La Commissione europea ha presentato, nel gennaio 2026, una proposta di revisione mirata della direttiva NIS2 che si colloca all’interno di un più ampio processo di aggiornamento delle politiche europee in materia di sicurezza informatica. L’obiettivo non consiste nel voler ridurre il livello di tutela o di indebolire gli obblighi previsti, ma piuttosto di rendere il quadro normativo più chiaro, sostenibile e funzionale nella pratica. In questo senso, la revisione rappresenta una fase di maturazione della regolazione europea sulla cyber security, chiamata oggi a confrontarsi con un ecosistema normativo sempre più articolato.

Negli ultimi anni, infatti, l’Unione europea ha rafforzato in modo significativo la propria capacità di risposta alle minacce digitali, estendendo il perimetro delle norme e introducendo nuovi strumenti di prevenzione e controllo. Questo processo ha prodotto effetti positivi in termini di resilienza complessiva, ma ha anche generato una crescente complessità applicativa. Molte imprese e autorità nazionali si sono trovate a gestire obblighi sovrapposti, procedure ridondanti e costi amministrativi elevati, con il rischio concreto di sottrarre risorse alle attività di sicurezza effettiva. La proposta di revisione della NIS2 nasce proprio dalla consapevolezza di queste difficoltà e dalla necessità di ridurre l’attrito regolatorio senza rinunciare ai principi fondamentali della direttiva.

Uno degli interventi più rilevanti riguarda la definizione più precisa del perimetro di applicazione della NIS2: la Commissione interviene sugli allegati che individuano i settori e le entità soggette agli obblighi, con l’intento di ridurre le ambiguità interpretative che hanno caratterizzato la fase di attuazione. Non si tratta di un’estensione generalizzata dello scope, ma di un suo affinamento, che tiene maggiormente conto del rischio sistemico reale. In questo modo, le imprese possono comprendere con maggiore certezza se rientrano o meno nella disciplina, mentre le autorità di vigilanza dispongono di criteri più omogenei per l’applicazione delle regole.

Un altro elemento centrale della proposta è il rafforzamento del principio di proporzionalità. L’introduzione formale della categoria delle small mid-cap enterprises consente di modulare gli obblighi in base alle dimensioni organizzative e alla capacità operativa delle imprese, pur in presenza di attività svolte in settori critici. Si tratta di realtà che restano soggette a requisiti di sicurezza, ma beneficiano di un regime di supervisione meno oneroso rispetto alle entità considerate essenziali. In tal modo, la compliance viene concepita non come un insieme indistinto di adempimenti, ma come un percorso calibrato sul rischio e sulle risorse disponibili.

La revisione propone inoltre un utilizzo più integrato degli strumenti di certificazione europea in materia di cyber security: dunque, la certificazione non viene più vista come un ulteriore obbligo formale, ma come un mezzo per dimostrare in modo concreto la conformità alle prescrizioni della NIS2. Le organizzazioni certificate potranno evitare controlli duplicativi su ambiti già verificati, pur restando responsabili in ultima istanza della propria postura di sicurezza.

Si tratta di un approccio che favorisce una compliance basata su evidenze tecniche e risultati misurabili, più vicina alle esigenze operative delle imprese. Particolare attenzione è stata riservata anche alla sicurezza della catena di fornitura, agli attacchi ransomware e alle prospettive legate alla crittografia post-quantistica. In definitiva, la revisione rafforza il ruolo di ENISA come soggetto di coordinamento e supporto, senza attribuirle funzioni sanzionatorie dirette. L’Agenzia diventa un punto di riferimento per la cooperazione tra autorità nazionali, soprattutto nei casi che coinvolgono entità attive in più Paesi: nel complesso, la proposta non indebolisce la NIS2, ma la rende certamente più applicabile.

Visualizzazioni: 2