Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

Edpb edps

NIS2 e Cybersecurity Act 2, verso un quadro europeo più coordinato

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Il parere congiunto di EDPB ed EDPS su CSA2 e NIS2 punta a rafforzare la resilienza digitale europea e a semplificare gli adempimenti. Al centro restano il coordinamento tra autorità, la certificazione e la tutela dei diritti fondamentali .

Pubblicato il 20 mar 2026
Tommaso Diddi

analista Hermes Bay

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Cybersecurity Act 2 e NIS2
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

La relazione tra protezione dei dati personali e sicurezza informatica è da tempo al centro del dibattito normativo europeo, e il 19 marzo 2026 ha segnato un passaggio rilevante in questa direzione.

Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno adottato un parere congiunto sulla proposta della Commissione europea relativa al Cybersecurity Act 2 (CSA2) e sulle modifiche alla Direttiva NIS2.

L’obiettivo dichiarato è duplice: rafforzare la resilienza digitale dell’Unione e semplificare la conformità normativa per le organizzazioni, senza però sacrificare i diritti fondamentali degli individui. Il parere è stato adottato il 18 marzo 2026 e reso pubblico il giorno successivo, inserendosi in un percorso di revisione normativa che mira a rendere più coerente e integrato il quadro europeo della sicurezza digitale.

EDPB-e-EDPS-joint-opinion-on-the-Proposal-for-a-CSA2-and-the-Proposal-on-amendments-to-the-NIS2-DirectiveDownload

Cybersecurity Act 2 e NIS2 nel percorso normativo europeo

La Commissione europea aveva presentato il proprio pacchetto sulla cybersicurezza il 20 gennaio 2026, avviando il processo istituzionale che ha portato alla consultazione formale del Comitato europeo per la protezione dei dati e del Garante europeo il 21 gennaio 2026 ai sensi dell’articolo 42, paragrafo 2, del regolamento (UE) 2018/1725. Il parere congiunto, richiesto direttamente dalla Commissione, affronta in modo sistematico le due proposte legislative, individuando sia gli elementi da accogliere con favore sia le aree che richiedono chiarimenti o rafforzamenti normativi.

Il rapporto tra cybersicurezza e protezione dei dati

Sul piano concettuale, la premessa da cui muove l’analisi è che la cybersicurezza e la protezione dei dati non sono ambiti separati né in competizione tra loro. Al contrario, si tratta di domini profondamente interconnessi: le misure di sicurezza informatica contribuiscono a tutelare i dati personali riducendo i rischi di accesso non autorizzato, alterazione o indisponibilità delle informazioni. Allo stesso tempo, è necessario che i controlli di sicurezza vengano implementati in modo da non compromettere i diritti e le libertà fondamentali dei soggetti interessati. Questo bilanciamento costituisce il filo conduttore dell’intero parere e richiama esplicitamente il principio di “data protection by design and by default”, già sancito dal GDPR, come criterio guida per l’integrazione tra sicurezza e tutela dei diritti.

Cybersecurity Act 2 e NIS2, il ruolo rafforzato di ENISA

Riguardo alla proposta di revisione del Cybersecurity Act, EDPB ed EDPS esprimono un giudizio positivo sull’obiettivo di rafforzare il ruolo dell’Agenzia dell’Unione europea per la cybersicurezza (ENISA) e di favorire l’adozione dei meccanismi di certificazione della cybersicurezza. Viene apprezzata anche l’attenzione ai rischi legati alle catene di approvvigionamento ICT, inclusi quelli di natura non tecnica, che rappresentano una frontiera ancora parzialmente esplorata nella governance della sicurezza digitale. La proposta di chiarire le modalità con cui ENISA fornisce supporto ai diversi stakeholder è considerata un passo nella giusta direzione, in quanto contribuisce a definire meglio il ruolo operativo dell’Agenzia nel contesto di un ecosistema istituzionale sempre più articolato.

Il meccanismo dei pareri richiesti a ENISA

Un aspetto particolarmente rilevante riguarda il meccanismo di richiesta di pareri a ENISA: il testo proposto prevede che tali pareri vengano rilasciati su richiesta preventiva dell’EDPB, il che garantisce una chiara ripartizione delle responsabilità e un raccordo efficace tra le istituzioni. Le due autorità suggeriscono tuttavia di estendere questa facoltà anche all’EDPS, in modo da includere esplicitamente il Garante europeo tra i soggetti legittimati a richiedere orientamenti tecnici all’Agenzia. Sulla stessa linea, si raccomanda di inserire un riferimento esplicito all’EDPS tra gli organismi dell’UE con cui ENISA è chiamata a cooperare, rafforzando così il coordinamento istituzionale in materia di sicurezza e protezione dei dati.

