Il 20 gennaio 2026 la Commissione Europea ha presentato un ambizioso pacchetto di riforme destinato a ridisegnare il panorama normativo della cybersecurity nell’Unione europea. Al centro dell’iniziativa vi è la proposta di un nuovo Regolamento, denominato Cybersecurity Act 2, che abroga e sostituisce la precedente versione, accompagnato da una proposta di direttiva recante modifiche mirate alla Direttiva NIS 2.
L’obiettivo dichiarato è chiaro: affrontare la crescente complessità e frammentazione del quadro normativo europeo in materia di sicurezza informatica, alleggerendo allo stesso tempo gli oneri di conformità per imprese e pubbliche amministrazioni.
La revisione normativa giunge in un momento cruciale.
Gli incidenti informatici sono aumentati in modo esponenziale e gli attacchi sono diventati sempre più sofisticati, colpendo in particolare entità essenziali e importanti appartenenti a settori critici.
Sempre più spesso, inoltre, gli attaccanti sfruttano tecnologie emergenti come l’intelligenza artificiale per amplificare e ottimizzare le proprie offensive, mentre gli attacchi ransomware continuano a rappresentare una delle minacce principali per l’ecosistema digitale europeo.
Indice degli argomenti
Cosa cambia con il Cybersecurity Act 2: obiettivi e impostazione
In questo contesto, come sottolineato nella Strategia per l’Unione Europea della Preparazione e nella Strategia per la Sicurezza Interna dell’UE (ProtectEU), la resilienza delle infrastrutture critiche di fronte alle minacce cyber è riconosciuta come un pilastro strategico per le democrazie e la sicurezza economica dell’Unione. In maniera simile, anche il Rapporto sul futuro della competitività europea ha evidenziato la necessità di aumentare la sicurezza e ridurre le dipendenze come una delle principali aree di intervento per l’Unione.
Minacce che spingono il Cybersecurity Act 2: IA, ransomware e settori critici
Il pacchetto nasce anche dalla constatazione che la pressione delle minacce sta accelerando. La combinazione tra attacchi più frequenti, strumenti più evoluti e uso di tecnologie come l’IA rende necessario un quadro che favorisca risposte coerenti e misure di sicurezza proporzionate.
Allo stesso tempo, la centralità del ransomware e la vulnerabilità di settori essenziali evidenziano l’esigenza di rafforzare la postura di sicurezza complessiva, senza moltiplicare in modo disordinato obblighi e adempimenti.
Cybersecurity Act 2 e la giungla normativa europea: perché serve razionalizzare
La proposta nasce dalla consapevolezza che il proliferare di strumenti normativi in materia di cybersecurity ha generato complessità e frammentazione. Accanto alla Direttiva NIS 2, che rafforza la sicurezza delle infrastrutture critiche, si sono aggiunti la Direttiva CER sulla resilienza fisica, il Cyber Resilience Act sulla sicurezza dei prodotti digitali, il Cyber Solidarity Act sulle capacità di risposta a livello europeo, il DORA per il settore finanziario, oltre a normative settoriali per l’energia, il trasporto aereo e numerosi altri strumenti.
Questo stratificarsi di obblighi ha determinato oneri di compliance significativi per le imprese, in particolare per le PMI. La revisione del Cybersecurity Act, unitamente alle modifiche mirate alla NIS 2, si propone pertanto di affrontare la complessità e la diversità delle politiche di cybersecurity che incidono sulla postura cibernetica dell’Unione, contribuendo così al corretto funzionamento del mercato interno e garantendo al contempo la sicurezza e l’autonomia strategica dell’UE.
Semplificare la compliance nel Cybersecurity Act 2: certificazione e nuovi schemi
Il principio guida della riforma è la semplificazione. Nella Comunicazione “A Simpler and Faster Europe”, la Commissione ha annunciato l’impegno verso un programma di politiche innovative che rafforzino la competitività dell’Unione e alleggeriscano gli oneri regolatori per cittadini, imprese e pubbliche amministrazioni. La proposta di Cybersecurity Act 2 contribuisce a migliorare la chiarezza normativa, rimuovere inefficienze e allineare le procedure tra i diversi quadri legislativi.
Estensione dell’ECCF e certificati sulla “cyber posture”
Tra le principali misure di semplificazione, spicca la riforma del European Cybersecurity Certification Framework (ECCF). Il nuovo quadro estende l’ambito della certificazione, consentendo lo sviluppo di schemi sulla “cyber posture” delle entità soggette alla Direttiva NIS 2 e ad altre normative pertinenti.
Le entità regolamentate potranno così ottenere certificati che attestino la conformità ai requisiti di gestione del rischio cybersecurity, riducendo significativamente i costi di compliance e gli oneri di vigilanza per le autorità competenti.
NIS 2 e Cybersecurity Act 2: small mid-cap e stop ai requisiti extra
Per quanto riguarda la Direttiva NIS 2, viene prevista l’introduzione di una nuova categoria di “small mid-cap enterprises”, in linea con la Raccomandazione della Commissione del 2025. Questo consente di designare tali imprese come entità importanti anziché essenziali, riducendo proporzionalmente i loro obblighi di compliance.
Un’ulteriore semplificazione riguarda l’armonizzazione massima degli atti di esecuzione sulle misure tecniche e metodologiche di gestione del rischio ai sensi della NIS 2: quando la Commissione adotta tali atti, gli Stati membri non potranno imporre requisiti ulteriori alle entità rientranti nel loro ambito. L’approccio punta a garantire uniformità di applicazione e maggiore prevedibilità per gli operatori economici.
