Il 20 gennaio 2026 la Commissione europea ha presentato la proposta di revisione del Cybersecurity Act, ribattezzata in modo informale Cybersecurity Act 2.0. È la riscrittura più profonda della normativa quadro sulla sicurezza informatica dell’Unione dal 2019, e arriva mentre l’Europa fatica ancora a chiudere il recepimento della direttiva NIS2. La proposta sposta ENISA da agenzia consultiva a struttura operativa, introduce un portale unico per la segnalazione degli incidenti e prova a ridurre la frammentazione di regole che oggi pesa su decine di migliaia di imprese, comprese 6.200 micro e piccole aziende secondo le stime della stessa Commissione.
Per le aziende italiane, già alle prese con il decreto legislativo 138/2024 e con la registrazione presso l’Agenzia per la Cybersicurezza Nazionale (ACN), la riforma del cybersecurity act 2.0 non è un dettaglio burocratico. Cambia chi coordina la risposta agli attacchi, come si notificano gli incidenti e quali fornitori potranno restare nelle catene critiche. Questa analisi raccoglie i numeri verificati al 15 giugno 2026, distingue ciò che è già legge da ciò che resta allo stadio di proposta e misura l’impatto su mercato, costi e tempi.
Cos’è il Cybersecurity Act 2.0 e perché conta adesso
Il Cybersecurity Act originale è il Regolamento (UE) 2019/881, adottato nel 2019. Poggia su due pilastri: un mandato permanente per ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e un quadro europeo di certificazione della sicurezza per prodotti, servizi e processi ICT. Quel testo era nato in un contesto pre-pandemia, prima dell’esplosione del ransomware come industria e prima che la guerra in Ucraina rendesse la resilienza delle infrastrutture critiche una priorità di sicurezza nazionale per ogni Stato membro.
La pagina ufficiale della Commissione descrive la proposta del 2026 come parte di un più ampio pacchetto cybersecurity pensato per rafforzare le capacità e la resilienza dell’Unione, prevenire la frammentazione normativa e irrobustire la sicurezza della catena di approvvigionamento ICT. In altre parole, il cybersecurity act 2.0 non sostituisce solo un regolamento tecnico: prova a fare da collante tra norme che oggi vivono separate, come NIS2, il Cyber Resilience Act e il regolamento DORA per il settore finanziario.
Il tempismo non è casuale. Secondo il Global Cybersecurity Outlook 2026 del World Economic Forum, pubblicato il 17 gennaio 2026, la frode abilitata dalle tecnologie digitali è diventata la prima preoccupazione degli amministratori delegati, mentre il ransomware resta la minaccia numero uno per i responsabili della sicurezza informatica. In Italia il quadro è coerente: il report Data Gathering 2026 segnala per il 2025 un aumento del 48% dell’attività malevola, mentre il CERT-AGID ha registrato oltre 3.600 campagne dannose nello stesso anno. La revisione del Cybersecurity Act nasce per dare all’Europa strumenti operativi, non solo regole sulla carta.
La proposta del 20 gennaio 2026: cosa cambia davvero
La proposta di regolamento è stata pubblicata dalla Commissione il 20 gennaio 2026 ed è oggi consultabile nella biblioteca documentale della DG CONNECT. Il testo è ancora una proposta legislativa: dovrà passare il negoziato con Parlamento e Consiglio prima di diventare legge, quindi i dettagli possono cambiare. Questo è il primo punto da fissare, perché molte sintesi circolate online trattano già come definitivi elementi che restano in discussione.
Gli obiettivi dichiarati dalla Commissione sono quattro: aumentare le capacità e la resilienza cyber dell’Unione, prevenire la frammentazione tra normative nazionali, rafforzare la sicurezza della catena di approvvigionamento ICT e semplificare la certificazione per rendere i prodotti “sicuri per progettazione”. Quest’ultimo punto riprende il principio del secure by design già presente nel Cyber Resilience Act e prova a estenderlo con un processo di certificazione più snello.
