Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurezza informatica

Cybersecurity Act 2, l’Ue stringe le regole: più Enisa, stop a fornitori a rischio

Home Infrastrutture digitali
Partecipa al dibattito
Indirizzo copiato

La Commissione presenta il Cybersecurity Act 2: rafforza Enisa, accelera le certificazioni e introduce regole vincolanti sulle catene di approvvigionamento ICT. Per la prima volta Bruxelles può arrivare a escludere fornitori legati a Paesi “a rischio” dai mercati critici.

Pubblicato il 21 gen 2026
Sergio Boccadutri

Consulente antiriciclaggio e pagamenti elettronici

cybersecurity pmi zero trust network access Cybersecurity in azienda; competenze digitali terrorismo security awareness; cos'è la direttiva Nis2; cybersecurity OT; Enisa Nis2; CSIRT cybersecurity act 2

La Commissione europea ha presentato un pacchetto normativo destinato a ridefinire l’architettura della sicurezza informatica dell’Unione: il Cybersecurity Act 2, nome con cui è stata battezzata la proposta di regolamento COM(2026) 11, rappresenta la risposta di Bruxelles alle nuove minacce informatiche, un quadro profondamente mutato rispetto a quando, nel 2019, venne adottato il primo Cybersecurity Act.

Cybersecurity, occhi puntati sulla geopolitica: ecco le minacce del 2026

Cybersecurity Act 2, la risposta di Bruxelles alle nuove minacce informatiche

La nuova normativa non si limita ad ampliare il mandato dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) o a riformare il sistema di certificazione europeo: introduce per la prima volta un quadro vincolante per la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione, con misure che potrebbero portare all’esclusione dai mercati europei di aziende provenienti da paesi considerati a rischio per la sicurezza informatica.

La proposta è stata illustrata a Strasburgo dalla Vicepresidente esecutiva della Commissione, Henna Virkkunen, che ha inquadrato l’iniziativa nel contesto delle crescenti tensioni geopolitiche. Nel suo intervento di presentazione della propsota, Virkkunen ha sottolineato come l’Europa si trovi nel mezzo di una guerra ibrida e come, ogni giorno, le infrastrutture critiche del continente siano colpite da attacchi informatici. Queste operazioni, ha spiegato, spaziano dallo spionaggio al ransomware, dal preposizionamento alle attività disruptive, e spesso si inseriscono in campagne ibride più ampie che combinano operazioni informative con interruzioni fisiche, come le violazioni dello spazio aereo o i sabotaggi delle infrastrutture critiche.

Il salto di scala delle minacce: ransomware e supply chain

Per comprendere la portata del pacchetto legislativo occorre partire dall’analisi che la stessa Commissione ha condotto sul mutato scenario delle minacce informatiche. Dal 2019 a oggi, gli attacchi cyber sono aumentati in frequenza e sofisticazione, colpendo infrastrutture essenziali, imprese e cittadini comuni. Il ransomware si è affermato come elemento centrale dell’ecosistema criminale informatico. Gli incidenti che coinvolgono le catene di approvvigionamento, causati tanto da criminali in cerca di profitto quanto da attori statali interessati a creare disservizi, condurre attività di spionaggio o disinformazione, si sono intensificati.

Il quadro normativo già in campo e le lacune segnalate

La proposta si inserisce in un quadro normativo che negli ultimi anni si è arricchito di numerosi strumenti, dalla direttiva NIS 2 al Cyber Resilience Act, dal Cyber Solidarity Act al regolamento DORA per il settore finanziario. Tuttavia, secondo la Commissione, questo framework legislativo presenta ancora lacune e, soprattutto, ha attribuito compiti aggiuntivi all’agenzia ENISA senza una revisione complessiva delle sue prerogative fondamentali e delle relative risorse.

Le quattro direttrici della riforma

Come evidenziato dalla Vicepresidente Virkkunen nel suo intervento, la proposta di regolamento si articola lungo quattro assi principali.

ENISA più operativa: segnalazioni, alert e helpdesk anti-ransomware

Il primo riguarda il rafforzamento dell’ENISA, che dovrà essere messa nelle condizioni di svolgere tutti i nuovi compiti che riflettono un ambiente di sicurezza in evoluzione. L’agenzia continuerà a supportare gli Stati membri in collaborazione con le agenzie nazionali di sicurezza informatica, ma assumerà nuove funzioni operative di grande rilevanza.

