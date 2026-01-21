La Commissione Europea ha presentato un ambizioso pacchetto normativo sulla cyber sicurezza per rafforzare la resilienza e le capacità dell’Unione in materia di sicurezza informatica. Il nuovo quadro regolamentare si articola principalmente attorno alla proposta di revisione del Cybersecurity Act, all’introduzione di modifiche mirate alla Direttiva NIS2 e al potenziamento del ruolo dell’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA).

L’iniziativa rappresenta una risposta coordinata alle vulnerabilità identificate nelle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione, con l’obiettivo di garantire che i prodotti commercializzati nel mercato unico digitale europeo siano sicuri fin dalla progettazione. La presentazione del nuovo pacchetto normativo si inserisce in un contesto geopolitico caratterizzato da una crescente sofisticazione delle minacce informatiche.

Gli attacchi cyber non rappresentano più fenomeni isolati, ma costituiscono elementi integranti di strategie ibride più ampie, dove la dimensione digitale si intreccia con obiettivi politici, economici e militari. Le infrastrutture critiche europee sono bersagli costanti di operazioni malevole che possono compromettere la continuità dei servizi essenziali.

La Commissione Europea ha riconosciuto che la frammentazione normativa e la disomogeneità degli standard di sicurezza tra gli Stati membri costituiscono vulnerabilità strutturali che possono essere sfruttate dagli avversari. Il cuore dell’iniziativa legislativa risiede nella proposta di revisione del Cybersecurity Act, strumento normativo che introduce significative innovazioni volte a rafforzare la sicurezza delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione.

La sicurezza delle supply chain ICT rappresenta una sfida complessa, caratterizzata dalla presenza di molteplici attori, dalla distribuzione geografica dei processi produttivi e dall’opacità che spesso caratterizza le relazioni tra fornitori e subfornitori. Gli incidenti recenti hanno dimostrato come vulnerabilità presenti in componenti apparentemente marginali possano propagarsi attraverso l’intera catena, compromettendo sistemi critici.

La risposta della Commissione si articola attorno al principio della security by design, secondo cui la sicurezza deve essere integrata fin dalle fasi iniziali di progettazione e sviluppo dei prodotti. Il meccanismo proposto prevede che i prodotti destinati al mercato europeo debbano essere sottoposti a processi di certificazione che ne attestino la conformità a standard di sicurezza predefiniti.

L’Agenzia dell’Unione Europea per la Cybersicurezza assume una centralità rinnovata nel quadro delineato dalla proposta normativa, con competenze ampliate e risorse aggiuntive per supportare gli Stati membri nella gestione delle minacce informatiche. La valutazione contestuale di una valutazione approfondita dell’impatto e dell’efficacia dell’ENISA e del quadro europeo di certificazione della cyber sicurezza fornisce elementi empirici per orientare il potenziamento dell’agenzia.

Parallelamente alla revisione del Cybersecurity Act, il pacchetto introduce emendamenti mirati alla Direttiva NIS2, che si concentrano su tre dimensioni principali: la semplificazione delle regole di giurisdizione, l’introduzione di meccanismi semplificati per la raccolta di dati relativi agli attacchi ransomware e il rafforzamento del ruolo di coordinamento dell’ENISA.

Le misure di semplificazione si integrano con il Digital Omnibus, che prevede l’istituzione di un punto unico di accesso per la segnalazione degli incidenti. Il nuovo framework normativo avrà implicazioni significative per le imprese che operano nel mercato europeo, particolarmente quelle attive nei settori delle tecnologie dell’informazione e della comunicazione.

La Commissione ha cercato di bilanciare l’innalzamento degli standard di sicurezza con l’esigenza di non soffocare l’innovazione o penalizzare eccessivamente le piccole e medie imprese attraverso la semplificazione dei processi e la chiarificazione delle regole. La cyber sicurezza presenta inevitabilmente una dimensione internazionale, e l’approccio europeo dovrà confrontarsi con iniziative analoghe intraprese da altri attori globali, con l’opportunità di promuovere convergenza verso standard elevati di sicurezza attraverso il dialogo internazionale.