Le analisi indipendenti del settore, come quelle di Nemko Digital e di OpenKRITIS, leggono la proposta come uno spostamento netto dal modello del 2019. Dove il Regolamento (UE) 2019/881 si concentrava su certificazione e ruolo di supporto di ENISA, il cybersecurity act 2.0 aggiunge controlli sulla supply chain, un mandato più operativo per l’agenzia e un legame esplicito con gli emendamenti mirati alla NIS2. Resta da capire quanto di questo impianto sopravviverà al passaggio parlamentare, ma la direzione politica è chiara.
Da ENISA consultiva a ENISA operativa
Il cambiamento più discusso riguarda ENISA. La pagina della Commissione conferma che la proposta intende rafforzare l’agenzia nel supporto a Stati membri e istituzioni nella gestione delle minacce. Le analisi di settore vanno oltre e descrivono un passaggio da un ruolo prevalentemente consultivo a uno operativo: gestione di repository di minacce e incidenti, emissione di allerte precoci, coordinamento delle esercitazioni e gestione di una piattaforma unificata di notifica degli incidenti.
Su un punto serve cautela. Una parte delle analisi, in particolare quella di Nemko Digital, riferisce di un aumento del budget di ENISA di oltre il 75% per sostenere queste nuove responsabilità, e dell’obbligo per ogni Stato membro di designare due ufficiali di collegamento. Queste cifre non risultano confermate da una fonte ufficiale della Commissione nei documenti pubblici disponibili al 15 giugno 2026 e vanno quindi trattate come indicazioni di analisi, non come dato di legge. Lo stesso vale per la cosiddetta Riserva di cibersicurezza dell’UE, un fondo operativo che ENISA dovrebbe gestire: la sua esistenza è citata da fonti secondarie, ma scopo, finanziamento e basi giuridiche restano da verificare nel testo finale.
Se confermato, il salto da ENISA “advisory” a ENISA “operativa” sarebbe il vero spartiacque della riforma. Significherebbe un centro europeo capace di vedere gli incidenti in tempo quasi reale e di coordinare la risposta tra 27 Stati membri, riducendo la dipendenza dai singoli CSIRT nazionali nei casi transfrontalieri. È esattamente il tipo di capacità che è mancata in episodi recenti come l’attacco alla Commissione europea e le campagne ransomware contro gli aeroporti europei.
Il portale unico per la segnalazione degli incidenti
Oggi un’azienda europea colpita da un attacco può dover notificare l’incidente a più autorità, con tempistiche e formati diversi, a seconda che ricada sotto NIS2, GDPR, Cyber Resilience Act o regole settoriali. Questa sovrapposizione genera costi, ritardi e segnalazioni incomplete proprio nei momenti di crisi. La proposta affronta il problema con un portale unico di segnalazione, un punto di accesso singolo gestito nell’ambito degli strumenti operativi di ENISA.
La richiesta di armonizzare la notifica degli incidenti non nasce dal nulla. Già nel giugno 2025, durante la consultazione sulla revisione del Cybersecurity Act, la Cybersecurity Coalition e la CR2 avevano sollecitato la Commissione ad armonizzare gli obblighi di reporting tra le diverse normative e a creare una piattaforma di segnalazione a livello europeo. La proposta del 2026 recepisce questa istanza, anche se la forma giuridica definitiva del meccanismo resta allo stadio di progetto.
Per i responsabili della sicurezza l’effetto potenziale è concreto: una sola segnalazione, un solo formato, una sola scadenza. Per chi gestisce infrastrutture critiche in più Paesi, la semplificazione del reporting può valere quanto un nuovo controllo tecnico, perché libera tempo e personale durante l’incidente. Resta il nodo del coordinamento con gli obblighi GDPR, che restano in capo alle autorità per la protezione dei dati e non confluiscono automaticamente nel portale cyber.
Catena di approvvigionamento ICT e fornitori ad alto rischio
Il terzo pilastro della riforma è la sicurezza della catena di approvvigionamento. Secondo le analisi disponibili, la proposta introduce un quadro per i fornitori ad alto rischio relativo agli asset ICT chiave, con possibili restrizioni e obblighi di dismissione progressiva per le componenti più sensibili delle filiere dei settori critici. È un’impostazione che ricorda, sul piano della logica, le misure già adottate da alcuni Stati membri sulle reti 5G, ora estese a un perimetro più ampio.
