Cittadinanza digitale Sicurezza Informatica Industry 4.0/Innovazione in azienda Intelligenza Artificiale Sanità digitale Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Guide alla scelta tech Libri Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

normativa ue

Riforma NIS 2, così l’Ue punta a semplificare la compliance cyber

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La riforma della NIS 2 prova a ridurre frammentazione e oneri per le imprese. Al centro ci sono certificazione della cyber posture armonizzazione tecnica e nuovo coordinamento europeo nella vigilanza

Pubblicato il 27 apr 2026
Andrea D'Addazio

Associate presso Osborne Clarke

sovranità UE cybersecurity AI
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Le minacce e gli attacchi cyber ai settori critici sono in crescita esponenziale. L’impiego sempre più diffuso dell’intelligenza artificiale da parte di soggetti ostili ha amplificato in modo significativo la capacità offensiva, accelerando l’individuazione e lo sfruttamento di vulnerabilità su scala industriale.

Questo scenario ha acuito la pressione su governi e grandi imprese a livello globale, rendendo ancora più urgente un intervento normativo coordinato.

Cybersecurity Act 2 e riforma Nis2, così l’UE cambia la compliance

Gli obiettivi della riforma della normativa cyber unionale

L’Unione Europea ha pertanto identificato alcuni dei problemi: troppa complessità normativa (spesso non coordinata) e troppa diversità tra le politiche e regole nazionali di cybersicurezza.

Per questi motivi, si è deciso di rimettere mano in maniera organica alla normativa cyber unionale, intervenendo sull’European Cybersecurity Act (Regolamento UE 2019/881) e sulla Direttiva NIS 2 (Direttiva UE 2022/2555).

La proposta di riforma interviene chirurgicamente sulla NIS 2, recepita in Italia con il D.Lgs. 138/2024. Le regole appena entrate in vigore hanno già mostrato criticità applicative che rischiano di frammentare — anziché rafforzare — la difesa cibernetica europea.

Per i gruppi societari che operano in diverse giurisdizioni dell’Unione, spesso anche con entità giuridiche separate per rispondere a particolari logiche fiscali o di governance societaria, la conformità al framework NIS 2 è apparsa subito molto complessa e frammentata. I motivi principali risiedono nei diversi approcci e interpretazioni dati dalle leggi di recepimento della direttiva e dalle autorità nazionali, anche a causa della scarsità di standard e certificazioni a livello unionale.

Come la riforma NIS 2 punta a semplificare la conformità

Tra le modifiche proposte alla Direttiva NIS 2, meritano particolare attenzione quelle che propongono di semplificare la conformità e di garantire un’implementazione più coerente e lineare del quadro di cybersicurezza, anche attraverso il ricorso a specifici strumenti di armonizzazione.

Certificazione e schemi di cyber posture: la compliance diventa dimostrabile

Una delle novità più rilevanti per le imprese riguarda l’introduzione del meccanismo di certificazione della cyber posture come strumento diretto di dimostrazione della conformità.

Per rendere più agevole per i soggetti e i loro fornitori la dimostrazione della conformità al framework NIS 2, i soggetti regolati potranno ottenere certificati nell’ambito di schemi europei di certificazione della cybersicurezza di tipo organizzativo, sviluppati nel quadro del European Cybersecurity Certification Framework (“ECCF”).

Come noto, di recente è diventato operativo il primo schema di certificazione europeo basato su criteri comuni (il c.d. European Common Criteria, “EUCC”) varato dalla Commissione Europea con il Regolamento di esecuzione UE 2024/482. L’EUCC ha sostituito il previgente schema di certificazione nazionale a partire dallo scorso 27 febbraio 2026.

In ogni caso, tale proposta di modifica va letta in coordinamento con la visione della Commissione europea di rendere le procedure di certificazione a livello unionale più rapide ed efficienti, in particolare attraverso la riforma del Cybersecurity Act.

La riforma NIS 2 e la certificazione della cyber posture

Entrando nello specifico, la proposta di riforma prevede l’aggiunta di ulteriori commi all’art. 24 della Direttiva NIS 2, specificando che al fine di dimostrare l’adeguatezza delle misure tecniche, organizzative e operative, ciascuno Stato membro potrà richiedere ai soggetti essenziali e importanti di ottenere un certificato sulla cyber posture nell’ambito di uno schema europeo di certificazione della cybersicurezza. Se un soggetto vigilato è in possesso di una certificazione, allora le autorità competenti non potranno assoggettare il soggetto a misure aggiuntive post-audit sulla sicurezza con riferimento ai requisiti coperti dal certificato.

