{"id":263,"date":"2026-06-20T07:00:00","date_gmt":"2026-06-20T07:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/?p=263"},"modified":"2026-06-20T08:40:44","modified_gmt":"2026-06-20T08:40:44","slug":"eu-cybersecurity-act-2-nis2-semplificazione-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/20\/eu-cybersecurity-act-2-nis2-semplificazione-2026\/","title":{"rendered":"EU Cybersecurity Act 2.0: 30.000 Aziende Liberate da NIS2 [2026]"},"content":{"rendered":"\n

L’11 giugno 2026, la Commissione Europea ha presentato un pacchetto legislativo che ridisegna la sicurezza informatica dell’Unione Europea su due assi distinti: la semplificazione della direttiva NIS2 per quasi 30.000 aziende e un nuovo framework vincolante per i fornitori ICT ad alto rischio. Per la prima volta, Bruxelles si dota di uno strumento che consente di escludere un singolo fornitore tecnologico dal mercato europeo, anche senza che il suo paese d’origine sia classificato come “paese di interesse”.<\/p>\n\n\n\n

Il pacchetto \u00e8 composto da tre pilastri: la revisione della direttiva NIS2, le modifiche al Cybersecurity Act del 2019 e una comunicazione sulla sicurezza della catena di fornitura ICT. Henna Virkkunen, Vicepresidente esecutiva della Commissione Europea, ha dichiarato che le misure rimuovono “il carico di conformit\u00e0 da quasi 30.000 aziende”, incluse “oltre 6.000 micro e piccole imprese”, con l’obiettivo di concentrare gli obblighi sulle entit\u00e0 che rappresentano rischi sistemici reali.<\/p>\n\n\n\n

Il Pacchetto UE dell’11 Giugno 2026: Tre Misure in Una<\/h2>\n\n\n\n

Il pacchetto della Commissione del giugno 2026 si innesta su un processo avviato a gennaio 2026, quando la Commissione aveva pubblicato la proposta formale di modifica del Cybersecurity Act. L’annuncio dell’11 giugno ha consolidato tutte le misure in un unico quadro politico coerente, aprendo la procedura legislativa ordinaria al Parlamento Europeo e al Consiglio dell’UE.<\/p>\n\n\n\n

Il primo pilastro affronta la frammentazione normativa prodotta dall’implementazione nazionale di NIS2: 27 recepimenti diversi hanno generato requisiti non omogenei tra gli Stati membri, aumentando i costi per le aziende che operano in pi\u00f9 paesi. Il secondo pilastro introduce il framework per i fornitori ad alto rischio, uno strumento di sicurezza economica che va ben oltre la cybersecurity tradizionale. Il terzo pilastro rafforza il mandato dell’Agenzia europea per la cybersecurity ENISA, assegnandole nuovi compiti di certificazione per i servizi di sicurezza gestiti.<\/p>\n\n\n\n

Il contesto politico \u00e8 decisivo: il pacchetto arriva dopo mesi di pressioni da parte dell’industria tecnologica europea, che aveva segnalato costi di conformit\u00e0 sproporzionati per le PMI, e dopo l’esercitazione Cyber Europe 2026 del 17 giugno, che ha coinvolto oltre 5.000 esperti testando la risposta coordinata UE ad attacchi su reti ferroviarie e portuali. I risultati hanno evidenziato lacune nella condivisione delle informazioni tra Stati membri, rafforzando la logica del pacchetto.<\/p>\n\n\n\n

NIS2 Semplificata: 28.700 Aziende Alleggerite dai Requisiti<\/h2>\n\n\n\n

La revisione della direttiva NIS2 \u00e8 la misura con l’impatto pi\u00f9 immediato. La Commissione stima che 28.700 aziende beneficeranno di una riduzione degli obblighi di conformit\u00e0, con tre categorie distinte che ricevono trattamenti differenziati.<\/p>\n\n\n\n

Le micro e piccole imprese, circa 6.200 entit\u00e0, vengono esentate dalla maggior parte degli obblighi di reporting e gestione del rischio. Sotto la NIS2 originale, anche una societ\u00e0 con 10 dipendenti che operava in un settore essenziale doveva implementare sistemi di notifica degli incidenti e audit periodici, con costi stimati tra 50.000 e 120.000 euro annui secondo i dati raccolti dalla Commissione nella consultazione pubblica del 2025.<\/p>\n\n\n\n

Il secondo gruppo, che la proposta definisce “small midcap enterprises”, \u00e8 la novit\u00e0 pi\u00f9 rilevante. Questa categoria, circa 22.000 aziende, beneficia di requisiti semplificati ma non azzerati: mantengono l’obbligo di notificare gli incidenti significativi e di condurre valutazioni del rischio, ma attraverso procedure standardizzate e meno onerose rispetto ai grandi operatori. La logica \u00e8 proporzionale: le entit\u00e0 che non hanno capacit\u00e0 di causare effetti sistemici sull’infrastruttura critica non devono sostenere gli stessi oneri delle banche sistemiche o degli operatori energetici nazionali.<\/p>\n\n\n\n