Le stesse fonti indicano che il quadro coprirebbe i 18 settori critici dell’economia europea già definiti dalla NIS2, dall’energia ai trasporti, dalla sanità alle infrastrutture digitali. Va precisato che il numero dei 18 settori è solidamente ancorato alla NIS2 nella documentazione ufficiale della Commissione, mentre l’estensione puntuale del meccanismo sui fornitori ad alto rischio è descritta soprattutto da analisi secondarie e andrà confermata nel testo finale.
L’impatto industriale è significativo. Un obbligo di phase-out per determinati fornitori costringerebbe gli operatori essenziali a rivedere contratti pluriennali, qualificare alternative e gestire migrazioni tecnologiche complesse. Per molte aziende italiane, fortemente dipendenti da hardware e software extra-UE, questo è il capitolo della riforma con le conseguenze economiche più dirette, ben oltre la semplice conformità documentale.
Cybersecurity Act 2019 contro la proposta 2.0 del 2026
La tabella che segue riassume le differenze principali tra il regolamento in vigore e la proposta. Le voci marcate come “proposta” non sono ancora legge e dipendono dall’esito del negoziato tra Parlamento e Consiglio.
| Elemento | Cybersecurity Act 2019 (Reg. UE 2019/881) | Cybersecurity Act 2.0 (proposta 2026) |
|---|---|---|
| Ruolo di ENISA | Mandato permanente, funzione di supporto e consulenza | Ruolo operativo: repository incidenti, allerte, esercitazioni (proposta) |
| Certificazione ICT | Quadro europeo di certificazione volontaria | Processo semplificato, principio secure by design (proposta) |
| Segnalazione incidenti | Obblighi dispersi tra norme diverse | Portale unico di notifica gestito da ENISA (proposta) |
| Catena di approvvigionamento | Non disciplinata in modo specifico | Quadro fornitori ad alto rischio e phase-out (proposta) |
| Rapporto con NIS2 | Normative separate | Emendamenti mirati e semplificazione coordinata |
| Budget e risorse ENISA | Dotazione esistente | Aumento riportato oltre il 75% secondo analisi (non confermato) |
Il pacchetto: NIS2, Cyber Resilience Act e semplificazione
Il cybersecurity act 2.0 non viaggia da solo. Lo stesso 20 gennaio 2026 la Commissione ha proposto emendamenti mirati alla direttiva NIS2, presentati come operazione di semplificazione per ridurre la frammentazione ed evitare un “mosaico legislativo”. Secondo i dati della Commissione, gli emendamenti mirano a facilitare la conformità per 28.700 aziende, di cui 6.200 micro e piccole imprese. È il numero verificato più solido dell’intero pacchetto e misura bene l’ambizione di alleggerire il carico sulle realtà più piccole.
La direttiva NIS2 resta il riferimento per gli obblighi di gestione del rischio e prevede sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale importo sia maggiore, per i soggetti essenziali, oltre alla possibilità di interdizione per gli organi di gestione in caso di gravi inadempienze. Il Cyber Resilience Act, dal canto suo, sposta l’attenzione sui prodotti con elementi digitali e sui loro obblighi di sicurezza lungo il ciclo di vita. La revisione del Cybersecurity Act prova a far dialogare questi tre testi attraverso reporting armonizzato e audit coordinati.
Le analisi collocano questa operazione nel più ampio Digital Omnibus, il pacchetto di semplificazione digitale dell’Unione che immagina una futura piattaforma unificata di notifica. La logica politica è duplice: da un lato rispondere alle imprese che lamentano costi di conformità crescenti, dall’altro mantenere standard di sicurezza elevati in un contesto di minacce in aumento. È un equilibrio delicato, e sarà uno dei punti più contesi del negoziato.
Impatto sull’Italia: ACN, decreto 138/2024 e imprese
L’Italia ha recepito la NIS2 con il decreto legislativo 138/2024, entrato in vigore il 16 ottobre 2024. La gestione operativa è affidata all’Agenzia per la Cybersicurezza Nazionale, che ha aperto la finestra di registrazione dei soggetti obbligati tra il 1 gennaio e il 28 febbraio 2026 attraverso il proprio portale. Secondo i tracker di recepimento, in Italia risultavano registrati migliaia di soggetti, con ordini di grandezza intorno a 1.500 soggetti essenziali e 2.500 soggetti importanti, una cifra che riflette le registrazioni effettuate e non l’intero universo regolato.