In particolare, ENISA diventerà il punto unico per la segnalazione degli incidenti, consentendo alle entità di adempiere con una sola segnalazione agli obblighi di notifica previsti da diverse normative europee. L’agenzia sarà inoltre incaricata di produrre alert sulle minacce informatiche e di fornire un servizio di helpdesk, in cooperazione con Europol e con i team di risposta agli incidenti informatici nazionali (CSIRT, che nel nostro caso è gestito dall’Agenzia per la cybersicurezza nazionale), per supportare le aziende nel rispondere e recuperare dagli attacchi ransomware.

Un compito particolarmente significativo sarà lo sviluppo di una capacità comune europea di gestione delle vulnerabilità, con servizi offerti a tutti i portatori di interesse.

Dalla raccomandazione all’obbligo: le supply chain ICT nel Cybersecurity Act 2

Il secondo asse riguarda la sicurezza delle catene di approvvigionamento ICT. Come ha spiegato Virkkunen, la recente Comunicazione congiunta sul rafforzamento della sicurezza economica dell’UE ha evidenziato diverse aree in cui le dipendenze da un unico fornitore o da un numero limitato di fornitori potrebbero rappresentare un rischio significativo per la sicurezza. La risposta della Commissione è stata quella di trasformare il Toolbox 5G sulla sicurezza informatica, finora basato su misure raccomandate o volontarie, in un approccio obbligatorio che garantisca condizioni uniformi e impedisca la frammentazione del mercato europeo.

Certificazioni più snelle con il Cybersecurity Act 2 e ruolo di ENISA

Il terzo pilastro è la riforma del sistema di certificazione europeo della sicurezza informatica, che secondo la Commissione non ha prodotto i risultati attesi. Ad oggi è stato adottato un solo schema di certificazione, quello basato sui Common Criteria (EUCC), e il processo si è rivelato troppo lento e complesso. Il nuovo quadro punta a essere più dinamico, più snello e più efficiente. ENISA gestirà gli schemi di certificazione e si assicurerà che gli standard siano il più possibile allineati a quelli globali. Come ha sottolineato Virkkunen, il rinnovato quadro europeo di certificazione della sicurezza informatica consentirà di sfruttare il potenziale della certificazione e contribuirà a garantire che prodotti e servizi siano sicuri fin dalla progettazione.

NIS 2 più chiara: semplificazioni e meno oneri per le imprese

Il quarto elemento riguarda la semplificazione degli adempimenti per le imprese. Insieme alla revisione del Cybersecurity Act, si introducono modifiche mirate alla direttiva NIS 2. L’obiettivo è chiarire alcuni aspetti relativi all’ambito di applicazione e alle definizioni, migliorando la certezza giuridica e riducendo gli oneri di conformità per quasi trentamila aziende, di cui oltre seimila micro e piccole imprese. È stata inoltre introdotta una nuova categoria di piccole imprese a media capitalizzazione che ridurrà i costi di conformità per oltre ventiduemila società.

Il cuore della proposta: la sicurezza delle catene di approvvigionamento

L’elemento più innovativo e potenzialmente dirompente del pacchetto è senza dubbio il Titolo IV della proposta di regolamento, dedicato alla sicurezza delle catene di approvvigionamento ICT. Per la prima volta l’Unione europea si dota di un quadro normativo orizzontale e vincolante per affrontare i rischi non tecnici che gravano sulle forniture di tecnologie dell’informazione e della comunicazione nei settori critici.

Valutazioni coordinate del rischio e tempistiche (sei mesi)

Il meccanismo prevede che la Commissione possa richiedere, anche su iniziativa di almeno tre Stati membri, valutazioni coordinate del rischio di sicurezza a livello europeo. Queste valutazioni dovranno essere completate entro sei mesi dalla richiesta, anche se in casi di emergenza la Commissione potrà consultare gli Stati membri sulla necessità di adottare misure immediate.

Procedura d’urgenza e poteri della Commissione sul mercato interno

È prevista inoltre una procedura d’urgenza qualora sia necessario un intervento immediato per preservare il corretto funzionamento del mercato interno e la Commissione abbia sufficienti ragioni per ritenere che esista una minaccia significativa alla sicurezza dell’Unione in relazione alle catene di approvvigionamento ICT critiche.

Sulla base di queste valutazioni o di altre fonti, qualora emerga che un paese terzo pone rischi gravi e strutturali di natura non tecnica alle catene di approvvigionamento ICT, la Commissione potrà designare tale paese come paese che desta preoccupazioni per la sicurezza informatica. Le entità stabilite in un paese così designato, o controllate da tale paese, da un’entità stabilita in tale paese o da un cittadino di tale paese, non potranno svolgere una serie di attività specificate nel regolamento.

