{"id":160,"date":"2026-06-15T20:39:28","date_gmt":"2026-06-15T20:39:28","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/15\/cybersecurity-act-2-0-ue-2026\/"},"modified":"2026-06-16T08:20:08","modified_gmt":"2026-06-16T08:20:08","slug":"cybersecurity-act-2-0-ue-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/15\/cybersecurity-act-2-0-ue-2026\/","title":{"rendered":"Cybersecurity Act 2.0: ENISA e 28.700 Aziende UE [2026]"},"content":{"rendered":"\n

Il 20 gennaio 2026 la Commissione europea ha presentato la proposta di revisione del Cybersecurity Act<\/strong>, ribattezzata in modo informale Cybersecurity Act 2.0<\/strong>. \u00c8 la riscrittura pi\u00f9 profonda della normativa quadro sulla sicurezza informatica dell’Unione dal 2019, e arriva mentre l’Europa fatica ancora a chiudere il recepimento della direttiva NIS2. La proposta sposta ENISA da agenzia consultiva a struttura operativa, introduce un portale unico per la segnalazione degli incidenti e prova a ridurre la frammentazione di regole che oggi pesa su decine di migliaia di imprese, comprese 6.200 micro e piccole aziende secondo le stime della stessa Commissione.<\/p>\n\n\n\n

Per le aziende italiane, gi\u00e0 alle prese con il decreto legislativo 138\/2024 e con la registrazione presso l’Agenzia per la Cybersicurezza Nazionale (ACN), la riforma del cybersecurity act 2.0<\/strong> non \u00e8 un dettaglio burocratico. Cambia chi coordina la risposta agli attacchi, come si notificano gli incidenti e quali fornitori potranno restare nelle catene critiche. Questa analisi raccoglie i numeri verificati al 15 giugno 2026, distingue ci\u00f2 che \u00e8 gi\u00e0 legge da ci\u00f2 che resta allo stadio di proposta e misura l’impatto su mercato, costi e tempi.<\/p>\n\n\n\n

Cos’\u00e8 il Cybersecurity Act 2.0 e perch\u00e9 conta adesso<\/h2>\n\n\n\n

Il Cybersecurity Act originale \u00e8 il Regolamento (UE) 2019\/881<\/strong>, adottato nel 2019. Poggia su due pilastri: un mandato permanente per ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e un quadro europeo di certificazione della sicurezza per prodotti, servizi e processi ICT. Quel testo era nato in un contesto pre-pandemia, prima dell’esplosione del ransomware come industria e prima che la guerra in Ucraina rendesse la resilienza delle infrastrutture critiche una priorit\u00e0 di sicurezza nazionale per ogni Stato membro.<\/p>\n\n\n\n

La pagina ufficiale della Commissione descrive la proposta del 2026 come parte di un pi\u00f9 ampio pacchetto cybersecurity<\/strong> pensato per rafforzare le capacit\u00e0 e la resilienza dell’Unione, prevenire la frammentazione normativa e irrobustire la sicurezza della catena di approvvigionamento ICT. In altre parole, il cybersecurity act 2.0<\/strong> non sostituisce solo un regolamento tecnico: prova a fare da collante tra norme che oggi vivono separate, come NIS2, il Cyber Resilience Act e il regolamento DORA per il settore finanziario.<\/p>\n\n\n\n

Il tempismo non \u00e8 casuale. Secondo il Global Cybersecurity Outlook 2026<\/em> del World Economic Forum, pubblicato il 17 gennaio 2026, la frode abilitata dalle tecnologie digitali \u00e8 diventata la prima preoccupazione degli amministratori delegati, mentre il ransomware resta la minaccia numero uno per i responsabili della sicurezza informatica. In Italia il quadro \u00e8 coerente: il report Data Gathering 2026 segnala per il 2025 un aumento del 48% dell’attivit\u00e0 malevola, mentre il CERT-AGID ha registrato oltre 3.600 campagne dannose nello stesso anno. La revisione del Cybersecurity Act nasce per dare all’Europa strumenti operativi, non solo regole sulla carta.<\/p>\n\n\n\n