Per le aziende italiane il cybersecurity act 2.0 aggiunge un livello europeo sopra l’impianto nazionale già costruito da ACN. Se la riforma introdurrà davvero un portale unico di segnalazione e un coordinamento operativo di ENISA, le imprese con operazioni in più Paesi potrebbero notificare gli incidenti una sola volta invece di replicare la procedura davanti a ogni autorità nazionale. È un vantaggio per i gruppi multinazionali e per i fornitori di servizi cloud e di telecomunicazioni che operano oltre confine.
Il rovescio della medaglia riguarda la supply chain. Molte PMI italiane sono fornitrici di operatori essenziali e dovranno dimostrare standard di sicurezza adeguati per restare nelle filiere critiche. Le eventuali regole sui fornitori ad alto rischio potrebbero escludere alcune tecnologie oggi diffuse, imponendo migrazioni costose. Il tessuto produttivo italiano, fatto di subfornitura e di forte dipendenza tecnologica dall’estero, è tra i più esposti a questo capitolo della riforma.
Scadenze e numeri chiave della riforma
La seconda tabella raccoglie le date e i numeri verificati più rilevanti per orientarsi tra normativa europea e attuazione italiana al 15 giugno 2026.
| Voce | Dato | Fonte |
|---|---|---|
| Proposta Cybersecurity Act 2.0 | 20 gennaio 2026 | Commissione europea |
| Cybersecurity Act originale | Regolamento (UE) 2019/881 | EUR-Lex |
| Settori critici NIS2 | 18 settori | Commissione europea |
| Aziende interessate dalla semplificazione | 28.700 (di cui 6.200 micro e piccole) | Commissione europea |
| Sanzioni NIS2 (soggetti essenziali) | Fino a 10 mln € o 2% del fatturato globale | Analisi giuridiche su NIS2 |
| Recepimento NIS2 in Italia | D.Lgs 138/2024, in vigore dal 16 ottobre 2024 | Normativa italiana |
| Registrazione ACN soggetti NIS2 | 1 gennaio – 28 febbraio 2026 | ACN |
| Campagne malevole in Italia (2025) | Oltre 3.600 | CERT-AGID |
Impatto di mercato e costi di conformità
Sul piano economico, la prudenza è d’obbligo: nei documenti pubblici disponibili al 15 giugno 2026 non c’è una stima ufficiale del costo complessivo della riforma né una proiezione verificabile della dimensione del mercato cyber europeo nel 2026 da parte di una singola società di ricerca. Per questo non riportiamo cifre di mercato non confermate. Il dato economico più solido resta quello della Commissione sulle 28.700 aziende che dovrebbero beneficiare della semplificazione degli obblighi.
La direzione, però, è leggibile. La semplificazione del reporting e l’alleggerimento per le piccole imprese puntano a ridurre i costi di conformità, che secondo le associazioni di categoria sono cresciuti con la stratificazione di NIS2, GDPR, DORA e Cyber Resilience Act. In parallelo, le eventuali regole sulla supply chain e il rafforzamento operativo di ENISA potrebbero generare nuovi investimenti in fornitori certificati, servizi di risposta agli incidenti e audit. È un mercato che si riorganizza più che ridursi.
Per gli operatori del settore della sicurezza, la riforma apre opportunità precise: servizi di conformità coordinata multi-normativa, piattaforme di reporting integrato, consulenza sulla qualificazione dei fornitori. Per le aziende clienti, l’orizzonte è un consolidamento dei budget cyber attorno a pochi obblighi armonizzati invece di molti requisiti sovrapposti. Chi gestisce il rischio ransomware in Italia sa quanto questa razionalizzazione possa pesare sui conti.
Confronto competitivo: UE, Stati Uniti e Regno Unito
La scelta europea di un’agenzia centrale operativa e di un portale unico di segnalazione segna una differenza di modello rispetto agli altri grandi blocchi regolatori. Negli Stati Uniti l’impianto resta più settoriale e frammentato tra agenzie federali, con la CISA come riferimento per le infrastrutture critiche ma senza un equivalente diretto del quadro di certificazione europeo. Il Regno Unito, post-Brexit, segue una via propria centrata sul National Cyber Security Centre e su un approccio basato su linee guida più che su obblighi orizzontali uniformi.