Reti e servizi ICT nel Cybersecurity Act 2: perché contano per il mercato interno
La proposta riconosce espressamente che la crescente dipendenza della società e dell’economia dalle tecnologie digitali impone l’adozione di misure di sicurezza proporzionate alla criticità delle infrastrutture. Le reti di comunicazione elettronica, i sistemi informativi e i servizi ICT costituiscono l’ossatura del mercato interno digitale e sono essenziali per il funzionamento di settori critici quali sanità, finanza, trasporti, telecomunicazioni, energia e dogane.
5G, 4G e mitigazioni: l’estensione alle reti non-standalone
Particolare attenzione viene dedicata alle reti 5G, considerate di importanza strategica per l’Unione in quanto costituiscono la dorsale per un’ampia gamma di servizi essenziali, incluse le capacità di difesa. La proposta estende le misure di mitigazione anche alle reti 4G su cui si basano gli attuali deployment 5G non-standalone, riconoscendo che la sicurezza delle reti future dipende in larga misura dalle componenti già in esercizio.
Key ICT assets: cosa rientra tra gli asset chiave
Vengono inoltre identificati i “key ICT assets” per le reti mobili, fisse e satellitari, includendo le funzioni di rete core, i sistemi di virtualizzazione delle funzioni di rete, le reti di accesso radio e i sistemi di gestione della rete.
Accountability nel Cybersecurity Act 2: responsabilità lungo la catena del valore
La proposta rafforza il principio di accountability lungo l’intera catena del valore. Le entità regolamentate sono chiamate ad assumere una responsabilità diretta per la conformità ai requisiti di cybersecurity. Infatti, mediante l’emissione della dichiarazione di conformità UE, fabbricanti o fornitori assumono la responsabilità della compliance dei propri prodotti, servizi, processi o della propria postura cibernetica agli standard previsti dagli schemi di certificazione.
Il framework di certificazione prevede tre livelli di assurance: basic, substantial e high, ciascuno caratterizzato da requisiti di valutazione progressivamente più stringenti.
Livelli di assurance nel Cybersecurity Act 2: basic, substantial e high
Per il livello basic, è sufficiente una revisione della documentazione tecnica. Per il livello substantial, occorre verificare l’assenza di vulnerabilità pubblicamente note e testare l’implementazione dei controlli di sicurezza. Per il livello high, le attività di valutazione includono test di resistenza ad attacchi sofisticati condotti da attori con competenze e risorse significative.
Questa struttura mira a rendere più chiaro il rapporto tra rischio, criticità e intensità delle verifiche, in un’ottica di maggiore coerenza tra gli schemi di certificazione e gli obblighi che discendono dagli altri atti del pacchetto.
Conformity assessment bodies e supply chain: focus sugli high-risk supplier
I conformity assessment bodies sono tenuti a operare con il massimo grado di integrità professionale e competenza tecnica, garantendo indipendenza dalle entità valutate e assenza di conflitti di interesse. Essi devono essere costituiti ai sensi del diritto nazionale, possedere personalità giuridica e non essere qualificabili come high-risk supplier.
La separazione rigorosa tra attività di vigilanza e certificazione è fondamentale per evitare distorsioni del mercato.
Un framework armonizzato per i rischi non tecnici della supply chain
Per quanto riguarda la catena di fornitura, viene introdotto un framework armonizzato per affrontare i rischi non tecnici che incidono sulle supply chain ICT, riducendo la frammentazione degli approcci nazionali. La Commissione può designare, mediante atti di esecuzione, Paesi terzi che rappresentano un rischio strutturale per le catene di approvvigionamento ICT, e le entità stabilite o controllate da tali Paesi sono escluse da determinate attività.
Dismissione dagli asset chiave: la scadenza dei 36 mesi
I componenti ICT forniti da high-risk supplier devono essere gradualmente eliminati dagli asset chiave delle reti di comunicazione elettronica entro 36 mesi dalla pubblicazione delle liste.
Consulenti legali e Cybersecurity Act 2: il supporto tra compliance e incidenti
In questo scenario di crescente complessità normativa, gli studi legali specializzati in cybersecurity e data protection si trovano in una posizione privilegiata per supportare le imprese in molteplici ambiti: dalla valutazione della compliance con il nuovo framework normativo all’assistenza nei procedimenti di certificazione, dalla gestione contrattuale dei rapporti con i fornitori ICT alla consulenza in caso di incidenti.
La complessità delle interazioni tra Cybersecurity Act, NIS 2, GDPR, CRA, DORA e normative settoriali richiede competenze giuridiche trasversali che gli studi legali d’eccellenza sono in grado di offrire.
Cybersecurity Act 2 e riforma Nis: un passo verso resilienza e autonomia strategica
Il pacchetto di proposte presentato dalla Commissione rappresenta un passo decisivo verso la costruzione di un’Europa digitalmente resiliente e strategicamente autonoma. La semplificazione normativa, la centralità delle infrastrutture digitali, il rafforzamento dell’accountability e il riconoscimento del ruolo dei consulenti specializzati costituiscono i pilastri di una riforma che mira a conciliare competitività economica e sicurezza.
Per le imprese e i professionisti del settore, la sfida sarà cogliere le opportunità offerte dal nuovo framework, preparandosi ad affrontare un panorama regolatorio più coerente, ma non per questo meno esigente.