Attualmente, l’art. 27, comma 1, del D.Lgs. 138/2024 (recependo l’art. 24 della Direttiva NIS 2) prevede già che l’Autorità per la Cybersicurezza Nazionale (“ACN”) possa imporre ai soggetti essenziali e importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC certificati nell’ambito dei sistemi europei di certificazione della cybersicurezza. Quindi, gli eventuali obblighi di adozione di certificazione si estenderebbero anche alla cyber posture generale e non a singole componenti TIC. Ora, se e quando le modifiche saranno approvate e implementate, i soggetti essenziali e importanti avranno sì l’ulteriore onere di aderire ad un determinato standard di certificazione, ma al contempo verrà data loro la possibilità di dimostrare la propria conformità adottando una certificazione unica, riconosciuta a livello unionale e valida per tutti gli Stati membri in cui operano.

Impatti operativi per compliance officer e fornitori

Cosa significa in pratica? Le aziende che operano in più di uno Stato membro — soggette a controlli paralleli e discipline spesso simili ma difformi — potranno presentare un unico certificato per dimostrare la propria conformità tecnica. I compliance officer dovrebbero già oggi mappare le proprie attività rispetto alle categorie di requisiti coperte dagli schemi in corso di sviluppo nell’ambito del Cybersecurity Act riformato, così da pianificare in anticipo l’iter di certificazione.

Massima armonizzazione degli atti di esecuzione: addio alla patchwork regulation

In aggiunta ai sistemi di certificazione, un punto altrettanto dirompente della proposta riguarda il principio di massima armonizzazione degli atti esecutivi della Commissione sui requisiti tecnici, metodologici e settoriali di sicurezza.

Per consentire ai soggetti che erogano servizi in più Stati membri di beneficiare di un approccio coerente al framework NIS 2, soprattutto quando si interfacciano con le autorità di controllo, la proposta modifica l’art. 25, comma 5, potenziando il potere della Commissione europea di adottare atti di esecuzione che approfondiscano i requisiti tecnici e metodologici, nonché, se necessario, quelli settoriali, richiesti dalla normativa.

Laddove sia intervenuta la Commissione europea, gli Stati membri non potranno imporre alcun ulteriore requisito tecnico, metodologico o settoriale ai soggetti rientranti nell’ambito di tali atti di esecuzione.

In considerazione della rilevanza dei contesti transfrontalieri, la proposta specifica che la Commissione dovrà prestare particolare attenzione alla natura transfrontaliera dei settori o delle tipologie di soggetti e condurrà un processo di consultazione aperto, trasparente e inclusivo con gli stakeholder e gli Stati membri.

Un unico benchmark tecnico per tutta l’Unione

Cosa significa in pratica? Fino ad oggi, la Direttiva NIS 2 lasciava ampi margini di manovra agli Stati membri e alle relative autorità di controllo nell’implementazione dei requisiti tecnici, generando approcci difformi che rendevano particolarmente onerosa la compliance per le imprese che operano su scala europea. La massima armonizzazione degli atti esecutivi elimina questo rischio per le materie coperte: un unico standard tecnico vale in tutta l’Unione. Le aziende dovranno monitorare con attenzione il calendario di adozione di tali atti esecutivi da parte della Commissione, poiché determineranno il benchmark vincolante di riferimento.

La riforma NIS 2 e la sicurezza della supply chain

Ad esempio, fino ad oggi l’obbligo di vigilanza sulla supply chain ha portato molti soggetti a richiedere informazioni ai propri fornitori attraverso questionari eterogenei, con formati e processi differenti. Pur mirando a supportare la due diligence e la gestione del rischio, tali richieste spesso creano un onere amministrativo significativo per i fornitori, in particolare quando le stesse informazioni devono essere fornite ripetutamente e, nella maggior parte dei casi, compilando template e matrici di rischio con formati differenti, con un effetto “collo di bottiglia” sui processi di business.