La proposta del 20 gennaio 2026: cosa cambia davvero<\/h2>\n\n\n\n

La proposta di regolamento \u00e8 stata pubblicata dalla Commissione il 20 gennaio 2026 ed \u00e8 oggi consultabile nella biblioteca documentale della DG CONNECT. Il testo \u00e8 ancora una proposta legislativa: dovr\u00e0 passare il negoziato con Parlamento e Consiglio prima di diventare legge, quindi i dettagli possono cambiare. Questo \u00e8 il primo punto da fissare, perch\u00e9 molte sintesi circolate online trattano gi\u00e0 come definitivi elementi che restano in discussione.<\/p>\n\n\n\n

Gli obiettivi dichiarati dalla Commissione sono quattro: aumentare le capacit\u00e0 e la resilienza cyber dell’Unione, prevenire la frammentazione tra normative nazionali, rafforzare la sicurezza della catena di approvvigionamento ICT e semplificare la certificazione per rendere i prodotti “sicuri per progettazione”. Quest’ultimo punto riprende il principio del secure by design<\/em> gi\u00e0 presente nel Cyber Resilience Act e prova a estenderlo con un processo di certificazione pi\u00f9 snello.<\/p>\n\n\n\n

Le analisi indipendenti del settore, come quelle di Nemko Digital e di OpenKRITIS, leggono la proposta come uno spostamento netto dal modello del 2019. Dove il Regolamento (UE) 2019\/881 si concentrava su certificazione e ruolo di supporto di ENISA, il cybersecurity act 2.0<\/strong> aggiunge controlli sulla supply chain, un mandato pi\u00f9 operativo per l’agenzia e un legame esplicito con gli emendamenti mirati alla NIS2. Resta da capire quanto di questo impianto sopravviver\u00e0 al passaggio parlamentare, ma la direzione politica \u00e8 chiara.<\/p>\n\n\n\n

Da ENISA consultiva a ENISA operativa<\/h2>\n\n\n\n

Il cambiamento pi\u00f9 discusso riguarda ENISA. La pagina della Commissione conferma che la proposta intende rafforzare l’agenzia nel supporto a Stati membri e istituzioni nella gestione delle minacce. Le analisi di settore vanno oltre e descrivono un passaggio da un ruolo prevalentemente consultivo a uno operativo: gestione di repository di minacce e incidenti, emissione di allerte precoci, coordinamento delle esercitazioni e gestione di una piattaforma unificata di notifica degli incidenti.<\/p>\n\n\n\n

Su un punto serve cautela. Una parte delle analisi, in particolare quella di Nemko Digital, riferisce di un aumento del budget di ENISA di oltre il 75% per sostenere queste nuove responsabilit\u00e0, e dell’obbligo per ogni Stato membro di designare due ufficiali di collegamento. Queste cifre non risultano confermate da una fonte ufficiale della Commissione nei documenti pubblici disponibili al 15 giugno 2026 e vanno quindi trattate come indicazioni di analisi, non come dato di legge. Lo stesso vale per la cosiddetta Riserva di cibersicurezza dell’UE<\/strong>, un fondo operativo che ENISA dovrebbe gestire: la sua esistenza \u00e8 citata da fonti secondarie, ma scopo, finanziamento e basi giuridiche restano da verificare nel testo finale.<\/p>\n\n\n\n

Se confermato, il salto da ENISA “advisory” a ENISA “operativa” sarebbe il vero spartiacque della riforma. Significherebbe un centro europeo capace di vedere gli incidenti in tempo quasi reale e di coordinare la risposta tra 27 Stati membri, riducendo la dipendenza dai singoli CSIRT nazionali nei casi transfrontalieri. \u00c8 esattamente il tipo di capacit\u00e0 che \u00e8 mancata in episodi recenti come l’attacco alla Commissione europea e le campagne ransomware contro gli aeroporti europei.<\/p>\n\n\n\n

Il portale unico per la segnalazione degli incidenti<\/h2>\n\n\n\n

Oggi un’azienda europea colpita da un attacco pu\u00f2 dover notificare l’incidente a pi\u00f9 autorit\u00e0, con tempistiche e formati diversi, a seconda che ricada sotto NIS2, GDPR, Cyber Resilience Act o regole settoriali. Questa sovrapposizione genera costi, ritardi e segnalazioni incomplete proprio nei momenti di crisi. La proposta affronta il problema con un portale unico di segnalazione<\/strong>, un punto di accesso singolo gestito nell’ambito degli strumenti operativi di ENISA.<\/p>\n\n\n\n

