Il 20 gennaio 2026 la Commissione Europea ha pubblicato il proprio pacchetto normativo più ambizioso in materia di cybersecurity. Il Cybersecurity Act 2.0 (COM(2026) 11) ridisegna le regole per 18 settori critici dell’economia europea, introduce sanzioni fino al 7% del fatturato mondiale e assegna all’ENISA un budget aumentato di oltre il 75%. Per le aziende italiane che operano in energia, telecomunicazioni, cloud e infrastrutture digitali, il tempo per adeguarsi sta già scorrendo.
Il Pacchetto Cybersecurity UE del 20 Gennaio 2026
La Commissione Europea ha presentato il 20 gennaio 2026 un pacchetto normativo composto da due elementi distinti ma coordinati: la proposta di revisione del Cybersecurity Act (adottato originariamente come Regolamento UE n. 2019/881) e una serie di modifiche mirate alla Direttiva NIS2 (Direttiva UE 2022/2555). Il pacchetto, identificato come COM(2026) 11, risponde a una realtà in rapido deterioramento. Il Barometro del Rischio Allianz 2026 ha classificato gli incidenti informatici come il rischio numero uno a livello globale per il quinto anno consecutivo, con un punteggio record del 42% nelle risposte degli intervistati, distaccando di 10 punti percentuali il rischio collegato all’intelligenza artificiale.
La proposta non crea regimi ex novo. Aggiorna due strumenti già esistenti con interventi mirati e introduce per la prima volta nella storia dell’UE un meccanismo vincolante per gestire i rischi nella catena di fornitura ICT, compresi quelli di natura geopolitica. Il meccanismo risponde direttamente al problema della dipendenza tecnologica europea da vendor di paesi terzi che potrebbero, in circostanze di tensione politica, rappresentare un vettore di rischio sistemico per l’intera economia digitale del continente.
La Vicepresidente Esecutiva della Commissione Henna Virkkunen ha dichiarato in conferenza stampa: “Proponiamo modifiche mirate alla Direttiva NIS2 per chiarire alcuni aspetti relativi all’ambito e alle definizioni. Questo migliorerà la chiarezza giuridica e rimuoverà il carico di conformità per quasi 30.000 aziende, incluse oltre 6.000 micro e piccole imprese. Abbiamo inoltre introdotto una nuova categoria di piccole imprese a media capitalizzazione che ridurrà i costi di conformità per oltre 22.000 aziende.”
I Quattro Pilastri del Cybersecurity Act 2.0
Il Cybersecurity Act 2.0 si articola attorno a quattro interventi principali, ognuno dei quali affronta un punto di debolezza specifico del quadro normativo europeo attuale.
Il primo pilastro introduce un framework orizzontale per la sicurezza della catena di fornitura ICT. La Commissione acquisisce il potere di designare paesi terzi come fonti di rischio informatico grave, classificare i fornitori controllati da tali paesi come “ad alto rischio” e limitare l’uso dei loro componenti nelle infrastrutture critiche europee. Si tratta di un salto qualitativo rispetto alla 5G Toolbox, finora applicata in modo frammentato dai singoli Stati membri con risultati disomogenei.
Il secondo pilastro semplifica il Framework Europeo di Certificazione della Cybersicurezza (ECCF). Le aziende potranno certificare la propria postura di sicurezza complessiva, non solo i singoli prodotti o servizi ICT, ottenendo una presunzione di conformità alla NIS2 e ad altri regolamenti UE pertinenti. La certificazione ottenuta in un paese membro sarà riconosciuta in tutti gli altri 26, eliminando la duplicazione delle verifiche.
Il terzo pilastro introduce schemi volontari di attestazione individuale delle competenze in cybersecurity a livello UE, basati sul Framework Europeo delle Competenze in Cybersicurezza (ECSF). Questo affronta una lacuna critica: l’Europa conta un deficit stimato di oltre 500.000 professionisti del settore, e l’assenza di standard di competenza riconosciuti a livello continentale rende difficile la mobilità dei professionisti tra i vari mercati nazionali.