Per ridurre tale onere e promuovere un approccio coerente, proporzionato ed efficiente alla valutazione della sicurezza della supply chain, all’interno della proposta di riforma si suggerisce l’esempio dell’adozione di apposite linee guida da parte della Commissione europea per raccomandare un livello appropriato di dettaglio, struttura e formato delle richieste di informazioni, facilitando l’armonizzazione, riducendo le duplicazioni inutili e supportando sia i soggetti essenziali e importanti che i loro fornitori.

Inoltre, la proposta prevede che la Commissione adotti linee guida sull’applicazione dei requisiti di sicurezza della catena di approvvigionamento che i soggetti in ambito NIS 2 trasmettono ai propri fornitori, al fine di garantire certezza giuridica e prevenire l’indebito trasferimento di obblighi su soggetti che non vi rientrano.

Supervisione transfrontaliera: il nuovo ruolo dell’ENISA

Il rafforzamento del ruolo dell’Agenzia dell’Unione Europea per la cibersicurezza (“ENISA”) nella supervisione dei soggetti che operano in più Paesi è uno degli elementi strutturali della riforma.

Al fine di agevolare la compliance in materia di gestione del rischio cyber per i soggetti transfrontalieri sottoposti alla vigilanza di autorità competenti di più Stati membri, l’ENISA viene incaricata di un nuovo ruolo operativo nel supportare gli Stati membri nella vigilanza congiunta di tali soggetti, facilitare l’assistenza reciproca e costruire una visione d’insieme più completa dei soggetti in ambito NIS 2. A tal fine, gli Stati membri saranno tenuti a trasmettere informazioni aggiuntive al registro dei soggetti tenuto dall’ENISA.

Cosa cambia per i soggetti con operatività transfrontaliera

Cosa significa in pratica? I soggetti con operatività transfrontaliera — si pensi ai grandi operatori cloud, alle piattaforme digitali, ai fornitori di servizi gestiti — si troveranno a operare in un contesto di vigilanza più coordinato. Da un lato, ciò riduce il rischio di duplicazioni e incoerenze tra le richieste di più autorità nazionali; dall’altro, aumenta la visibilità di tali soggetti a livello europeo e la probabilità di essere sottoposti a team di esame congiunto. I CISO di queste organizzazioni dovranno presidiare non solo i rapporti con l’ACN italiana, ma anche la postura che l’azienda presenta agli occhi dell’ENISA.

La riforma NIS 2 come leva di vantaggio competitivo

La proposta di riforma della Direttiva NIS 2 non è una rivoluzione copernicana, ma un intervento chirurgico e pragmatico. Il messaggio al mercato è chiaro: semplificare la conformità agli obblighi di cybersicurezza e liberare risorse per rafforzare la preparazione operativa dei soggetti che operano nei settori critici dell’Unione.

Per le imprese, questo si traduce in un’opportunità concreta, poiché chi investe oggi nell’allineamento tecnico ai futuri atti di esecuzione della Commissione e anticipa l’iter di certificazione cyber posture si troverà in una posizione di vantaggio competitivo e reputazionale. La compliance, in questo nuovo paradigma, smette di essere un mero adempimento burocratico e diventa uno strumento di governance del rischio — e di fiducia nei confronti del mercato.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Andrea D'Addazio
Associate presso Osborne Clarke
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • equalize dossieraggi competenze cybersecurity

  • l'analisi

    Eu Cybersecurity Index: l'Europa è davvero pronta al digitale?

    18 Lug 2025

    di Francesco Macchia

    Condividi
  • data act (1)

  • trattamento dati

    Data Act: la guida pratica per capirlo e applicarlo

    22 Set 2025

    di Diego Fulco

    Condividi
  • cybersicurezza in sanità Meta fisco italiano audit sicurezza informatica ia nella cybersecurity medico competente GDPR ideah OAIS 2025 e Zero-Trust; truffa criptovalute; protectUE; hacker etico; Gestione degli incidenti informatici e sicurezza cybersecurity sanitaria cybersecurity Italia 2025

  • scenario

    ProtectEU, cosa dice il nuovo paradigma europeo della sicurezza digitale

    20 Ago 2025

    di Barbara Calderini

    Condividi
0
Lascia un commento, la tua opinione conta.x