Il valore competitivo della scelta europea sta nell’effetto rete. Un portale unico e un coordinamento centrale di ENISA, se realizzati, darebbero all’Unione una visibilità transfrontaliera sugli incidenti difficile da replicare in sistemi più frammentati. Il rischio speculare è la lentezza: armonizzare 27 ordinamenti richiede tempo, e il divario tra Stati membri sul recepimento NIS2 lo dimostra. A inizio 2026 i tracker indicavano tra 20 e 23 Stati membri su 27 che avevano completato il recepimento, a seconda della metodologia.
Per le imprese globali, la posta in gioco è l’interoperabilità normativa. Un’azienda che opera su entrambe le sponde dell’Atlantico deve oggi conciliare obblighi europei sempre più strutturati con un quadro statunitense più flessibile ma meno prevedibile. La riforma europea, puntando sulla semplificazione interna, prova a trasformare la complessità da svantaggio competitivo a fattore di affidabilità.
Contesto storico: dal 2019 al 2026
Per capire la portata della riforma conviene guardare indietro. Nel 2019 il Cybersecurity Act dava ad ENISA un mandato permanente e creava il quadro di certificazione, ma in un’epoca in cui la cybersicurezza era ancora vista come questione tecnica più che strategica. Tra il 2022 e il 2023 sono arrivate NIS2 e il regolamento DORA, mentre il Cyber Resilience Act ha chiuso il cerchio sui prodotti digitali. Ogni testo ha risolto un problema specifico, ma la somma ha generato sovrapposizioni.
Il 2024 e il 2025 sono stati gli anni dell’attuazione difficile. La scadenza di recepimento NIS2 del 17 ottobre 2024 è stata mancata da molti Stati membri: a fine novembre 2024 la Commissione aveva aperto procedure di infrazione contro 23 Paesi, e a maggio 2025 sono arrivati i pareri motivati a 19 Stati membri. È in questo clima di ritardi e frammentazione che matura la decisione di rivedere il Cybersecurity Act, non per aggiungere regole ma per cucirle insieme.
Il 2026 si apre quindi con un cambio di filosofia. Dopo anni di produzione normativa intensa, Bruxelles sceglie il consolidamento operativo: meno testi nuovi, più capacità concrete di risposta e meno burocrazia per chi è già in regola. Chi segue il panorama delle minacce di ENISA riconosce in questa svolta la risposta diretta a un decennio di incidenti crescenti.
Cosa dicono le istituzioni europee
Sulle posizioni espresse pubblicamente serve onestà metodologica. Al 15 giugno 2026 non risulta una dichiarazione personale verificabile, riconducibile parola per parola a un singolo funzionario europeo, che sia citabile in sicurezza su questa proposta. Per questo riportiamo le posizioni istituzionali documentate, senza attribuirle in modo improprio a persone fisiche.
La Commissione europea, nella documentazione ufficiale della proposta, presenta il pacchetto come strumento per rafforzare la resilienza e le capacità cyber dell’Unione e per facilitare la conformità alle regole esistenti. La Cybersecurity Coalition e la CR2, nella consultazione del giugno 2025, hanno chiesto formalmente di armonizzare gli obblighi di segnalazione tra normative diverse e di creare una piattaforma unica a livello europeo, posizione poi recepita nell’impianto della proposta. DIGITALEUROPE, nei suoi documenti di monitoraggio, ha più volte segnalato come la frammentazione del recepimento NIS2 pesi sulle imprese paneuropee.
Anche le analisi tecniche indipendenti convergono. OpenKRITIS descrive la pubblicazione del 20 gennaio 2026 come una bozza articolata, con allegati e proposte di aggiornamento, mentre Nemko Digital legge la riforma come uno spostamento del baricentro verso un ENISA operativo. Tenere distinte le fonti ufficiali da quelle di analisi è essenziale per non spacciare per legge ciò che è ancora proposta.
Cinque previsioni per il 2026 e il 2027
Sulla base dei dati verificati e della direzione politica, ecco cinque scenari plausibili, da leggere come previsioni e non come certezze.