Il quarto pilastro rafforza il mandato e la capacità operativa dell’ENISA, l’Agenzia dell’UE per la Cybersicurezza. Il budget aumenterà di oltre il 75%, e l’agenzia acquisirà nuove responsabilità tra cui allerta precoce sulle minacce, supporto alla risposta ai ransomware e servizi migliorati di gestione delle vulnerabilità. Ogni Stato membro dovrà designare due ufficiali di collegamento dedicati per facilitare la cooperazione operativa con Bruxelles.
Fornitori ad Alto Rischio: Come Funziona la Designazione
Il framework per la sicurezza della catena di fornitura ICT è la componente più innovativa e, per alcuni aspetti, più controversa del pacchetto. La proposta introduce nella legislazione europea il concetto di “asset ICT chiave”, ovvero componenti, sistemi o servizi il cui fallimento o compromissione potrebbe gravemente perturbarne i settori critici dell’UE. Questa definizione crea per la prima volta una categoria giuridica europea per le tecnologie ad alta criticità sistemica.
La Definizione Legale di “Fornitore ad Alto Rischio”
Un fornitore viene classificato come “ad alto rischio” in base a due criteri principali. Il primo è l’appartenenza, il controllo o l’influenza determinante da parte di un paese terzo designato dalla Commissione come fonte di rischio informatico grave. Il secondo è la designazione diretta da parte della Commissione come fornitore che presenta rischi non tecnici significativi, anche in assenza di un collegamento formale con un paese di preoccupazione. Questo secondo meccanismo, previsto dall’Articolo 103 della proposta, consente interventi eccezionali su aziende che non provengono da paesi ufficialmente designati.
Una volta classificato come ad alto rischio, un fornitore può essere escluso dagli appalti pubblici europei e dai programmi di finanziamento UE. La Commissione può adottare atti di esecuzione che vietano a determinate categorie di entità nei settori critici di utilizzare, installare o integrare componenti ICT di tale fornitore negli asset ICT chiave. Un registro pubblico delle decisioni garantisce trasparenza e prevedibilità per le imprese che devono pianificare i propri investimenti tecnologici su orizzonti pluriennali.
Lo studio legale Bird & Bird, che ha analizzato la proposta a gennaio 2026, ha osservato che “la revisione prevede addirittura la possibilità senza precedenti, a livello UE, di ritirare prodotti già installati se un fornitore viene riclassificato come ad alto rischio” e che “questo potrebbe richiedere sostituzioni costose e complesse nelle infrastrutture critiche, come le reti energetiche, le infrastrutture cloud o le apparecchiature di telecomunicazione”.
Il Caso delle Apparecchiature Cinesi nelle Telecomunicazioni
Sebbene la proposta non menzioni esplicitamente alcun fornitore o paese, il framework è costruito in modo da poter includere vendor come Huawei e ZTE se la Commissione designasse la Cina come paese di preoccupazione. Diversi paesi UE hanno già adottato misure restrittive nei confronti di questi vendor nei propri processi nazionali di sicurezza del 5G, ma con approcci disomogenei. La Svezia ha vietato Huawei dalle reti 5G nel 2020, mentre altri paesi sono rimasti in una zona grigia normativa. Il Cybersecurity Act 2.0 mira a uniformare questi approcci attraverso un meccanismo centralizzato a livello europeo, eliminando la frammentazione che la 5G Toolbox non è riuscita a risolvere.
I 18 Settori Critici nel Mirino della Commissione
Il framework per la sicurezza della catena di fornitura ICT copre 18 settori critici dell’economia europea, rispecchiando l’ambito della Direttiva NIS2 e della Direttiva sulla Resilienza dei Soggetti Critici (CER). La GA-Alliance, nel proprio commento pubblicato nel marzo 2026, ha notato che “la creazione di meccanismi per identificare e monitorare fornitori ad alto rischio in diciotto settori critici rappresenta una mossa decisiva contro i rischi sistemici”.
