L’11 giugno 2026, la Commissione Europea ha presentato un pacchetto legislativo che ridisegna la sicurezza informatica dell’Unione Europea su due assi distinti: la semplificazione della direttiva NIS2 per quasi 30.000 aziende e un nuovo framework vincolante per i fornitori ICT ad alto rischio. Per la prima volta, Bruxelles si dota di uno strumento che consente di escludere un singolo fornitore tecnologico dal mercato europeo, anche senza che il suo paese d’origine sia classificato come “paese di interesse”.
Il pacchetto è composto da tre pilastri: la revisione della direttiva NIS2, le modifiche al Cybersecurity Act del 2019 e una comunicazione sulla sicurezza della catena di fornitura ICT. Henna Virkkunen, Vicepresidente esecutiva della Commissione Europea, ha dichiarato che le misure rimuovono “il carico di conformità da quasi 30.000 aziende”, incluse “oltre 6.000 micro e piccole imprese”, con l’obiettivo di concentrare gli obblighi sulle entità che rappresentano rischi sistemici reali.
Il Pacchetto UE dell’11 Giugno 2026: Tre Misure in Una
Il pacchetto della Commissione del giugno 2026 si innesta su un processo avviato a gennaio 2026, quando la Commissione aveva pubblicato la proposta formale di modifica del Cybersecurity Act. L’annuncio dell’11 giugno ha consolidato tutte le misure in un unico quadro politico coerente, aprendo la procedura legislativa ordinaria al Parlamento Europeo e al Consiglio dell’UE.
Il primo pilastro affronta la frammentazione normativa prodotta dall’implementazione nazionale di NIS2: 27 recepimenti diversi hanno generato requisiti non omogenei tra gli Stati membri, aumentando i costi per le aziende che operano in più paesi. Il secondo pilastro introduce il framework per i fornitori ad alto rischio, uno strumento di sicurezza economica che va ben oltre la cybersecurity tradizionale. Il terzo pilastro rafforza il mandato dell’Agenzia europea per la cybersecurity ENISA, assegnandole nuovi compiti di certificazione per i servizi di sicurezza gestiti.
Il contesto politico è decisivo: il pacchetto arriva dopo mesi di pressioni da parte dell’industria tecnologica europea, che aveva segnalato costi di conformità sproporzionati per le PMI, e dopo l’esercitazione Cyber Europe 2026 del 17 giugno, che ha coinvolto oltre 5.000 esperti testando la risposta coordinata UE ad attacchi su reti ferroviarie e portuali. I risultati hanno evidenziato lacune nella condivisione delle informazioni tra Stati membri, rafforzando la logica del pacchetto.
NIS2 Semplificata: 28.700 Aziende Alleggerite dai Requisiti
La revisione della direttiva NIS2 è la misura con l’impatto più immediato. La Commissione stima che 28.700 aziende beneficeranno di una riduzione degli obblighi di conformità, con tre categorie distinte che ricevono trattamenti differenziati.
Le micro e piccole imprese, circa 6.200 entità, vengono esentate dalla maggior parte degli obblighi di reporting e gestione del rischio. Sotto la NIS2 originale, anche una società con 10 dipendenti che operava in un settore essenziale doveva implementare sistemi di notifica degli incidenti e audit periodici, con costi stimati tra 50.000 e 120.000 euro annui secondo i dati raccolti dalla Commissione nella consultazione pubblica del 2025.
Il secondo gruppo, che la proposta definisce “small midcap enterprises”, è la novità più rilevante. Questa categoria, circa 22.000 aziende, beneficia di requisiti semplificati ma non azzerati: mantengono l’obbligo di notificare gli incidenti significativi e di condurre valutazioni del rischio, ma attraverso procedure standardizzate e meno onerose rispetto ai grandi operatori. La logica è proporzionale: le entità che non hanno capacità di causare effetti sistemici sull’infrastruttura critica non devono sostenere gli stessi oneri delle banche sistemiche o degli operatori energetici nazionali.
Il terzo cambiamento strutturale riguarda il punto di notifica. La NIS2 originale imponeva notifiche multiple, spesso a più autorità nazionali con formati diversi. Il pacchetto introduce un unico punto di accesso per le notifiche di incidenti, riducendo la duplicazione burocratica e tagliando, secondo le stime della Commissione, i tempi di compliance del 35% per le aziende transfrontaliere.
