzo 2026 il Comitato Europeo per la Protezione dei Dati (EDPB) e il Garante Europeo della protezione dei dati (EDPS) hanno adottato un parere congiunto sulle proposte legislative presentate dalla Commissione Europea il 20 gennaio scorso: il Cybersecurity Act 2 e il pacchetto di modifiche alla direttiva NIS 2.
Il giudizio è favorevole, ma tutt’altro che incondizionato: rafforzare le difese digitali dell’Unione è urgente e necessario, a patto che non si sacrifichino i diritti fondamentali dei cittadini sull’altare della sicurezza.
Indice degli argomenti
Le nuove proposte europee sulla cybersicurezza
Nell’ambito della generale revisione che sta interessando le norme sul digitale, l’Unione Europa sta lavorando a un insieme di disposizioni volte a innalzare il livello di protezione delle infrastrutture dagli attacchi informatici.
Il 20 gennaio 2026, infatti, la Commissione Europea ha presentato due proposte legislative destinate a rivoluzionare il panorama della sicurezza digitale comunitaria: il Cybersecurity Act 2 e un pacchetto di modifiche alla direttiva NIS 2.
Si tratta di un’iniziativa ambiziosa che mira a rendere l’Unione più resiliente di fronte alle crescenti minacce cibernetiche, dai ransomware agli attacchi alle infrastrutture critiche, fino ai tentativi di spionaggio informatico.
Il parere dell’EDPB e dell’EDPS: sì alla sicurezza, ma con garanzie
A pochi mesi dalla presentazione delle proposte, il Comitato Europeo per la Protezione dei Dati (EDPB) e il Garante Europeo (EDPS) hanno, dunque, espresso il loro parere congiunto, adottato il 18 marzo 2026.
Il giudizio è, nel complesso, positivo, ma con alcune raccomandazioni importanti: bene potenziare la cybersicurezza, ma senza dimenticare i diritti fondamentali dei cittadini.
Perché l’Europa ha bisogno di nuove regole
Il mondo digitale è quotidianamente costellato da attacchi informatici di diversa natura e gravità. Gli attacchi informatici si moltiplicano, diventano più sofisticati e colpiscono sempre più spesso ospedali, aziende, amministrazioni pubbliche e infrastrutture essenziali. In questo scenario, l’Unione Europea ha deciso di correre ai ripari aggiornando il proprio assetto normativo.
Le nuove proposte della Commissione, infatti, perseguono quattro obiettivi principali. In primo luogo, si punta a rafforzare il ruolo dell’ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza, che dovrà diventare un vero e proprio centro nevralgico della sicurezza informatica europea. In secondo luogo, si vuole rilanciare il sistema di certificazione della cybersicurezza, ancora poco utilizzato nonostante la sua introduzione con il Cybersecurity Act del 2019. Terzo obiettivo è semplificare il quadro normativo, riducendo la complessità delle regole che oggi gravano sulle imprese. Infine, le proposte mirano ad affrontare i rischi legati alla catena di approvvigionamento dei prodotti tecnologici, compresi quelli di natura geopolitica.
ENISA: da agenzia tecnica a hub operativo
Una delle novità più significative riguarda la trasformazione dell’ENISA. L’agenzia, con sede ad Atene, non sarà più soltanto un organismo che fornisce consulenza tecnica, ma diventerà un vero e proprio snodo operativo per la cooperazione tra gli Stati membri in materia di sicurezza informatica.
In pratica, l’ENISA funzionerà come un centro di raccolta e condivisione delle informazioni sulle minacce cibernetiche. Riceverà segnalazioni dai team di risposta agli incidenti informatici (i cosiddetti CSIRT) di tutta Europa e potrà lanciare allerte per avvisare tempestivamente le organizzazioni a rischio.
Le autorità garanti della privacy europee accolgono con favore questo potenziamento, ma sollevano una questione cruciale: quali dati personali tratterà l’ENISA nel suo nuovo ruolo? Secondo le rassicurazioni fornite dalla Commissione Europea, l’agenzia lavorerà principalmente con dati aggregati e non personali. Le informazioni sugli attacchi informatici che riceverà non dovrebbero contenere dati identificativi delle vittime, ma solo indicatori tecnici utili a prevenire ulteriori incidenti.