| Settore | Tipo di entità interessate | Rischio fornitore principale |
|---|---|---|
| Energia | Operatori reti elettriche, gas, petrolio | Sistemi SCADA, componenti OT/ICS |
| Telecomunicazioni | Operatori reti mobili, fisse e satellitari | Apparecchiature di rete (core e edge) |
| Infrastrutture digitali | IXP, DNS, TLD, cloud computing, data center | Server, networking, hypervisor |
| Trasporti | Aviazione, ferrovie, vie navigabili, trasporto su strada | Sistemi di controllo e gestione traffico |
| Settore bancario | Enti creditizi | Core banking, sistemi di trading |
| Infrastrutture mercati finanziari | Sedi di negoziazione, CCP, depositari centrali | Piattaforme di clearing e settlement |
| Sanità | Ospedali, laboratori, produttori di dispositivi medici | Sistemi HIS, dispositivi connessi |
| Acqua potabile | Fornitori e distributori di acqua potabile | Sistemi di controllo impianti idrici |
| Acque reflue | Imprese di raccolta e trattamento acque reflue | Sistemi SCADA per depurazione |
| Pubblica amministrazione | Amministrazioni statali e regionali | Infrastrutture cloud, sistemi ERP |
| Spazio | Operatori infrastrutture spaziali | Sistemi di controllo e comunicazione satellite |
| Servizi postali e di corriere | Fornitori di servizi postali universali | Sistemi di tracciamento e smistamento |
| Gestione dei rifiuti | Imprese di gestione rifiuti | Sistemi di monitoraggio IoT |
| Chimica | Produzione e distribuzione di sostanze chimiche | Sistemi DCS, SCADA |
| Produzione alimentare | Produzione, lavorazione e distribuzione alimenti | Sistemi MES, supply chain digitale |
| Produzione manifatturiera | Dispositivi medici, computer, autoveicoli | Componentistica elettronica |
| Fornitori digitali | Motori di ricerca, piattaforme e-commerce, social network | Infrastrutture cloud, CDN |
| Ricerca | Organizzazioni di ricerca e sviluppo | Sistemi HPC, storage, networking |
Reed Smith, in un aggiornamento normativo dell’aprile 2026, ha evidenziato che l’impatto maggiore si concentrerà su settori come chimica, elettricità, produzione di idrogeno e infrastrutture a doppio uso civile-militare, proprio perché presentano la maggiore dipendenza da componenti ICT con origini geograficamente concentrate.
L’Impatto sulle Telecomunicazioni: 36 Mesi per Adeguarsi
Il settore delle telecomunicazioni riceve un trattamento specifico nel testo della proposta. L’Articolo 111(1) stabilisce che i fornitori di reti di comunicazione elettronica mobili, fisse e satellitari dovranno eliminare gradualmente i componenti di fornitori designati ad alto rischio entro 36 mesi dalla designazione. Questa scadenza si applica sia ai componenti nel nucleo della rete (core network) sia a quelli nella porzione periferica (network edge), incluse le stazioni radio base e i sistemi di gestione della rete.
La norma crea un obbligo operativo e finanziario senza precedenti per gli operatori di telecomunicazioni europei. La sostituzione di apparecchiature 5G già installate richiede tempi tecnici, risorse economiche e coordinamento con le autorità di regolamentazione nazionale che, in molti casi, vanno ben oltre i 36 mesi previsti. Diverse associazioni industriali del settore hanno avvertito che il termine potrebbe rivelarsi irrealistico senza meccanismi di deroga chiari e un supporto finanziario europeo per i costi di transizione.
Per le aziende italiane come TIM, Vodafone Italia, WindTre e Iliad Italia, la designazione di uno o più dei loro attuali fornitori come ad alto rischio potrebbe tradursi in investimenti di sostituzione nell’ordine di centinaia di milioni di euro. L’Italia è tra i paesi europei dove la penetrazione di apparecchiature di vendor di paesi terzi nelle reti mobili è storicamente significativa, rendendo il paese particolarmente esposto a questo tipo di obbligo di sostituzione forzata.
Sanzioni: Fino al 7% del Fatturato Mondiale
Il regime sanzionatorio del Cybersecurity Act 2.0 è tra gli elementi più discussi della proposta. Le sanzioni per le infrazioni più gravi possono raggiungere il 7% del fatturato annuo mondiale dell’azienda interessata. Questa soglia si colloca sopra il 4% previsto dal GDPR e riflette la volontà della Commissione di dotare il framework di una capacità deterrente credibile per imprese di grandi dimensioni.