Chi Rimane Fuori dalla Semplificazione
La riduzione degli obblighi si applica in modo selettivo. Le entità nei settori più critici, classificati come “essenziali” dalla NIS2 originale, mantengono tutti i requisiti esistenti o li vedono intensificati. Questi includono operatori di infrastrutture critiche (energia, acqua, trasporti, sanità), fornitori di servizi digitali sistemici e operatori di infrastrutture di comunicazione elettronica.
Il rischio principale, segnalato da diversi esperti legali, è che la semplificazione crei un perimetro ambiguo tra le categorie. Un’azienda di medie dimensioni che fornisce software gestionale a ospedali potrebbe trovarsi in una zona grigia: non è essa stessa un operatore sanitario, ma la sua compromissione potrebbe avere effetti a cascata su entità essenziali. La proposta della Commissione delega agli Stati membri la risoluzione di questi casi limite, il che potrebbe riprodurre la frammentazione che il pacchetto intende risolvere.
Il Framework per i Fornitori ICT ad Alto Rischio: Il Cuore della Proposta
Il secondo pilastro del pacchetto è il più dirompente sotto il profilo geopolitico. Per la prima volta, l’Unione Europea si dota di uno strumento giuridico che consente di designare un fornitore di tecnologie ICT come “ad alto rischio” e di imporre restrizioni al suo utilizzo nell’infrastruttura critica europea.
Il meccanismo funziona su due livelli. Nel primo livello, la Commissione identifica un “paese di interesse”, ovvero uno Stato terzo il cui contesto normativo, di intelligence o geopolitico pone rischi sistemici per la sicurezza delle reti europee. Nel secondo livello, a partire da questa designazione, la Commissione identifica i fornitori ICT specifici collegati a quel paese e valuta se le loro componenti, prodotti o servizi debbano essere soggetti a restrizioni.
La clausola più discussa consente alla Commissione, in situazioni eccezionali, di applicare restrizioni direttamente a una specifica azienda anche se il suo paese d’origine non è stato designato come paese di interesse. Questo significa che un fornitore con sede in un paese neutro ma con proprietà o struttura di governance che la Commissione ritiene rischiosa potrebbe essere bersagliato direttamente. La proposta non specifica criteri espliciti per questa valutazione, lasciando ampia discrezionalità alla Commissione. I critici considerano questa mancanza di criteri un rischio per la certezza giuridica e per le relazioni commerciali internazionali.
Il framework si applica a 18 settori critici identificati dalla proposta. Le restrizioni possono includere il divieto di utilizzo di componenti specifici nelle reti 5G, nei sistemi di controllo industriale (ICS/SCADA) e nelle infrastrutture cloud che gestiscono dati classificati o dati personali su scala sistemica.
| Settore Critico | Tipologia di Restrizione Possibile | Principali Soggetti IT Interessati |
|---|---|---|
| Energia (elettricità, gas, idrocarburi) | Divieto componenti SCADA da fornitori ad alto rischio | Terna, Eni, Enel |
| Trasporti (ferrovie, porti, aviazione) | Restrizioni su sistemi di controllo del traffico | RFI, ENAC, AdSP |
| Settore bancario e finanziario | Audit aggiuntivi su cloud provider | Banche sistemiche, CCP |
| Infrastrutture sanitarie | Revisione supply chain software ospedaliero | ASL, ospedali universitari |
| Acqua potabile e acque reflue | Valutazione fornitori sistemi di controllo | Gestori idrici nazionali |
| Infrastrutture digitali (IXP, DNS, cloud) | Requisiti di localizzazione dati | CDN, registrar, CSP |
| Telecomunicazioni (reti 5G) | Mappatura e restrizione vendor 5G | TIM, Vodafone IT, WindTre |
| Spazio (infrastrutture terrestri) | Verifica catena di fornitura componenti | Telespazio, ASI |
Paesi di Interesse: Come Funziona la Designazione
Il meccanismo dei “paesi di interesse” è il dispositivo più politicamente sensibile del pacchetto. La Commissione valuterà una serie di fattori per designare un paese come potenzialmente rischioso per la catena di fornitura ICT europea: il quadro normativo interno in materia di intelligence e accesso ai dati, la storia di attività statali o para-statali nel dominio cyber, la posizione geopolitica nei confronti dell’UE e il livello di cooperazione con le strutture di sicurezza europee.