La proposta non menziona esplicitamente alcun paese o azienda, ma la terminologia utilizzata richiama quella già impiegata in passato per riferirsi alla Cina e ad aziende come Huawei e ZTE. Nel 2023 la Commissione aveva già indicato che gli Stati membri erano giustificati nel limitare o escludere queste aziende perché presentavano rischi più elevati. Tuttavia, fino ad oggi le misure del Toolbox 5G erano raccomandate o volontarie, con il risultato di un’applicazione disomogenea tra i diversi paesi dell’Unione: alcuni hanno acquistato apparecchiature cinesi, altri le hanno evitate. Con le nuove regole, le misure di sicurezza informatica diventeranno obbligatorie.

Gli asset ICT chiave e i periodi di transizione

L’allegato II della proposta identifica in modo specifico gli asset ICT chiave per le reti di comunicazione elettronica, mobili, fisse e satellitari.

5G: core, NFV/MANO e RAN tra gli asset critici

Per le reti mobili 5G, sia non standalone che standalone, sono considerati asset chiave le funzioni di rete core, la virtualizzazione delle funzioni di rete e l’orchestrazione della gestione della rete (NFV e MANO), nonché la rete di accesso radio.

Fisso e satellite: gestione, trasporto e crittografia sotto sorveglianza

Per le reti fisse, rientrano nella categoria le funzioni core della rete, il sistema di gestione della rete, la rete di trasporto e trasmissione e la rete di accesso. Per le reti satellitari, oltre alle funzioni core e al sistema di gestione, sono considerati asset chiave i prodotti crittografici per la protezione delle telecomunicazioni e delle telemetrie, le stazioni di terra e le stazioni complementari a terra.

La proposta prevede che il periodo di transizione per l’eliminazione graduale dei componenti ICT forniti da fornitori ad alto rischio negli asset chiave delle reti di comunicazione mobile non superi i trentasei mesi dall’entrata in vigore del regolamento. Per le reti fisse e satellitari, i periodi di transizione saranno specificati dalla Commissione attraverso atti di esecuzione, e potranno variare in funzione delle specificità di ciascun settore. La Commissione avrà inoltre il potere di adottare atti delegati per modificare la designazione degli asset chiave e i periodi di transizione, anche per le future generazioni di reti mobili.

I fornitori di reti di comunicazione elettronica mobile, fissa e satellitare non potranno utilizzare, installare o integrare in alcun modo componenti ICT provenienti da fornitori ad alto rischio, né potranno ottenere autorizzazioni generali o individuali se non rispettano queste prescrizioni.

Fornitori ad alto rischio: criteri, liste, esenzioni e registro pubblico

Il regolamento definisce come fornitore ad alto rischio un’entità stabilita in un paese terzo che desta preoccupazioni per la sicurezza informatica, o un’entità controllata da tale paese, da un’entità stabilita in tale paese o da un cittadino di tale paese. La Commissione, mediante atti di esecuzione, stabilirà elenchi di fornitori ad alto rischio rilevanti per i divieti previsti dal regolamento, dopo aver condotto una valutazione dell’assetto proprietario e del controllo. Prima di adottare tali decisioni, la Commissione dovrà consultare i fornitori interessati e le autorità competenti.

È prevista anche la possibilità di richiedere un’esenzione. Un’entità stabilita in un paese che desta preoccupazioni o controllata da tale paese può chiedere di essere autorizzata a fornire componenti ICT negli asset chiave di entità critiche e a partecipare agli appalti pubblici per la fornitura di tali componenti.. La Commissione dovrà mantenere un registro pubblicamente accessibile delle decisioni relative alle esenzioni.

Le reazioni del settore tra rischio geopolitico e contestazioni legali

La proposta ha immediatamente suscitato ovviamente alcune reazioni. Huawei, il maggiore produttore mondiale di apparecchiature di rete, aveva già dichiarato prima della formalizzazione della proposta di regolamento, di riservarsi il diritto di tutelare i propri interessi legittimi in quanto azienda che opera legalmente in Europa. Secondo l’azienda cinese, una proposta legislativa volta a limitare o escludere fornitori non europei sulla base del paese di origine, anziché di prove fattuali e standard tecnici, violerebbe i principi giuridici fondamentali dell’UE in materia di equità, non discriminazione e proporzionalità, nonché gli obblighi derivanti dall’appartenenza all’Organizzazione mondiale del commercio.

Confermando dunque l’impostazione circolata nei giorni precedenti, la Vicepresidente Virkkunen ha dichiarato che l’approccio adottato mira a proteggere i cittadini e le imprese europee mettendo in sicurezza le catene di approvvigionamento ICT che supportano i settori critici dell’economia e della società. Le restrizioni proposte non riguardano solo le apparecchiature di telecomunicazione, ma si estendono ad altri settori come gli scanner di sicurezza utilizzati ai varchi di frontiera, i sistemi di approvvigionamento idrico e i dispositivi sanitari e medici.

