17/2/2026
Nuova strategia UE sulla cybersicurezza: revisione per Cybesecurity Act e NIS2
La Commissione Europea lancia un pacchetto legislativo per blindare la resilienza digitale dell'Unione. Ecco le novità su supply chain, certificazioni e semplificazioni per le imprese.
Il 20 gennaio 2026 segna una data chiave per la difesa digitale europea. La Commissione ha svelato un nuovo pacchetto sulla cibersicurezza pensato per rispondere a minacce sempre più ibride e sofisticate. L'obiettivo è chiaro: proteggere infrastrutture critiche e servizi essenziali da attacchi criminali e statali, rafforzando la sovranità tecnologica dell'UE.
Al centro della riforma ci sono la revisione del Cybersecurity Act (Regolamento UE 2019/881) e un aggiornamento mirato della Direttiva NIS2 (UE 2022/2555).
Cybersecurity Act: focus sulla Supply Chain TIC
Dal 2019 lo scenario delle minacce è cambiato radicalmente. La revisione punta a garantire la sicurezza delle catene di approvvigionamento delle tecnologie dell'informazione (TIC). Il nuovo approccio sarà basato sul rischio e armonizzato per gestire le dipendenze critiche in 18 settori strategici.Un occhio di riguardo va alle reti di telecomunicazione, con misure per limitare i rischi legati a fornitori di paesi terzi (in linea con il toolbox 5G), elevando la sicurezza della supply chain a questione geopolitica.
Certificazioni più agili e vantaggi per le aziende
Pilastro della riforma è il potenziamento del quadro europeo di certificazione (ECCF). Le nuove procedure saranno:
- Più veloci: nuovi schemi di certificazione sviluppati entro 12 mesi.
- Estese: non solo prodotti, ma anche processi, servizi di sicurezza gestiti e postura informatica aziendale.
- Vantaggiose: la certificazione volontaria permetterà di dimostrare la conformità normativa, riducendo gli oneri burocratici e offrendo una presunzione di conformità alla NIS2.
Direttiva NIS2: semplificazione e proporzionalità
Le modifiche alla NIS2 mirano a fare chiarezza. Le nuove norme faciliteranno la compliance per quasi 29.000 imprese, con un focus specifico sulle PMI e l'introduzione di una categoria per le "piccole imprese a media capitalizzazione".Vengono rivisti anche gli obblighi di segnalazione per i ransomware e migliorato il coordinamento sulla vigilanza transfrontaliera.
Il nuovo ruolo di ENISA
L'Agenzia UE per la cibersicurezza (ENISA) ne esce rafforzata. Diventerà il fulcro operativo per la gestione delle crisi, il supporto ai CSIRT e la condivisione della situational awareness. Gestirà inoltre il punto unico di ingresso per le segnalazioni di incidenti e curerà la formazione tramite l'Accademia europea della cibersicurezza.
I prossimi passi
Il nuovo Regolamento sarà immediatamente applicabile dopo l'approvazione, mentre per le modifiche alla NIS2 gli Stati membri avranno un anno di tempo per il recepimento. Una mossa strategica per un ecosistema digitale europeo più sicuro e competitivo.