La designazione di un paese non comporta automaticamente restrizioni su tutti i fornitori di quel paese: la Commissione deve compiere un secondo passo, identificando i fornitori ICT specifici i cui prodotti o servizi sono integrati nelle infrastrutture critiche europee e valutando il rischio concreto. Solo a quel punto può adottare misure di mitigazione, che vanno dalla richiesta di audit indipendenti al divieto graduale di utilizzo.
La clausola di emergenza, che consente di colpire direttamente un fornitore senza designare il suo paese, è pensata per casi in cui la struttura aziendale del fornitore, ad esempio una proprietà di fatto controllata da un governo straniero attraverso strutture societarie opache, pone rischi indipendentemente dalla nazionalità formale. Questo strumento è ispirato al precedente stabilito negli Stati Uniti con i poteri FISA e alle restrizioni applicate a specifici vendor nelle procedure di appalto pubblico.
ENISA Rafforziata: Certificazione e Risposta agli Incidenti
Il terzo pilastro del pacchetto modifica il mandato dell’Agenzia europea per la cybersecurity. Le modifiche al Cybersecurity Act, avviate con l’emendamento del 15 gennaio 2025 che aveva introdotto la base giuridica per la certificazione dei servizi di sicurezza gestiti, vengono ora completate con l’assegnazione di nuovi poteri operativi.
ENISA riceve il mandato di produrre schemi candidati per la certificazione entro 12 mesi da una richiesta formale della Commissione. Questa tempistica standardizzata risolve uno dei problemi pratici del framework precedente, dove i processi di certificazione potevano protrarsi per anni senza obblighi di calendario precisi.
I servizi di sicurezza gestiti che potranno essere certificati includono risposta agli incidenti, test di penetrazione, audit di sicurezza e consulenza strategica. La certificazione è volontaria per le aziende private, ma il pacchetto prevede che le entità essenziali debbano preferire fornitori certificati ENISA per i servizi di sicurezza esternalizzati. In pratica, la certificazione diventa un prerequisito de facto per lavorare con le infrastrutture critiche europee.
ENISA riceve anche un ruolo ampliato nell’early warning: l’agenzia potrà emettere allerte precoci su vulnerabilità critiche, mantenere repository di incidenti a livello europeo e fornire supporto tecnico diretto agli Stati membri durante crisi informatiche di rilievo sistemico. Il pacchetto prevede esplicitamente che ENISA possa essere attivata per fornire supporto all’Ucraina in caso di attacchi informatici su larga scala.
Cyber Europe 2026: 5.000 Esperti, Ferrovie e Porti nel Mirino
Il 17 giugno 2026, pochi giorni dopo il lancio del pacchetto, si è svolta l’esercitazione biennale Cyber Europe 2026, coordinata da ENISA e dalla rete CyCLONe delle autorità nazionali. L’esercitazione ha coinvolto oltre 5.000 esperti da tutta l’Unione Europea e ha simulato attacchi coordinati su reti ferroviarie e infrastrutture portuali.
Cyber Europe è l’esercitazione di riferimento per la cyber resilience europea: la prima edizione risale al 2010 e ogni ciclo biennale mette alla prova capacità tecniche, protocolli di comunicazione e coordinamento tra autorità nazionali. L’edizione 2026 è stata la prima a testare specificamente gli scenari di attacco a infrastrutture di trasporto multimodali, combinando disruption di sistemi di controllo ferroviario con attacchi ai sistemi di gestione portuale.
I risultati preliminari dell’esercitazione hanno evidenziato tre criticità principali: tempi di condivisione delle informazioni tra CSIRT nazionali ancora superiori alle 4 ore in scenari di crisi acuta, difficoltà nell’attribuire rapidamente la responsabilità degli attacchi in contesti multi-vettore e carenze negli scambi di informazioni in tempo reale tra settore pubblico e operatori privati delle infrastrutture critiche. Queste lacune hanno rafforzato la logica delle misure presentate dalla Commissione, in particolare del punto di notifica unico e del potenziamento del mandato ENISA.