| Confronto normativo | Cybersecurity Act 2.0 (2026) | GDPR (2018) | NIS2 (2022) | CRA (2024) |
|---|---|---|---|---|
| Sanzione massima | 7% fatturato mondiale | 4% fatturato mondiale | Variabile per Stato membro | 2,5% fatturato mondiale |
| Ambito applicativo | 18 settori critici ICT | Trattamento dati personali | Soggetti essenziali e importanti | Prodotti hardware/software |
| Organo di vigilanza | Commissione UE + ENISA | Garante nazionale | Autorità nazionali NIS | Autorità di vigilanza del mercato |
| Obbligo di certificazione | Volontario (postura complessiva) | No | Raccomandato | Obbligatorio per classi ad alto rischio |
| Gestione supply chain | Framework vincolante UE | Accordi con responsabili trattamento | Valutazione rischio fornitore | Sicurezza “by design” |
| Data applicabilità prevista | Inizio 2027 (stima) | 25 maggio 2018 | 17 ottobre 2024 | 11 dicembre 2027 |
Le infrazioni più gravi riguardano la violazione degli obblighi di eliminazione graduale dei componenti di fornitori ad alto rischio nei termini previsti, l’installazione di componenti vietati in asset ICT chiave e il mancato rispetto delle misure di mitigazione vincolanti imposte dalla Commissione. Infrazioni di minore entità, come la mancata notifica o la violazione di obblighi di trasparenza, saranno soggette a sanzioni proporzionalmente inferiori.
ENISA Rafforzata: Budget +75% e Nuovi Poteri Operativi
L’Agenzia dell’UE per la Cybersicurezza (ENISA) è al centro della governance del Cybersecurity Act 2.0. La proposta prevede un aumento del budget superiore al 75%, accompagnato da un’espansione sostanziale del mandato operativo. Con le nuove risorse, ENISA dovrà gestire allerta precoce su minacce e incidenti, supportare le risposte nazionali agli attacchi ransomware, operare un repository unificato di incidenti a livello UE e migliorare i servizi di gestione delle vulnerabilità per gli Stati membri.
Ogni Stato membro dovrà designare due ufficiali di collegamento dedicati per facilitare il coordinamento operativo con l’agenzia. Questo obbligo riflette la lezione appresa durante i grandi incidenti del 2025-2026: la risposta agli attacchi cyber transfrontalieri richiede canali di comunicazione precostituiti e operativi 24 ore su 24, non legami istituzionali attivati solo in emergenza.
L’ISC2, l’organizzazione professionale per i certificati di cybersecurity, ha commentato il pacchetto osservando che “il pacchetto non crea nuovi regimi; aggiorna invece due strumenti esistenti” e che “l’ampliamento del ruolo dell’ENISA rappresenta un passo significativo verso una risposta coordinata alle minacce a livello europeo”. L’ISC2 ha anche evidenziato che la proposta introduce quattro cambiamenti principali al framework esistente, tra cui il nuovo meccanismo per la catena di fornitura e le modifiche al sistema di certificazione.
Per l’Italia, il rafforzamento dell’ENISA ha implicazioni dirette. L’Agenzia Nazionale per la Cybersicurezza (ACN), istituita nel 2021 come punto di contatto nazionale, dovrà integrare i propri processi con le nuove procedure operative europee. L’ACN gestisce già la rete di CSIRT italiani e coordina la risposta nazionale agli incidenti, ma il Cybersecurity Act 2.0 richiederà un allineamento più stretto con le piattaforme tecniche e i protocolli operativi dell’ENISA.
La Semplificazione della NIS2: 30.000 Aziende Liberate
Parallelamente all’introduzione di nuovi obblighi per i settori ad alto rischio, il pacchetto del 20 gennaio 2026 include modifiche mirate alla NIS2 che riducono il carico regolatorio per decine di migliaia di aziende. Le modifiche chiariscono l’ambito di applicazione della direttiva, eliminando ambiguità interpretative che avevano moltiplicato i costi di conformità senza aumentare l’effettivo livello di sicurezza.
La semplificazione più significativa riguarda le micro e piccole imprese: oltre 6.000 aziende di queste dimensioni, precedentemente incluse nell’ambito NIS2 a causa delle loro attività in settori critici, verranno esentate o sottoposte a obblighi proporzionalmente ridotti. Questo affronta una delle critiche più frequenti alla NIS2: il costo di conformità era sproporzionato rispetto alle capacità di aziende molto piccole, creando una barriera all’innovazione nel settore delle PMI tecnologiche europee.