La richiesta di armonizzare la notifica degli incidenti non nasce dal nulla. Gi\u00e0 nel giugno 2025, durante la consultazione sulla revisione del Cybersecurity Act, la Cybersecurity Coalition e la CR2 avevano sollecitato la Commissione ad armonizzare gli obblighi di reporting tra le diverse normative e a creare una piattaforma di segnalazione a livello europeo. La proposta del 2026 recepisce questa istanza, anche se la forma giuridica definitiva del meccanismo resta allo stadio di progetto.<\/p>\n\n\n\n

Per i responsabili della sicurezza l’effetto potenziale \u00e8 concreto: una sola segnalazione, un solo formato, una sola scadenza. Per chi gestisce infrastrutture critiche in pi\u00f9 Paesi, la semplificazione del reporting pu\u00f2 valere quanto un nuovo controllo tecnico, perch\u00e9 libera tempo e personale durante l’incidente. Resta il nodo del coordinamento con gli obblighi GDPR, che restano in capo alle autorit\u00e0 per la protezione dei dati e non confluiscono automaticamente nel portale cyber.<\/p>\n\n\n\n

Catena di approvvigionamento ICT e fornitori ad alto rischio<\/h2>\n\n\n\n

Il terzo pilastro della riforma \u00e8 la sicurezza della catena di approvvigionamento. Secondo le analisi disponibili, la proposta introduce un quadro per i fornitori ad alto rischio<\/strong> relativo agli asset ICT chiave, con possibili restrizioni e obblighi di dismissione progressiva per le componenti pi\u00f9 sensibili delle filiere dei settori critici. \u00c8 un’impostazione che ricorda, sul piano della logica, le misure gi\u00e0 adottate da alcuni Stati membri sulle reti 5G, ora estese a un perimetro pi\u00f9 ampio.<\/p>\n\n\n\n

Le stesse fonti indicano che il quadro coprirebbe i 18 settori critici dell’economia europea gi\u00e0 definiti dalla NIS2, dall’energia ai trasporti, dalla sanit\u00e0 alle infrastrutture digitali. Va precisato che il numero dei 18 settori \u00e8 solidamente ancorato alla NIS2 nella documentazione ufficiale della Commissione, mentre l’estensione puntuale del meccanismo sui fornitori ad alto rischio \u00e8 descritta soprattutto da analisi secondarie e andr\u00e0 confermata nel testo finale.<\/p>\n\n\n\n

L’impatto industriale \u00e8 significativo. Un obbligo di phase-out per determinati fornitori costringerebbe gli operatori essenziali a rivedere contratti pluriennali, qualificare alternative e gestire migrazioni tecnologiche complesse. Per molte aziende italiane, fortemente dipendenti da hardware e software extra-UE, questo \u00e8 il capitolo della riforma con le conseguenze economiche pi\u00f9 dirette, ben oltre la semplice conformit\u00e0 documentale.<\/p>\n\n\n\n

Cybersecurity Act 2019 contro la proposta 2.0 del 2026<\/h2>\n\n\n\n

La tabella che segue riassume le differenze principali tra il regolamento in vigore e la proposta. Le voci marcate come “proposta” non sono ancora legge e dipendono dall’esito del negoziato tra Parlamento e Consiglio.<\/p>\n\n\n\n

Elemento<\/th>Cybersecurity Act 2019 (Reg. UE 2019\/881)<\/th>Cybersecurity Act 2.0 (proposta 2026)<\/th><\/tr><\/thead>
Ruolo di ENISA<\/td>Mandato permanente, funzione di supporto e consulenza<\/td>Ruolo operativo: repository incidenti, allerte, esercitazioni (proposta)<\/td><\/tr>
Certificazione ICT<\/td>Quadro europeo di certificazione volontaria<\/td>Processo semplificato, principio secure by design (proposta)<\/td><\/tr>
Segnalazione incidenti<\/td>Obblighi dispersi tra norme diverse<\/td>Portale unico di notifica gestito da ENISA (proposta)<\/td><\/tr>
Catena di approvvigionamento<\/td>Non disciplinata in modo specifico<\/td>Quadro fornitori ad alto rischio e phase-out (proposta)<\/td><\/tr>
Rapporto con NIS2<\/td>Normative separate<\/td>Emendamenti mirati e semplificazione coordinata<\/td><\/tr>
Budget e risorse ENISA<\/td>Dotazione esistente<\/td>Aumento riportato oltre il 75% secondo analisi (non confermato)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il pacchetto: NIS2, Cyber Resilience Act e semplificazione<\/h2>\n\n\n\n