Tuttavia, l’EDPB e l’EDPS chiedono maggiore chiarezza. Se in futuro l’ENISA dovesse trattare dati personali su larga scala, questa possibilità dovrebbe essere espressamente prevista dalla legge, insieme a tutte le garanzie necessarie per proteggere i cittadini. Non si può lasciare una decisione così importante alla discrezionalità del consiglio di amministrazione di un’agenzia.
Un unico sportello per segnalare le violazioni
Tra le misure più apprezzate dalle autorità garanti c’è l’istituzione di un punto di accesso unico per la notifica degli incidenti di sicurezza. Oggi, quando un’azienda subisce un attacco informatico che compromette i dati personali dei suoi clienti, deve spesso fare segnalazioni multiple a diverse autorità, con procedure e tempistiche differenti.
Il nuovo sistema permetterà di fare un’unica notifica che verrà poi smistata automaticamente a tutte le autorità competenti. Per le imprese si tratta di un alleggerimento burocratico significativo, mentre per per i cittadini, una garanzia che le violazioni dei loro dati verranno comunicate rapidamente e gestite in modo coordinato.
L’EDPB aveva già espresso il suo sostegno a questa soluzione nella “Dichiarazione di Helsinki” del luglio 2025, sottolineando come un sistema europeo di notifica incrociata possa facilitare il rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR). Resta però fondamentale, avvertono le autorità, garantire la sicurezza delle notifiche stesse: le segnalazioni di violazioni contengono spesso informazioni sensibili, che devono essere protette adeguatamente.
Portafogli digitali: massima protezione per l’identità elettronica
Una novità di particolare rilievo riguarda i cosiddetti “wallet” digitali europei, ovvero i portafogli elettronici che permetteranno ai cittadini di conservare e utilizzare la propria identità digitale. Questi strumenti, destinati a diventare sempre più diffusi nei prossimi anni, consentiranno di identificarsi online, firmare documenti elettronici e condividere in modo sicuro attestazioni e certificati.
La proposta di modifica alla direttiva NIS 2 classifica i fornitori di questi portafogli digitali come “entità essenziali”, equiparandoli alle infrastrutture critiche come ospedali, reti energetiche e istituti finanziari. Questo significa che dovranno rispettare i più stringenti requisiti di sicurezza informatica previsti dalla normativa europea.
Le autorità garanti concordano pienamente con questa scelta. I wallet digitali sono destinati a diventare un pilastro dell’infrastruttura digitale europea: un attacco informatico che li colpisse potrebbe avere conseguenze devastanti, compromettendo potenzialmente l’identità di milioni di cittadini.
Ransomware: mappare il fenomeno per combatterlo
Gli attacchi ransomware rappresentano uno dei fenomeni più diffusi e pericolosi del mondo digitale. Negli ultimi anni, infatti, ospedali, scuole, aziende e pubbliche amministrazioni in tutta Europa sono stati colpiti da questo tipo di attacchi, con danni economici e sociali enormi.
Le nuove proposte introducono un meccanismo per raccogliere informazioni più dettagliate sugli attacchi ransomware. Le organizzazioni colpite potranno essere chiamate, ad esempio, a condividere con le autorità dettagli più puntuali: se hanno pagato il riscatto, a quanto ammontava, a quali indirizzi di criptovalute è stato inviato il denaro.
L’obiettivo è duplice: da un lato, acquisire una conoscenza più approfondita del fenomeno per sviluppare strategie di prevenzione più efficaci, dall’altro, aiutare le forze dell’ordine a individuare e smantellare le organizzazioni criminali che orchestrano questi attacchi.