La nuova categoria di “piccole imprese a media capitalizzazione” (small midcap) riguarda oltre 22.000 aziende europee, offrendo loro requisiti di conformità calibrati alla loro capacità operativa e finanziaria. Questa granularità normativa riflette un approccio più maturo rispetto alla prima versione della NIS2, che tendeva a trattare allo stesso modo entità di dimensioni e risorse molto diverse. Il pacchetto punta anche a semplificare la raccolta centralizzata di dati sugli attacchi ransomware, tema che l’ENISA gestisce già ma in modo frammentato tra le diverse autorità nazionali.
Certificazione ICT: Certifica una Volta, Valido in Tutta l’UE
Uno dei cambiamenti più attesi dall’industria tecnologica europea è la riforma del Framework Europeo di Certificazione della Cybersicurezza (ECCF). Attualmente, un’azienda che vuole vendere prodotti o servizi ICT in più paesi UE deve navigare attraverso un mosaico di certificazioni nazionali con requisiti, procedure e costi diversi. Il Cybersecurity Act 2.0 introduce il principio “certifica una volta, valido ovunque”, abbattendo una barriera che penalizzava in particolare le PMI tecnologiche europee rispetto a concorrenti statunitensi e asiatici che operano in mercati nazionali più grandi e omogenei.
La proposta amplia anche l’oggetto della certificazione: non più solo singoli prodotti o servizi ICT, ma la postura di sicurezza complessiva dell’organizzazione. Questo cambiamento consente alle aziende di ottenere una certificazione che funge da prova di conformità alla NIS2 e ad altri regolamenti UE pertinenti, riducendo il burden complessivo degli audit e delle verifiche. L’ENISA avrà un termine default di 12 mesi dalla richiesta della Commissione per produrre uno schema di certificazione candidato, contro i tempi attuali che possono estendersi per anni.
Aegister, azienda italiana di cybersecurity con sede a Reggio Emilia, ha analizzato la proposta nel febbraio 2026 evidenziando che “la revisione del Cybersecurity Act 2026 è destinata principalmente a interessare le entità già nell’ambito di NIS2, con particolare rilevanza per settori come la chimica, l’elettricità, la produzione di idrogeno e le infrastrutture a doppio uso”. Aegister ha aggiunto che “il processo legislativo si svolgerà attraverso la procedura legislativa ordinaria” e che le imprese farebbero bene ad avviare fin da ora la mappatura della propria esposizione normativa.
L’Italia di Fronte al Cybersecurity Act 2.0
L’Italia arriva all’appuntamento con il Cybersecurity Act 2.0 in una posizione di particolare attenzione. Secondo il Clusit Report 2026, il paese ha subito 507 attacchi informatici gravi nel corso del 2025, diventando la nazione più colpita d’Europa in termini assoluti. Settori come la sanità, le infrastrutture critiche e la pubblica amministrazione hanno registrato incrementi degli incidenti superiori alla media europea, e la catena di fornitura ICT rappresenta uno dei vettori di attacco più sfruttati.
Sul fronte della supply chain tecnologica, l’Italia affronta sfide specifiche. Il settore delle telecomunicazioni italiano ha storicamente mantenuto rapporti commerciali significativi con vendor di paesi terzi nelle reti mobili. Il processo di 5G Security Review avviato dall’ACN nel 2022 ha portato a esclusioni selettive in parti critiche delle reti, ma senza una designazione formale di “fornitore ad alto rischio” a livello europeo le misure restano incomplete e difformi rispetto ad altri paesi UE.
Per la pubblica amministrazione italiana, il Cybersecurity Act 2.0 si sovrappone al percorso di migrazione al cloud nazionale avviato con il Polo Strategico Nazionale (PSN). Le infrastrutture cloud della PA devono già rispettare i requisiti di qualificazione AgID/ACN, ma l’introduzione di un framework europeo per la sicurezza della catena di fornitura ICT richiederà probabilmente un aggiornamento dei criteri di qualificazione per allinearli agli standard UE. L’operazione non è banale: coinvolge decine di ministeri, centinaia di enti locali e una miriade di contratti già in corso con vendor di diversa origine geografica.
Confronto con la Normativa UK e USA
Il Cybersecurity Act 2.0 si inserisce in un contesto globale in cui le grandi economie stanno costruendo propri framework per la sicurezza delle catene di fornitura ICT, spesso con approcci diversi ma obiettivi convergenti.