Il cybersecurity act 2.0<\/strong> non viaggia da solo. Lo stesso 20 gennaio 2026 la Commissione ha proposto emendamenti mirati alla direttiva NIS2, presentati come operazione di semplificazione per ridurre la frammentazione ed evitare un “mosaico legislativo”. Secondo i dati della Commissione, gli emendamenti mirano a facilitare la conformit\u00e0 per 28.700 aziende, di cui 6.200 micro e piccole imprese. \u00c8 il numero verificato pi\u00f9 solido dell’intero pacchetto e misura bene l’ambizione di alleggerire il carico sulle realt\u00e0 pi\u00f9 piccole.<\/p>\n\n\n\n

La direttiva NIS2 resta il riferimento per gli obblighi di gestione del rischio e prevede sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale importo sia maggiore, per i soggetti essenziali, oltre alla possibilit\u00e0 di interdizione per gli organi di gestione in caso di gravi inadempienze. Il Cyber Resilience Act, dal canto suo, sposta l’attenzione sui prodotti con elementi digitali e sui loro obblighi di sicurezza lungo il ciclo di vita. La revisione del Cybersecurity Act prova a far dialogare questi tre testi attraverso reporting armonizzato e audit coordinati.<\/p>\n\n\n\n

Le analisi collocano questa operazione nel pi\u00f9 ampio Digital Omnibus<\/strong>, il pacchetto di semplificazione digitale dell’Unione che immagina una futura piattaforma unificata di notifica. La logica politica \u00e8 duplice: da un lato rispondere alle imprese che lamentano costi di conformit\u00e0 crescenti, dall’altro mantenere standard di sicurezza elevati in un contesto di minacce in aumento. \u00c8 un equilibrio delicato, e sar\u00e0 uno dei punti pi\u00f9 contesi del negoziato.<\/p>\n\n\n\n

Impatto sull’Italia: ACN, decreto 138\/2024 e imprese<\/h2>\n\n\n\n

L’Italia ha recepito la NIS2 con il decreto legislativo 138\/2024<\/strong>, entrato in vigore il 16 ottobre 2024. La gestione operativa \u00e8 affidata all’Agenzia per la Cybersicurezza Nazionale, che ha aperto la finestra di registrazione dei soggetti obbligati tra il 1 gennaio e il 28 febbraio 2026 attraverso il proprio portale. Secondo i tracker di recepimento, in Italia risultavano registrati migliaia di soggetti, con ordini di grandezza intorno a 1.500 soggetti essenziali e 2.500 soggetti importanti, una cifra che riflette le registrazioni effettuate e non l’intero universo regolato.<\/p>\n\n\n\n

Per le aziende italiane il cybersecurity act 2.0<\/strong> aggiunge un livello europeo sopra l’impianto nazionale gi\u00e0 costruito da ACN. Se la riforma introdurr\u00e0 davvero un portale unico di segnalazione e un coordinamento operativo di ENISA, le imprese con operazioni in pi\u00f9 Paesi potrebbero notificare gli incidenti una sola volta invece di replicare la procedura davanti a ogni autorit\u00e0 nazionale. \u00c8 un vantaggio per i gruppi multinazionali e per i fornitori di servizi cloud e di telecomunicazioni che operano oltre confine.<\/p>\n\n\n\n

Il rovescio della medaglia riguarda la supply chain. Molte PMI italiane sono fornitrici di operatori essenziali e dovranno dimostrare standard di sicurezza adeguati per restare nelle filiere critiche. Le eventuali regole sui fornitori ad alto rischio potrebbero escludere alcune tecnologie oggi diffuse, imponendo migrazioni costose. Il tessuto produttivo italiano, fatto di subfornitura e di forte dipendenza tecnologica dall’estero, \u00e8 tra i pi\u00f9 esposti a questo capitolo della riforma.<\/p>\n\n\n\n

Scadenze e numeri chiave della riforma<\/h2>\n\n\n\n

La seconda tabella raccoglie le date e i numeri verificati pi\u00f9 rilevanti per orientarsi tra normativa europea e attuazione italiana al 15 giugno 2026.<\/p>\n\n\n\n