Confronto: NIS2 Originale vs Pacchetto Semplificazione 2026
| Dimensione | NIS2 Originale (2022) | Pacchetto 2026 | Variazione |
|---|---|---|---|
| Aziende soggette (UE) | ~150.000 | ~121.300 | -19% (-28.700) |
| Micro e piccole imprese | Incluse se in settori essenziali | Esentate dalla maggior parte degli obblighi | -6.200 entità |
| Punti di notifica incidenti | Multipli (per paese e settore) | Unico punto di accesso UE | Riduzione stimata >60% duplicazioni |
| Framework fornitori ICT | Assente | Meccanismo paesi di interesse + vendor | Nuovo strumento |
| Certificazione ENISA | Volontaria, nessuna scadenza | Volontaria, ma preferenziale; 12 mesi per schemi | De facto obbligatoria per settori critici |
| Costo medio conformità PMI | 50.000-120.000 euro/anno | Stimato -35% per aziende nella nuova categoria | Risparmio stimato ~40.000 euro/anno |
| Sanzioni massime | 10M euro o 2% del fatturato globale | Invariate | Nessuna variazione |
| Settori critici coperti | 11 settori | 18 settori | +7 settori |
Impatto sull’Italia: 12.000 Aziende e l’ACN Come Perno
L’Italia ha recepito la direttiva NIS2 con il decreto legislativo 138 del 2024, identificando oltre 12.000 aziende soggette agli obblighi. L’Agenzia per la Cybersicurezza Nazionale gestisce il registro nazionale delle entità soggette ed è l’autorità competente per le notifiche e le verifiche di conformità.
Il pacchetto del giugno 2026 richiederà un ulteriore intervento normativo italiano. Una parte delle 12.000 aziende attualmente registrate potrebbe rientrare nella nuova categoria “small midcap” e beneficiare degli obblighi ridotti, ma l’ACN dovrà aggiornare i propri registri e le proprie procedure di supervisione solo dopo il recepimento nazionale del pacchetto europeo, atteso tra la fine del 2026 e il 2027.
Sul fronte dei fornitori ICT ad alto rischio, l’Italia è già attiva: l’ACN ha condotto audit su vendor 5G e ha contribuito alla mappatura europea delle catene di fornitura critiche avviata nel contesto della Toolbox 5G UE. Il nuovo framework europeo consolida e formalizza strumenti che in Italia esistevano già in forma parziale o settoriale.
Un aspetto rilevante per il mercato italiano riguarda i grandi operatori delle infrastrutture critiche nazionali. Aziende come Terna (energia), RFI (ferrovie), Eni ed Enel, oltre ai principali istituti bancari sistemici, sono classificate come entità essenziali e non beneficiano di nessuna semplificazione. Per questi soggetti, il pacchetto aumenta le aspettative di sicurezza attraverso il nuovo framework per i fornitori.
Timeline Legislativa: Quando Entra in Vigore?
Il pacchetto del giugno 2026 è stato presentato come proposta della Commissione Europea e deve ora completare il percorso della procedura legislativa ordinaria. Il Parlamento Europeo e il Consiglio dell’Unione Europea devono esaminare, eventualmente emendare e adottare i testi. La Commissione stima che il processo possa concludersi entro la fine del 2026 o nel 2027, a seconda della velocità di accordo tra le istituzioni.
Una volta adottati i testi, gli Stati membri avranno un periodo di recepimento, tipicamente 18-21 mesi, per implementare le modifiche nelle legislazioni nazionali. Per le aziende italiane, questo significa che le nuove regole semplificate non entreranno in vigore prima del 2028-2029.
Il rischio di slittamento è concreto. Il Parlamento Europeo ha già segnalato che alcune disposizioni sul framework per i fornitori potrebbero richiedere ulteriori garanzie in materia di certezza giuridica e proporzionalità, aprendo la strada a negoziati in trilogo che potrebbero prolungarsi. L’esperienza della NIS2 originale, adottata nel 2022 con recepimento entro ottobre 2024, suggerisce che i tempi reali tendono a superare le stime iniziali.
Confronto con Altri Strumenti Normativi UE in Vigore
Il pacchetto del giugno 2026 non esiste nel vuoto normativo. Si inserisce in un ecosistema regolatorio europeo che negli ultimi 36 mesi ha prodotto il Cyber Resilience Act (CRA), il Digital Operational Resilience Act (DORA) specifico per il settore finanziario e il GDPR, ciascuno con logiche e perimetri parzialmente sovrapposti.