Il Regno Unito ha adottato il Cyber Security and Resilience Act nel 2025, che estende la portata della Network and Information Systems Regulations a più settori e fornitori di servizi digitali. Rispetto al Cybersecurity Act 2.0, l’approccio britannico è più focalizzato sulla segnalazione obbligatoria degli incidenti e meno su un framework centralizzato per la designazione di fornitori ad alto rischio. La separazione post-Brexit ha creato un doppio binario normativo che le aziende con operazioni sia nell’UE sia nel Regno Unito devono oggi gestire come due sistemi separati, con costi di conformità duplicati.
Gli Stati Uniti hanno affrontato la sicurezza della supply chain ICT attraverso ordini esecutivi e normative settoriali. Il bando alle apparecchiature Huawei e ZTE dalle reti federali, introdotto nel 2019 e progressivamente esteso, è il precedente più diretto al meccanismo di designazione del Cybersecurity Act 2.0. Tuttavia, l’approccio americano rimane frammentato tra agenzie diverse (FCC, CISA, DoD) e privo di un framework orizzontale centralizzato paragonabile a quello che la Commissione Europea vuole costruire.
La differenza più rilevante tra i tre approcci riguarda la natura degli strumenti: gli USA utilizzano principalmente ordini esecutivi e bandi settoriali di rapida implementazione ma scarsa coordinazione; il Regno Unito applica regolamenti derivati da legislazione primaria con forte enfasi sulla segnalazione; l’UE costruisce un framework regolatorio armonizzato su scala continentale, più lento da adottare ma più sistematico e uniforme nel lungo periodo.
Cronologia Legislativa: Quando Diventa Legge?
Il percorso del Cybersecurity Act 2.0 verso l’entrata in vigore passa attraverso la procedura legislativa ordinaria dell’UE. Dopo la pubblicazione della proposta il 20 gennaio 2026, il testo è stato trasmesso al Parlamento Europeo e al Consiglio dell’UE per l’esame. La fase di triloga, in cui le due istituzioni negoziano con la Commissione per trovare una versione di compromesso, è in corso. Precedenti storici di dossier normativi di simile complessità tecnica suggeriscono un percorso di almeno 12-18 mesi dall’avvio della triloga.
Reed Smith, nel proprio aggiornamento normativo pubblicato nell’aprile 2026, ha indicato che “non esiste ancora una timeline fissa” e che “le aspettative attuali puntano alla finalizzazione del Cybersecurity Act 2.0 all’inizio del 2027”. Un’adozione formale nel primo semestre 2027 implicherebbe periodi di transizione che renderebbero le prime scadenze di conformità vincolanti non prima del 2028-2029 per la maggior parte degli operatori.
| Fase | Data | Descrizione |
|---|---|---|
| Pubblicazione proposta | 20 gennaio 2026 | COM(2026) 11 pubblicato dalla Commissione Europea |
| Analisi Parlamento e Consiglio | Febbraio – settembre 2026 | Esame del testo, proposte di emendamento |
| Triloga | Ottobre 2026 – inizio 2027 | Negoziazione testo definitivo tra le istituzioni |
| Adozione formale | Prevista inizio 2027 | Pubblicazione in Gazzetta Ufficiale UE |
| Entrata in vigore | 20 giorni dopo adozione | Il regolamento diventa formalmente valido |
| Applicabilità piena | Stimata 2028-2029 | Fine periodi di transizione per i settori coperti |
| Scadenza 36 mesi telco | Dalla data di designazione del fornitore | Termine per eliminare componenti ad alto rischio |
Analisi di Mercato: Chi Vince e Chi Perde
Il Cybersecurity Act 2.0 ridisegna il mercato europeo della tecnologia ICT in modo non uniforme. La proposta crea opportunità significative per alcuni attori e pone sfide rilevanti per altri, con effetti che si estendono ben oltre i confini del mercato della cybersecurity in senso stretto.
I vincitori principali sono i vendor europei di apparecchiature di rete e sicurezza. Ericsson e Nokia sono i più ovvi beneficiari di un framework che potrebbe escludere i principali concorrenti asiatici da segmenti critici del mercato europeo. Entrambe le aziende hanno rafforzato negli ultimi anni le proprie posizioni nelle reti 5G europee proprio grazie alle preoccupazioni di sicurezza riguardanti i vendor di paesi terzi. Un framework vincolante a livello UE consoliderebbe questi guadagni su una base giuridica stabile e prevedibile.