Voce<\/th>Dato<\/th>Fonte<\/th><\/tr><\/thead>
Proposta Cybersecurity Act 2.0<\/td>20 gennaio 2026<\/td>Commissione europea<\/td><\/tr>
Cybersecurity Act originale<\/td>Regolamento (UE) 2019\/881<\/td>EUR-Lex<\/td><\/tr>
Settori critici NIS2<\/td>18 settori<\/td>Commissione europea<\/td><\/tr>
Aziende interessate dalla semplificazione<\/td>28.700 (di cui 6.200 micro e piccole)<\/td>Commissione europea<\/td><\/tr>
Sanzioni NIS2 (soggetti essenziali)<\/td>Fino a 10 mln \u20ac o 2% del fatturato globale<\/td>Analisi giuridiche su NIS2<\/td><\/tr>
Recepimento NIS2 in Italia<\/td>D.Lgs 138\/2024, in vigore dal 16 ottobre 2024<\/td>Normativa italiana<\/td><\/tr>
Registrazione ACN soggetti NIS2<\/td>1 gennaio – 28 febbraio 2026<\/td>ACN<\/td><\/tr>
Campagne malevole in Italia (2025)<\/td>Oltre 3.600<\/td>CERT-AGID<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Impatto di mercato e costi di conformit\u00e0<\/h2>\n\n\n\n

Sul piano economico, la prudenza \u00e8 d’obbligo: nei documenti pubblici disponibili al 15 giugno 2026 non c’\u00e8 una stima ufficiale del costo complessivo della riforma n\u00e9 una proiezione verificabile della dimensione del mercato cyber europeo nel 2026 da parte di una singola societ\u00e0 di ricerca. Per questo non riportiamo cifre di mercato non confermate. Il dato economico pi\u00f9 solido resta quello della Commissione sulle 28.700 aziende che dovrebbero beneficiare della semplificazione degli obblighi.<\/p>\n\n\n\n

La direzione, per\u00f2, \u00e8 leggibile. La semplificazione del reporting e l’alleggerimento per le piccole imprese puntano a ridurre i costi di conformit\u00e0, che secondo le associazioni di categoria sono cresciuti con la stratificazione di NIS2, GDPR, DORA e Cyber Resilience Act. In parallelo, le eventuali regole sulla supply chain e il rafforzamento operativo di ENISA potrebbero generare nuovi investimenti in fornitori certificati, servizi di risposta agli incidenti e audit. \u00c8 un mercato che si riorganizza pi\u00f9 che ridursi.<\/p>\n\n\n\n

Per gli operatori del settore della sicurezza, la riforma apre opportunit\u00e0 precise: servizi di conformit\u00e0 coordinata multi-normativa, piattaforme di reporting integrato, consulenza sulla qualificazione dei fornitori. Per le aziende clienti, l’orizzonte \u00e8 un consolidamento dei budget cyber attorno a pochi obblighi armonizzati invece di molti requisiti sovrapposti. Chi gestisce il rischio ransomware in Italia<\/a> sa quanto questa razionalizzazione possa pesare sui conti.<\/p>\n\n\n\n

Confronto competitivo: UE, Stati Uniti e Regno Unito<\/h2>\n\n\n\n

La scelta europea di un’agenzia centrale operativa e di un portale unico di segnalazione segna una differenza di modello rispetto agli altri grandi blocchi regolatori. Negli Stati Uniti l’impianto resta pi\u00f9 settoriale e frammentato tra agenzie federali, con la CISA come riferimento per le infrastrutture critiche ma senza un equivalente diretto del quadro di certificazione europeo. Il Regno Unito, post-Brexit, segue una via propria centrata sul National Cyber Security Centre e su un approccio basato su linee guida pi\u00f9 che su obblighi orizzontali uniformi.<\/p>\n\n\n\n

Il valore competitivo della scelta europea sta nell’effetto rete. Un portale unico e un coordinamento centrale di ENISA, se realizzati, darebbero all’Unione una visibilit\u00e0 transfrontaliera sugli incidenti difficile da replicare in sistemi pi\u00f9 frammentati. Il rischio speculare \u00e8 la lentezza: armonizzare 27 ordinamenti richiede tempo, e il divario tra Stati membri sul recepimento NIS2 lo dimostra. A inizio 2026 i tracker indicavano tra 20 e 23 Stati membri su 27 che avevano completato il recepimento, a seconda della metodologia.<\/p>\n\n\n\n

