La Commissione Europea, di recente, ha presentato la proposta di revisione del Cybersecurity Act, noto come “Cybersecurity Act 2”, che rappresenta un passo significativo nell’evoluzione della resilienza digitale dell’Unione Europea. L’obiettivo principale di questa riforma non è un semplice aggiornamento del Regolamento 2019/881, ma un ampliamento sostanziale del perimetro di intervento, comprendente certificazioni più estese, gestione della supply chain ICT e monitoraggio dei fornitori ad alto rischio. In particolare, la revisione intende rafforzare la certificazione di prodotti, servizi e processi ICT, estendendola anche ai servizi gestiti e alla postura complessiva delle organizzazioni, introducendo al contempo misure specifiche per ridurre i rischi derivanti dalla filiera digitale, compresi gli asset ICT critici e i fornitori strategici.

Il Cybersecurity Act originario del 2019 aveva già posto le basi della cyber sicurezza europea, attribuendo un mandato permanente all’ENISA e creando un quadro di certificazione comune per ridurre la frammentazione normativa tra gli Stati membri, rafforzando la fiducia nel mercato unico digitale: tale regolamento era inevitabilmente figlio del contesto dell’epoca, in cui la supply chain digitale non era ancora percepita come un fattore di rischio strategico e in cui la criminalità informatica non aveva raggiunto l’attuale livello di sofisticazione e impatto sistemico. La revisione del 2026 si colloca dunque in continuità con l’impianto originario, ma lo rende più operativo e coerente con uno scenario in cui la cybersicurezza è diventata un elemento strutturale della sicurezza economica, industriale e geopolitica dell’Unione.

Uno degli aspetti più rilevanti della revisione è l’attenzione alla resilienza piuttosto che alla semplice compliance normativa. L’approccio adottato non mira a imporre ulteriori obblighi formali alle imprese, ma a rafforzare le capacità complessive del sistema europeo, inteso come capacità di prevenire, assorbire e gestire eventi cyber su larga scala. In questo contesto, il ruolo di ENISA viene potenziato, passando da centro di competenza a nodo di coordinamento operativo, in grado di supportare gli Stati membri nella gestione delle crisi, nella condivisione rapida delle informazioni e nello sviluppo di capacità comuni, riconoscendo che gli incidenti cyber più gravi non possono più essere gestiti esclusivamente a livello nazionale.

La revisione si inserisce inoltre in un quadro normativo più ampio, coerente con NIS2, DORA, CER e il Cyber Resilience Act, perseguendo un’armonizzazione complessiva della governance della sicurezza digitale europea: tra le principali modifiche previste vi è un’attenzione rafforzata alla supply chain ICT, con un approccio proporzionato al rischio che considera non solo la sicurezza tecnica dei prodotti, ma anche dipendenze critiche, concentrazioni di mercato e interferenze esterne. Parallelamente, la certificazione cyber viene rilanciata come strumento pratico e tempestivo, utile a costruire fiducia e a garantire conformità concreta, evitando che diventi un mero esercizio formale. La revisione semplifica inoltre i processi di coordinamento con NIS2, riducendo oneri amministrativi e promuovendo una maggiore coerenza nell’attuazione delle normative cyber.

Il rafforzamento operativo di ENISA include capacità di early warning, supporto nella risposta a ransomware, gestione delle vulnerabilità e implementazione del modello europeo di incident reportingone-stop”. Per le aziende soggette a NIS2, la revisione non introduce nuovi obblighi immediati, ma innalza le aspettative in termini di maturità e responsabilità. La gestione della supply chain ICT diventa un elemento di governance strategica, e la compliance documentale tradizionale mostra i propri limiti di fronte alla necessità di capacità operative concrete. La certificazione efficace può costituire un vantaggio competitivo, mentre la sicurezza by design diventa leva strategica piuttosto che semplice costo operativo.

In definitiva, il Cybersecurity Act 2 rappresenta una maturazione significativa dell’approccio europeo alla cybersicurezza. Esso privilegia il rafforzamento delle capacità reali, il coordinamento operativo e la coerenza sistemica, trasformando la resilienza digitale da opzione normativa a condizione strutturale per operare e competere in un mercato interconnesso e instabile. La direzione intrapresa dalla Commissione appare non solo condivisibile, ma necessaria per garantire la sicurezza e la continuità delle attività economiche e industriali in Europa.

Visualizzazioni: 0