I provider di servizi di sicurezza gestita (MSSP), di consulenza di conformità normativa e di testing di penetration beneficeranno della crescente domanda di supporto professionale per navigare il nuovo quadro regolatorio. Il mercato europeo dei servizi di certificazione ICT crescerà in modo significativo nei settori coperti dal framework, creando opportunità per le società di consulenza specializzate in conformità normativa.
I perdenti più evidenti sono i vendor di tecnologia ICT con legami con paesi terzi potenzialmente designabili come fonti di rischio. Le aziende di cloud computing con data center fuori dall’UE o con strutture di controllo che coinvolgono entità di paesi terzi potrebbero dover ripensare la propria governance e architettura per mantenere l’accesso al mercato europeo. Per le PMI tecnologiche europee il saldo è misto: la semplificazione degli obblighi NIS2 per micro e piccole imprese riduce i costi diretti di conformità, ma l’innalzamento generale delle aspettative di sicurezza nella catena di fornitura crea nuovi requisiti indiretti anche per chi non è direttamente soggetto al framework.
Cinque Previsioni per il 2027-2028
Sulla base dell’analisi del testo della proposta, delle dinamiche di mercato e dei precedenti normativi europei, è possibile formulare alcune previsioni concrete sull’impatto del Cybersecurity Act 2.0 nei prossimi due anni.
1. La Cina sarà tra i primi paesi designati come fonte di rischio informatico. Il linguaggio della proposta riflette chiaramente le preoccupazioni geopolitiche che hanno guidato le decisioni sulla sicurezza del 5G negli ultimi anni. Il meccanismo è costruito per poter includere qualsiasi paese terzo con influenza su vendor ICT critici, e la pressione politica degli Stati membri più esposti agli attacchi di spionaggio renderà difficile rimandare a lungo questa decisione dopo l’entrata in vigore del regolamento.
2. Almeno tre operatori di telecomunicazioni europei affronteranno procedimenti sanzionatori entro il 2028. Il settore telco è quello con la maggiore esposizione ai vendor potenzialmente ad alto rischio e con i tempi tecnici di sostituzione più lunghi. Il rischio di mancato rispetto del termine di 36 mesi è concreto, e la Commissione avrà bisogno di dimostrare la credibilità del framework attraverso casi esemplari nelle prime fasi di applicazione.
3. Il mercato europeo della certificazione ICT crescerà di oltre il 40% nel biennio 2027-2028. La possibilità di usare la certificazione ECCF come prova di conformità alla NIS2 genererà una domanda senza precedenti di servizi di certificazione e audit. Gli organismi di conformità accreditati in Europa non sono attualmente in numero sufficiente per gestire questa domanda, creando un potenziale collo di bottiglia nel percorso di adeguamento delle imprese.
4. L’ENISA diventerà il principale hub operativo per la cybersecurity europea. L’aumento del budget di oltre il 75% e il nuovo mandato operativo trasformeranno l’agenzia da organismo principalmente consultivo a centro operativo per la risposta agli incidenti transfrontalieri. Questo avrà implicazioni sulla struttura e il finanziamento delle agenzie nazionali come l’ACN italiana, che dovrà ridefinire il proprio posizionamento rispetto al livello europeo.
5. Il ritiro di prodotti già installati genererà il primo contenzioso legale significativo tra vendor e Commissione UE. La possibilità di ordinare il ritiro di prodotti già in opera è giuridicamente innovativa e potenzialmente molto costosa per i vendor colpiti. Questi avranno tutti gli incentivi per contestare la decisione davanti alla Corte di Giustizia dell’UE, creando un precedente che potrebbe ridisegnare i confini del potere regolatorio europeo in materia di tecnologia per i decenni a venire.
Copertura Correlata
- Cyber Europe 2026: ENISA Testa la Risposta di 27 Nazioni su Ferrovie e Porti
- Clusit Report 2026: 507 Attacchi in Italia, Prima in Europa per Incidenti Gravi
- Russia Colpisce Acqua ed Energia in 6 Paesi UE: Attacchi ICS +50%
- Salt Typhoon Colpisce IBM Italia: 2 Settimane di Spionaggio su INPS e INAIL
- Commissione UE: ShinyHunters Ruba 350GB, 30 Enti Europei Colpiti
Domande Frequenti sul Cybersecurity Act 2.0
Che cos’è il Cybersecurity Act 2.0?