- Negoziato lungo. Il passaggio in Parlamento e Consiglio porterà modifiche sostanziali, in particolare su budget di ENISA e regole sui fornitori ad alto rischio, con un’adozione difficilmente prima della fine del 2027.
- Portale unico al centro del consenso. La piattaforma unificata di segnalazione sarà l’elemento meno contestato, perché riduce i costi senza abbassare gli standard, e diventerà il simbolo della riforma.
- Supply chain come terreno di scontro. Le restrizioni sui fornitori ad alto rischio incontreranno resistenze industriali e geopolitiche, con un possibile annacquamento rispetto alla bozza iniziale.
- Italia accelera. Dopo la finestra di registrazione ACN del 2026, l’Italia spingerà su controlli e ispezioni, allineandosi alla pressione europea sull’attuazione effettiva.
- Mercato della conformità in crescita. I servizi di reporting integrato e di qualificazione dei fornitori vedranno una domanda crescente, indipendentemente dai tempi di approvazione del testo finale.
Domande frequenti sul Cybersecurity Act 2.0
Il Cybersecurity Act 2.0 è già legge?
No. È una proposta di regolamento pubblicata dalla Commissione europea il 20 gennaio 2026. Dovrà essere negoziata e approvata da Parlamento e Consiglio prima di entrare in vigore, quindi i contenuti possono ancora cambiare in misura significativa.
Che differenza c’è tra Cybersecurity Act e NIS2?
Il Cybersecurity Act è un regolamento che disciplina ENISA e la certificazione ICT a livello europeo. La NIS2 è una direttiva che impone obblighi di gestione del rischio agli operatori di 18 settori critici e va recepita da ogni Stato membro. La proposta 2026 lega i due testi attraverso emendamenti mirati e semplificazione coordinata.
Cosa cambia per ENISA?
La proposta rafforza ENISA verso un ruolo più operativo, con repository di incidenti, allerte precoci, coordinamento delle esercitazioni e gestione di un portale unico di notifica. Alcuni dettagli, come l’aumento di budget oltre il 75% riportato da analisi di settore, non sono confermati da fonti ufficiali e vanno verificati nel testo finale.
Le aziende italiane sono coinvolte?
Sì. Le imprese già soggette alla NIS2 tramite il decreto 138/2024 e registrate presso ACN saranno interessate dalla riforma europea, soprattutto su segnalazione degli incidenti e qualificazione dei fornitori nelle catene critiche. I gruppi multinazionali potrebbero beneficiare del portale unico di notifica.
Quali sanzioni rischiano i soggetti non conformi?
Il quadro sanzionatorio resta quello della NIS2: per i soggetti essenziali, sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo globale, oltre a possibili misure interdittive per gli organi di gestione in caso di gravi inadempienze.
Quando entrerà in vigore la riforma?
Non c’è una data certa. Trattandosi di una proposta del gennaio 2026, l’iter legislativo europeo richiede in genere mesi o anni. Un’adozione prima della fine del 2027 appare improbabile, dato il livello di complessità e i punti più controversi come supply chain e risorse di ENISA.
Related Coverage
- NIS2 Italia: multe da 10M € e solo il 3,9% pronto
- Regolamento DORA: 22.000 entità e multe fino al 2%
- ENISA 2025: 4.900 incidenti cyber e 80% hacktivismo
- Cyber Europe 2026: 5.000 esperti, treni e porti
- Attacco alla Commissione UE: 350 GB di dati rubati
- Ransomware Italia: 166 casi e +14% di attacchi
Fonti e approfondimenti
- Commissione europea, proposta di regolamento sul Cybersecurity Act
- Commissione europea, pagina di policy sul Cybersecurity Act
- Commissione europea, direttiva NIS2
- ENISA, Agenzia dell’Unione europea per la cibersicurezza
- Agenzia per la Cybersicurezza Nazionale (ACN)
Articolo pubblicato il 15 giugno 2026. I dati indicati come “proposta” si riferiscono al testo presentato dalla Commissione europea il 20 gennaio 2026 e non costituiscono normativa in vigore. Le cifre non confermate da fonti ufficiali sono segnalate come tali.