Per le imprese globali, la posta in gioco \u00e8 l’interoperabilit\u00e0 normativa. Un’azienda che opera su entrambe le sponde dell’Atlantico deve oggi conciliare obblighi europei sempre pi\u00f9 strutturati con un quadro statunitense pi\u00f9 flessibile ma meno prevedibile. La riforma europea, puntando sulla semplificazione interna, prova a trasformare la complessit\u00e0 da svantaggio competitivo a fattore di affidabilit\u00e0.<\/p>\n\n\n\n

Contesto storico: dal 2019 al 2026<\/h2>\n\n\n\n

Per capire la portata della riforma conviene guardare indietro. Nel 2019 il Cybersecurity Act dava ad ENISA un mandato permanente e creava il quadro di certificazione, ma in un’epoca in cui la cybersicurezza era ancora vista come questione tecnica pi\u00f9 che strategica. Tra il 2022 e il 2023 sono arrivate NIS2 e il regolamento DORA, mentre il Cyber Resilience Act ha chiuso il cerchio sui prodotti digitali. Ogni testo ha risolto un problema specifico, ma la somma ha generato sovrapposizioni.<\/p>\n\n\n\n

Il 2024 e il 2025 sono stati gli anni dell’attuazione difficile. La scadenza di recepimento NIS2 del 17 ottobre 2024 \u00e8 stata mancata da molti Stati membri: a fine novembre 2024 la Commissione aveva aperto procedure di infrazione contro 23 Paesi, e a maggio 2025 sono arrivati i pareri motivati a 19 Stati membri. \u00c8 in questo clima di ritardi e frammentazione che matura la decisione di rivedere il Cybersecurity Act, non per aggiungere regole ma per cucirle insieme.<\/p>\n\n\n\n

Il 2026 si apre quindi con un cambio di filosofia. Dopo anni di produzione normativa intensa, Bruxelles sceglie il consolidamento operativo: meno testi nuovi, pi\u00f9 capacit\u00e0 concrete di risposta e meno burocrazia per chi \u00e8 gi\u00e0 in regola. Chi segue il panorama delle minacce di ENISA<\/a> riconosce in questa svolta la risposta diretta a un decennio di incidenti crescenti.<\/p>\n\n\n\n

Cosa dicono le istituzioni europee<\/h2>\n\n\n\n

Sulle posizioni espresse pubblicamente serve onest\u00e0 metodologica. Al 15 giugno 2026 non risulta una dichiarazione personale verificabile, riconducibile parola per parola a un singolo funzionario europeo, che sia citabile in sicurezza su questa proposta. Per questo riportiamo le posizioni istituzionali documentate, senza attribuirle in modo improprio a persone fisiche.<\/p>\n\n\n\n

La Commissione europea<\/strong>, nella documentazione ufficiale della proposta, presenta il pacchetto come strumento per rafforzare la resilienza e le capacit\u00e0 cyber dell’Unione e per facilitare la conformit\u00e0 alle regole esistenti. La Cybersecurity Coalition<\/strong> e la CR2, nella consultazione del giugno 2025, hanno chiesto formalmente di armonizzare gli obblighi di segnalazione tra normative diverse e di creare una piattaforma unica a livello europeo, posizione poi recepita nell’impianto della proposta. DIGITALEUROPE<\/strong>, nei suoi documenti di monitoraggio, ha pi\u00f9 volte segnalato come la frammentazione del recepimento NIS2 pesi sulle imprese paneuropee.<\/p>\n\n\n\n

Anche le analisi tecniche indipendenti convergono. OpenKRITIS descrive la pubblicazione del 20 gennaio 2026 come una bozza articolata, con allegati e proposte di aggiornamento, mentre Nemko Digital legge la riforma come uno spostamento del baricentro verso un ENISA operativo. Tenere distinte le fonti ufficiali da quelle di analisi \u00e8 essenziale per non spacciare per legge ci\u00f2 che \u00e8 ancora proposta.<\/p>\n\n\n\n

Cinque previsioni per il 2026 e il 2027<\/h2>\n\n\n\n

Sulla base dei dati verificati e della direzione politica, ecco cinque scenari plausibili, da leggere come previsioni e non come certezze.<\/p>\n\n\n\n