Certificazione europea e rapporto con il GDPR

Sul tema della certificazione, pur condividendo l’obiettivo di facilitarne l’adozione, il parere segnala la necessità di chiarire meglio l’ambito del Quadro europeo di certificazione della cybersicurezza e il suo rapporto con la certificazione prevista dal Regolamento generale sulla protezione dei dati (GDPR). Si tratta di una questione non banale: i due sistemi di certificazione si sviluppano su binari paralleli che, in assenza di coordinamento, rischiano di generare duplicazioni o, peggio, incoerenze normative per le organizzazioni che operano nel trattamento di dati personali. Per evitarlo, si auspica che ENISA consulti l’EDPB prima di adottare schemi di certificazione relativi alla sicurezza del trattamento dei dati personali, e che gli schemi per prodotti, servizi e processi utilizzati in operazioni di trattamento tengano conto dei controlli di sicurezza utili a dimostrare il rispetto del GDPR, anche in termini di accountability e gestione del rischio.

Cybersecurity Act 2 e NIS2, competenze e cultura della sicurezza

Un’ulteriore raccomandazione riguarda il Quadro europeo delle competenze in materia di cybersicurezza. Nella forma attuale, tale quadro risulta circoscritto ai professionisti del settore. Le due autorità propongono di estenderlo anche a un profilo generale della forza lavoro, riconoscendo che la cultura della sicurezza informatica non può essere un patrimonio esclusivo degli specialisti, ma deve permeare trasversalmente le organizzazioni. Questo approccio riflette una visione più ampia della resilienza digitale, che include fattori organizzativi, comportamentali e culturali oltre a quelli strettamente tecnici.

La notifica unica delle violazioni di dati personali

In linea con il parere congiunto già espresso sulla proposta di Digital Omnibus Regulation, EDPB ed EDPS ribadiscono il proprio sostegno all’introduzione di un punto di accesso unico per la notifica delle violazioni di dati personali. Si tratta di una misura attesa da tempo: la frammentazione degli obblighi di notifica verso più autorità competenti costituisce uno degli oneri amministrativi più gravosi per le organizzazioni, soprattutto quelle operanti in più Stati membri. Un canale unico ridurrebbe questa complessità senza intaccare il livello di protezione riconosciuto agli individui e contribuirebbe a una gestione più efficiente e coordinata degli incidenti a livello europeo.

Cybersecurity Act 2 e NIS2, il nodo dei portafogli digitali europei

Sulle modifiche proposte alla Direttiva NIS2, il parere accoglie positivamente la designazione dei fornitori di portafogli europei di identità digitale e di portafogli europei per le imprese come “entità essenziali”. Si tratta di una scelta coerente con il crescente ruolo che questi strumenti svolgono nell’infrastruttura digitale europea e con l’esigenza di assoggettarli ai più stringenti obblighi previsti per i soggetti che gestiscono servizi critici. La crescente diffusione di tali strumenti rende infatti necessario garantire livelli elevati di sicurezza e affidabilità, in considerazione del volume e della sensibilità dei dati trattati.

Una governance europea più coerente tra sicurezza e privacy

Nel complesso, il parere congiunto delinea una visione in cui sicurezza e privacy non si escludono ma si rafforzano reciprocamente, a condizione che la governance europea sia strutturata per garantire coordinamento, chiarezza delle competenze e proporzionalità nel trattamento dei dati. La sfida per il legislatore europeo è ora tradurre questi orientamenti in disposizioni normative coerenti, evitando che la semplificazione della compliance si trasformi in un abbassamento delle tutele.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Tommaso Diddi
analista Hermes Bay
Seguimi su
F
Luisa Franchina
Presidente Associazione Italiana esperti in Infrastrutture Critiche
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • parlamento UE sovranità digitale; tassa pacchi

  • innovazione e fiducia

    Governance dei dati nell’era AI: cosa chiedono le aziende europee all’UE

    13 Mar 2026

    di Chris Gow

    Condividi
  • droni (1) droni e AI droni navali; sistema anti-droni europeo Graph Neural Networks

  • sicurezza

    Graph Neural Networks: la nuova difesa europea contro i droni

    18 Dic 2025

    di Ernesto Damiani

    Condividi
  • Google vaultgemma; furto documenti; indipendenza garanti privacy ISO/IEC 27701:2025 europrivacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi
0
Lascia un commento, la tua opinione conta.x