L’EDPB e l’EDPS sostengono pienamente questa iniziativa, riconoscendo l’importanza di contrastare il ransomware con ogni mezzo. Tuttavia, segnalano che le informazioni raccolte possono essere estremamente delicate: ammettere di aver pagato un riscatto, ad esempio, potrebbe esporre un’organizzazione a conseguenze reputazionali o legali. Per questo motivo, le autorità raccomandano di adottare adeguate garanzie per la protezione delle informazioni nel momento in cui verranno definite le modalità concrete di raccolta di queste informazioni.
Certificazioni di sicurezza: un bollino di qualità per prodotti e servizi
Un altro pilastro delle nuove proposte è il rilancio del sistema europeo di certificazione della cybersicurezza. L’obiettivo vorrebbe essere quello di creare degli standard comuni che permettano di verificare se un prodotto, un servizio o un processo informatico rispetta determinati requisiti di sicurezza. Le aziende che superino questi controlli otterranno una sorta di “bollino di qualità”, riconosciuto in tutta l’Unione.
La novità introdotta dal Cybersecurity Act 2 è l’aggiunta di un nuovo obiettivo di sicurezza: garantire che l’entità certificata sia in grado di assicurare la sicurezza del trattamento dei dati personali. In pratica, i sistemi di certificazione dovranno tenere conto anche delle esigenze di protezione dei dati personali.
Le autorità garanti accolgono con favore questa apertura, ma chiedono maggiore chiarezza sul rapporto tra la certificazione di cybersicurezza e quella prevista dal GDPR. Si tratta di due strumenti diversi, che perseguono obiettivi complementari ma distinti. Sarebbe opportuno, suggeriscono l’EDPB e l’EDPS, che i due sistemi dialoghino tra loro: una certificazione di cybersicurezza, infatti, potrebbe essere utilizzata anche come elemento per dimostrare il rispetto di alcuni requisiti del GDPR.
C’è però un’avvertenza importante: non tutte le misure di sicurezza informatica sono di per sé compatibili con la protezione dei dati personali. Alcune tecniche di sorveglianza e monitoraggio, come l’ispezione approfondita del traffico di rete o l’analisi del comportamento degli utenti, possono essere efficaci dal punto di vista della sicurezza, ma invasive per la privacy. Per questo motivo, le autorità raccomandano che i sistemi di certificazione prevedano controlli configurabili, che permettano alle organizzazioni di calibrare le misure di sicurezza in modo proporzionato ai rischi effettivi, senza raccogliere più dati di quelli strettamente necessari.
Competenze digitali: non solo per gli esperti
Un aspetto spesso trascurato della sicurezza informatica riguarda le competenze delle persone. Il miglior sistema di difesa può essere vanificato da un utente che tenga dei comportamenti incauti. I criminali informatici lo sanno bene e sfruttano ampiamente, ad esempio, le tecniche di “ingegneria sociale” per aggirare le barriere tecnologiche.
Per affrontare questo problema, il Cybersecurity Act 2 prevede la creazione di un Quadro Europeo delle Competenze di Cybersicurezza. Si tratta di uno schema che definisce quali conoscenze e abilità sono necessarie per svolgere diversi ruoli professionali nel campo della sicurezza informatica, facilitando la formazione, il riconoscimento delle qualifiche e la mobilità dei lavoratori tra i diversi paesi europei.
Le autorità garanti apprezzano questa iniziativa, ma sollevano un’obiezione: nella versione attuale, il quadro delle competenze è pensato esclusivamente per i professionisti della cybersicurezza. Manca un profilo destinato ai lavoratori generici, ai dipendenti pubblici, ai cittadini comuni.
Purtroppo, sotto questo aspetto le statistiche sono da tempo impietose, dal momento che quasi la metà della popolazione adulta europea risulterebbe non possedere competenze digitali di base, nonostante oltre il 90% dei posti di lavoro le richieda. Questo, unito al fatto che la maggior parte delle violazioni di dati ha origine proprio da comportamenti umani inappropriati o poco accorti, è un elemento di attenzione per il legislatore europeo.