La riforma dell’ENISA: budget, missione e nuove competenze

Il regolamento prevede un significativo rafforzamento dell’ENISA. Il budget stimato per l’agenzia è di 341 milioni di euro per sette anni, con una media annua di circa 49 milioni di euro, che rappresenta un aumento dell’81,5% rispetto al bilancio del 2025. Le risorse aggiuntive si traducono in 118 unità equivalenti a tempo pieno e in costi operativi che copriranno, tra le altre cose, la manutenzione della piattaforma unica di segnalazione e le operazioni della Riserva di sicurezza informatica dell’UE.

La missione dell’agenzia viene ridefinita attorno a quattro aree chiave: il supporto all’implementazione coerente delle politiche e della legislazione dell’Unione in materia di sicurezza informatica; il contributo alla cooperazione operativa a livello europeo e al miglioramento della consapevolezza situazionale condivisa; la certificazione e la standardizzazione della sicurezza informatica; l’attuazione dell’Accademia delle competenze di sicurezza informatica, che dovrebbe contribuire allo sviluppo di una forza lavoro europea nel settore con competenze trasferibili tra gli Stati membri.

Costi e benefici: risparmi stimati e impatto sugli operatori

Secondo la valutazione d’impatto che accompagna la proposta, la semplificazione e la riduzione degli obblighi di conformità dovrebbero generare risparmi per le imprese fino a 15,3 miliardi di euro in cinque anni. A questi si aggiungono i benefici derivanti dal miglioramento complessivo del livello di sicurezza informatica dell’Unione e dalla sovranità tecnologica, oltre allo stimolo all’innovazione e alla competitività.

La transizione verso il nuovo quadro normativo comporterà tuttavia anche dei costi. Per ENISA, le nuove attività sono stimate in circa 161 milioni di euro in cinque anni. Per le pubbliche amministrazioni dei diversi Stati membri, i costi di supervisione sono stimati fino a 80 milioni di euro nello stesso periodo, al netto dei risparmi attesi. Per quanto riguarda le imprese, l’eliminazione graduale di apparecchiature specifiche da fornitori ad alto rischio potrebbe comportare costi annuali compresi tra 3,4 e 4,3 miliardi di euro per gli operatori di reti mobili, mentre gli investimenti in fornitori affidabili potrebbero crescere fino a 2 miliardi di euro all’anno.

La Commissione ritiene tuttavia che questi investimenti iniziali saranno ampiamente compensati nel lungo periodo dai benefici in termini di sicurezza e resilienza. Si stima inoltre che i risparmi legati a una risposta più rapida agli incidenti e al rallentamento della proliferazione degli attacchi informatici possano variare tra 3,7 e 4,4 miliardi di euro in cinque anni.

Il percorso legislativo e le prossime tappe

La proposta dovrà ora seguire il normale iter legislativo europeo, che preceve che il Parlamento europeo e il Consiglio dell’UE esaminino il testo per concordare eventuali modifiche prima dell’adozione finale. Considerata la complessità della materia e le implicazioni economiche e geopolitiche, è prevedibile che il dibattito sia articolato e che emergano posizioni differenziate tra gli Stati membri e i gruppi parlamentari.

Come ha ricordato la Vicepresidente Virkkunen concludendo il suo intervento, nel mondo di oggi tutto è digitalizzato e la nostra vita quotidiana dipende da reti informatiche sicure e funzionanti. La sicurezza informatica ha acquisito un’importanza crescente ed è diventata parte integrante della nostra sicurezza complessiva. È necessario dotarsi di strumenti robusti ed efficienti che consentano una cooperazione senza soluzione di continuità in tutta l’Unione europea, perché una minaccia informatica per uno Stato membro è una minaccia per tutti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Sergio Boccadutri
Consulente antiriciclaggio e pagamenti elettronici
Seguimi su
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Sergio Boccadutri
Consulente antiriciclaggio e pagamenti elettronici
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • asstel futuro digitale italia

  • servizi ict e tlc

    Ecco le "techco": così le telco abbracciano il proprio futuro necessario

    16 Mag 2025

    di Sergio Boccadutri

    Condividi
  • prodotti connessi (1)

  • pa digitale

    Sistema Pubblico di Connettività: lotti e criteri della gara SPC3

    22 Apr 2025

    di Cristoforo Morandini

    Condividi
  • chip - Chips Act

  • La guida

    Chips Act: cosa è e cosa prevede

    12 Giu 2025

    di Josephine Condemi, Tommaso Diddi e Luisa Franchina

    Condividi
0
Lascia un commento, la tua opinione conta.x