Il CRA, con scadenza di conformità a settembre 2026, si concentra sulla sicurezza dei prodotti hardware e software commercializzati in Europa. NIS2 regola la sicurezza operativa delle organizzazioni. DORA si applica ai servizi finanziari. Il nuovo pacchetto aggiunge uno strato trasversale sulla sicurezza della catena di fornitura ICT che collega tutti e tre questi framework.
Per un’azienda italiana che sviluppa software di sicurezza venduto a banche europee, il panorama normativo è ora stratificato su quattro livelli: GDPR per i dati personali, CRA per la sicurezza del prodotto, DORA per i requisiti del cliente bancario e NIS2 (semplificata o meno, a seconda delle dimensioni dell’azienda stessa) per la sicurezza operativa interna. Il pacchetto del 2026 introduce un quinto elemento: il rischio di essere classificata indirettamente come fornitore ad alto rischio se la sua catena di fornitura include componenti da paesi di interesse.
Reazioni del Settore: Apprezzamento con Riserve
Le reazioni del settore industriale e delle associazioni di cybersecurity sono state positive ma con riserve specifiche. L’industria tecnologica europea ha accolto con favore la riduzione degli obblighi per le PMI, ma ha sollevato preoccupazioni sulla discrezionalità del framework per i fornitori.
Henna Virkkunen, Vicepresidente esecutiva della Commissione, ha ribadito che l’obiettivo primario è costruire “un’Europa più sicura e resiliente, concentrando gli obblighi dove i rischi sono reali e sistemici”. La posizione della Commissione è che la semplificazione non riduca il livello complessivo di sicurezza, ma rimuova burocrazia dove non produce protezione effettiva.
Dal lato delle imprese, le associazioni di categoria hanno accolto positivamente la nuova categoria “small midcap” ma hanno chiesto criteri più chiari per la sua definizione. La preoccupazione principale riguarda il confine tra questa categoria e le entità “importanti” della NIS2 attuale: senza parametri numerici precisi (fatturato, dipendenti, criticità del servizio), le aziende borderline potrebbero trovarsi in una zona grigia che genera costi legali e di consulenza per anni.
I fornitori tecnologici non europei con presenza significativa nelle infrastrutture critiche UE stanno monitorando con attenzione le disposizioni sui paesi di interesse. Il framework non nomina esplicitamente nessun paese, ma il contesto geopolitico europeo del 2026, segnato dalle tensioni con Russia e Cina nel dominio cyber, rende evidente a chi potrebbero essere applicate le prime designazioni.
Nel mercato italiano, dove l’implementazione NIS2 ha generato una corsa alla consulenza che ha saturato il mercato dei servizi di conformità nel 2025, il pacchetto viene letto con una doppia valenza: da un lato, un alleggerimento atteso per le PMI; dall’altro, un aumento della complessità per le grandi organizzazioni e per chi opera nella catena di fornitura delle infrastrutture critiche. L’ACN ha già annunciato che aggiornerà le proprie linee guida non appena il testo legislativo europeo sarà adottato.
Cinque Previsioni per il 2026-2028
1. Prima designazione di un paese di interesse entro il 2027. Il meccanismo esiste ora sul piano giuridico e le pressioni politiche per utilizzarlo sono forti. La prima designazione riguarderà con alta probabilità un paese già soggetto a restrizioni 5G in diversi Stati membri, consolidando misure nazionali frammentate in un approccio europeo unitario.
2. Il mercato della certificazione ENISA crescerà fino a 800 milioni di euro entro il 2028. La preferenza per fornitori certificati nelle infrastrutture critiche creerà un mercato di certificazione significativo. I primi schemi riguarderanno i servizi SOC e di incident response, creando un vantaggio competitivo per i fornitori europei di sicurezza gestita.
3. Almeno 5 Stati membri non rispetteranno la scadenza di recepimento. La storia di NIS2 originale, con diversi paesi in ritardo sul recepimento al 2024, si ripeterà. I paesi con sistemi politici più frammentati o con governi di coalizione instabile sono i candidati più probabili, generando un periodo transitorio di asimmetria normativa intra-UE.
4. La categoria “small midcap” genererà contenziosi davanti alla Corte di Giustizia UE. I criteri di delimitazione imprecisi produrranno controversie tra aziende che contestano la propria classificazione come entità soggette agli obblighi pieni. I primi ricorsi sono attesi entro 18 mesi dal recepimento nazionale nei paesi che implementeranno più rapidamente.