L’EDPB e l’EDPS propongono, quindi, di aggiungere un profilo “generalista” al quadro delle competenze, che definisca le abilità minime che ogni persona dovrebbe possedere per interagire in sicurezza nel mondo digitale. Un cittadino informato, capace di riconoscere un tentativo di truffa via email o un deepfake, rappresenta la prima linea di difesa contro le minacce informatiche.
Catena di approvvigionamento: attenzione ai rischi geopolitici
Le nuove proposte affrontano anche un tema delicato e attuale, ossia la sicurezza della catena di approvvigionamento dei prodotti tecnologici. Smartphone, computer, router, software: gran parte della tecnologia che utilizziamo quotidianamente proviene da paesi terzi e attraversa filiere produttive complesse e globalizzate.
Questo può rappresentare un rischio. Non si tratta solo di vulnerabilità tecniche, ma anche di minacce di natura geopolitica. Infatti, la possibilità che governi stranieri possano interferire con i dispositivi o i servizi utilizzati dai cittadini e dalle imprese europee, per finalità di spionaggio, sabotaggio o repressione politica.
Il Cybersecurity Act 2 introduce un quadro per la valutazione di questi rischi “non tecnici” nelle catene di approvvigionamento dei settori più critici. L’obiettivo è identificare e mitigare i fattori di vulnerabilità legati alla proprietà delle aziende fornitrici, alle loro dipendenze strategiche, alla giurisdizione cui sono soggette.
Le autorità garanti per la protezione dei dati personali accolgono con favore questa misura, riconoscendo che la protezione dalle interferenze straniere può contribuire anche a tutelare i diritti fondamentali dei cittadini europei. In un mondo in cui i dati sono una risorsa strategica, proteggere la filiera tecnologica significa anche proteggere un asset fondamentale per le aziende.
Il difficile equilibrio tra sicurezza e libertà
Il parere congiunto dell’EDPB e dell’EDPS mette quindi in luce una tensione che attraversa l’intero dibattito sulla cybersicurezza, ossia il rapporto tra efficacia delle misure di protezione e rispetto dei diritti individuali.
La sicurezza informatica e la protezione dei dati personali sono due facce della stessa medaglia. Da un lato, un buon sistema di cybersicurezza protegge i dati personali dai criminali informatici, impedendo accessi non autorizzati, modifiche fraudolente o la perdita di informazioni. Dall’altro, alcune misure di sicurezza possono essere talmente invasive da trasformarsi esse stesse in una minaccia per la privacy.
Pensiamo, ad esempio, ai sistemi di monitoraggio del traffico di rete che analizzano il contenuto delle comunicazioni, o agli strumenti di sorveglianza dei dipendenti che registrano ogni loro attività al computer.
Le autorità garanti ricordano che il GDPR stesso riconosce la sicurezza informatica come un “interesse legittimo” che può giustificare il trattamento di dati personali. Ma aggiunge subito che le misure adottate devono essere “strettamente necessarie e proporzionate”. L’efficacia non può essere l’unico criterio: bisogna sempre chiedersi se esistono alternative meno invasive per raggiungere lo stesso obiettivo.
Conclusioni: un passo avanti, con cautela
Le proposte della Commissione Europea rappresentano un passo significativo nel rafforzamento della sicurezza digitale dell’Unione. In un’epoca in cui le minacce informatiche si moltiplicano e diventano sempre più sofisticate, è fondamentale dotarsi di strumenti adeguati a proteggere cittadini, imprese e istituzioni.
Il parere congiunto dell’EDPB e dell’EDPS conferma che le autorità garanti della privacy condividono questa urgenza. Il sostegno alle proposte è chiaro, ma accompagnato da raccomandazioni precise per assicurare che la corsa alla sicurezza non avvenga a scapito dei diritti fondamentali.
L’Europa, quindi, può e deve proteggersi meglio dalle minacce cibernetiche, ma deve farlo nel rispetto dei valori che la contraddistinguono. Protezione dei dati, proporzionalità, trasparenza e rispetto dello stato di diritto non possono essere visti come ostacoli alla sicurezza, ma i pilastri su cui costruire una difesa digitale conforme ai valori europei.