Il Cybersecurity Act 2.0 (COM(2026) 11) è la proposta della Commissione Europea, pubblicata il 20 gennaio 2026, per aggiornare il Cybersecurity Act del 2019 (Regolamento UE 2019/881). Introduce un framework per la sicurezza della catena di fornitura ICT, rafforza l’ENISA, semplifica la certificazione europea e modifica la NIS2. Non è ancora legge: è in fase di triloga tra Parlamento e Consiglio UE, con finalizzazione attesa all’inizio del 2027.
Quali aziende italiane sono interessate dal Cybersecurity Act 2.0?
Le aziende italiane più direttamente interessate sono gli operatori di telecomunicazioni (TIM, Vodafone Italia, WindTre, Iliad), le imprese energetiche (Eni, Enel, Snam), le banche e le infrastrutture finanziarie, gli ospedali e i gruppi sanitari, i provider di cloud e data center e la pubblica amministrazione. In totale, il framework riguarda 18 settori critici dell’economia italiana, con obblighi differenziati in base alla criticità del settore e alle dimensioni dell’azienda.
Cosa succede alle apparecchiature di vendor a rischio già installate?
Se un fornitore viene designato ad alto rischio dalla Commissione Europea, gli operatori di telecomunicazioni avranno 36 mesi per eliminarne i componenti dalla propria rete. La proposta prevede anche la possibilità di ordinare il ritiro di prodotti già installati se un fornitore viene riclassificato dopo la designazione iniziale, ma questo scenario è soggetto a procedure di difesa, possibili esenzioni e ricorsi legali che potrebbero prolungare i tempi.
Quali sono le sanzioni per chi non rispetta il Cybersecurity Act 2.0?
Le sanzioni per le infrazioni più gravi raggiungono il 7% del fatturato annuo mondiale dell’azienda. Le infrazioni più gravi riguardano il mancato rispetto degli obblighi di eliminazione graduale dei componenti vietati e l’installazione di componenti proibiti in asset ICT chiave. Infrazioni meno gravi, come la mancata notifica di incidenti, comportano sanzioni proporzionalmente inferiori.
Quando diventerà operativo il Cybersecurity Act 2.0?
La finalizzazione della legge è attesa per l’inizio del 2027, dopo la conclusione della triloga tra Parlamento Europeo e Consiglio dell’UE. L’entrata in vigore avverrà 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’UE, ma i periodi di transizione rendono l’applicabilità piena concreta non prima del 2028-2029. Il termine di 36 mesi per il settore telco decorre dalla data di designazione del singolo fornitore ad alto rischio.
Come cambia la certificazione ICT con la nuova proposta?
La riforma del Framework Europeo di Certificazione della Cybersicurezza (ECCF) consente alle aziende di certificare la propria postura di sicurezza complessiva, non solo i singoli prodotti. La certificazione ottenuta in un paese UE sarà riconosciuta in tutti gli altri 26, eliminando la duplicazione delle verifiche. Potrà anche essere usata come prova di conformità alla NIS2 e ad altri regolamenti UE pertinenti, riducendo il carico complessivo degli audit.
Qual è la differenza tra Cybersecurity Act 2.0 e NIS2?
Sono due strumenti complementari con obiettivi diversi. La NIS2 definisce gli obblighi di gestione del rischio e segnalazione degli incidenti per le entità nei settori critici. Il Cybersecurity Act 2.0 si concentra sulla certificazione dei prodotti e servizi ICT, sul framework per la sicurezza della catena di fornitura e sul rafforzamento dell’ENISA. Il pacchetto del 20 gennaio 2026 introduce anche modifiche mirate alla NIS2 per ridurre il carico di conformità e migliorare la chiarezza giuridica, ma i due testi rimangono strumenti normativi distinti e paralleli.
Fonti: Commissione Europea, EU Cybersecurity Act | ENISA | ISC2, EU CSA2 and NIS2 Updates | Bird & Bird, EU Cybersecurity Act Proposal | Aegister, EU Cybersecurity Act Revision 2026