5. Il pacchetto spingerà la spesa in cybersecurity delle PMI europee sopra i 12 miliardi di euro annui. Paradossalmente, anche la semplificazione richiede investimenti: le aziende che passano alla categoria alleggerita devono comunque implementare un baseline di sicurezza e dimostrarlo alle autorità competenti. Questo alimenterà la domanda di strumenti di conformità automatizzati e di servizi di sicurezza standardizzati.
Domande Frequenti
Cos’è l’EU Cybersecurity Act 2.0?
Non si tratta di un testo completamente nuovo, ma di un pacchetto di emendamenti al Cybersecurity Act del 2019 e alla direttiva NIS2 del 2022. Le principali novità sono la semplificazione degli obblighi NIS2 per circa 28.700 aziende, il framework per i fornitori ICT ad alto rischio e il rafforzamento del mandato ENISA.
Quali aziende beneficiano della semplificazione NIS2?
Principalmente le micro e piccole imprese (circa 6.200) che saranno quasi completamente esentate, e le nuove “small midcap enterprises” (circa 22.000) che ricevono obblighi ridotti. Le entità nei settori essenziali, come energia, banche e sanità, non beneficiano di nessuna riduzione.
Come funziona il framework per i fornitori ad alto rischio?
La Commissione designa prima un “paese di interesse” (paese terzo che pone rischi sistemici), poi identifica i fornitori ICT di quel paese che possono essere soggetti a restrizioni nelle infrastrutture critiche europee. In casi eccezionali, può colpire direttamente un fornitore anche senza designare il suo paese.
Quando entrano in vigore le nuove regole in Italia?
Non prima del 2028-2029. Il pacchetto deve completare la procedura legislativa ordinaria (probabilmente entro fine 2026 o 2027), quindi gli Stati membri hanno 18-21 mesi per il recepimento nazionale. L’ACN dovrà aggiornare il registro NIS2 e le procedure di supervisione.
La certificazione ENISA diventa obbligatoria?
Formalmente rimane volontaria. Tuttavia, il pacchetto prevede che le entità essenziali debbano preferire fornitori certificati ENISA per i servizi di sicurezza esternalizzati. Questo crea un effetto de facto obbligatorio per chi vuole lavorare con infrastrutture critiche europee.
Cos’è Cyber Europe 2026 e cosa ha rivelato?
Cyber Europe è l’esercitazione biennale coordinata da ENISA che testa la risposta UE agli attacchi informatici. L’edizione 2026, con 5.000 esperti, ha simulato attacchi su ferrovie e porti. Ha evidenziato ritardi superiori alle 4 ore nella condivisione di informazioni tra CSIRT nazionali e difficoltà di coordinamento pubblico-privato.
Cosa sono i “paesi di interesse” nel nuovo framework?
Sono paesi terzi il cui contesto normativo, di intelligence o geopolitico è ritenuto dalla Commissione Europea incompatibile con la sicurezza delle reti europee. La designazione precede quella dei singoli fornitori e apre la strada a restrizioni sull’uso dei loro prodotti nelle infrastrutture critiche UE.
Come cambia il rapporto tra NIS2, CRA e DORA?
Il pacchetto 2026 aggiunge uno strato trasversale di sicurezza della catena di fornitura ICT che si sovrappone a NIS2 (sicurezza operativa), CRA (sicurezza del prodotto) e DORA (settore finanziario). Le aziende nella filiera delle infrastrutture critiche devono ora gestire la conformità su tutti e quattro i livelli simultaneamente.
Copertura Correlata
Approfondimenti sulla Sicurezza e Normativa UE
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- NIS2 vs DORA: Chi Deve Conformarsi e le Differenze Chiave
- Cyber Resilience Act: 83 Giorni alla Scadenza, Sanzioni fino a €15M
- Cyber Europe 2026: 5.000 Esperti Testano la Risposta UE su Ferrovie e Porti
- GDPR 2026: €7,1 Miliardi di Sanzioni e 443 Violazioni al Giorno
Fonti: Commissione Europea: misure per rafforzare la cybersecurity UE | Testo ufficiale NIS2 su EUR-Lex | Direttiva NIS2 (Digital Strategy UE) | Proposta EU Cybersecurity Act 2026 | Agenzia per la Cybersicurezza Nazionale