Il terzo cambiamento strutturale riguarda il punto di notifica. La NIS2 originale imponeva notifiche multiple, spesso a pi\u00f9 autorit\u00e0 nazionali con formati diversi. Il pacchetto introduce un unico punto di accesso per le notifiche di incidenti, riducendo la duplicazione burocratica e tagliando, secondo le stime della Commissione, i tempi di compliance del 35% per le aziende transfrontaliere.<\/p>\n\n\n\n

Chi Rimane Fuori dalla Semplificazione<\/h2>\n\n\n\n

La riduzione degli obblighi si applica in modo selettivo. Le entit\u00e0 nei settori pi\u00f9 critici, classificati come “essenziali” dalla NIS2 originale, mantengono tutti i requisiti esistenti o li vedono intensificati. Questi includono operatori di infrastrutture critiche (energia, acqua, trasporti, sanit\u00e0), fornitori di servizi digitali sistemici e operatori di infrastrutture di comunicazione elettronica.<\/p>\n\n\n\n

Il rischio principale, segnalato da diversi esperti legali, \u00e8 che la semplificazione crei un perimetro ambiguo tra le categorie. Un’azienda di medie dimensioni che fornisce software gestionale a ospedali potrebbe trovarsi in una zona grigia: non \u00e8 essa stessa un operatore sanitario, ma la sua compromissione potrebbe avere effetti a cascata su entit\u00e0 essenziali. La proposta della Commissione delega agli Stati membri la risoluzione di questi casi limite, il che potrebbe riprodurre la frammentazione che il pacchetto intende risolvere.<\/p>\n\n\n\n

Il Framework per i Fornitori ICT ad Alto Rischio: Il Cuore della Proposta<\/h2>\n\n\n\n

Il secondo pilastro del pacchetto \u00e8 il pi\u00f9 dirompente sotto il profilo geopolitico. Per la prima volta, l’Unione Europea si dota di uno strumento giuridico che consente di designare un fornitore di tecnologie ICT come “ad alto rischio” e di imporre restrizioni al suo utilizzo nell’infrastruttura critica europea.<\/p>\n\n\n\n

Il meccanismo funziona su due livelli. Nel primo livello, la Commissione identifica un “paese di interesse”, ovvero uno Stato terzo il cui contesto normativo, di intelligence o geopolitico pone rischi sistemici per la sicurezza delle reti europee. Nel secondo livello, a partire da questa designazione, la Commissione identifica i fornitori ICT specifici collegati a quel paese e valuta se le loro componenti, prodotti o servizi debbano essere soggetti a restrizioni.<\/p>\n\n\n\n

La clausola pi\u00f9 discussa consente alla Commissione, in situazioni eccezionali, di applicare restrizioni direttamente a una specifica azienda anche se il suo paese d’origine non \u00e8 stato designato come paese di interesse. Questo significa che un fornitore con sede in un paese neutro ma con propriet\u00e0 o struttura di governance che la Commissione ritiene rischiosa potrebbe essere bersagliato direttamente. La proposta non specifica criteri espliciti per questa valutazione, lasciando ampia discrezionalit\u00e0 alla Commissione. I critici considerano questa mancanza di criteri un rischio per la certezza giuridica e per le relazioni commerciali internazionali.<\/p>\n\n\n\n

Il framework si applica a 18 settori critici identificati dalla proposta. Le restrizioni possono includere il divieto di utilizzo di componenti specifici nelle reti 5G, nei sistemi di controllo industriale (ICS\/SCADA) e nelle infrastrutture cloud che gestiscono dati classificati o dati personali su scala sistemica.<\/p>\n\n\n\n

Settore Critico<\/th>Tipologia di Restrizione Possibile<\/th>Principali Soggetti IT Interessati<\/th><\/tr><\/thead>
Energia (elettricit\u00e0, gas, idrocarburi)<\/td>Divieto componenti SCADA da fornitori ad alto rischio<\/td>Terna, Eni, Enel<\/td><\/tr>
Trasporti (ferrovie, porti, aviazione)<\/td>Restrizioni su sistemi di controllo del traffico<\/td>RFI, ENAC, AdSP<\/td><\/tr>
Settore bancario e finanziario<\/td>Audit aggiuntivi su cloud provider<\/td>Banche sistemiche, CCP<\/td><\/tr>
Infrastrutture sanitarie<\/td>Revisione supply chain software ospedaliero<\/td>ASL, ospedali universitari<\/td><\/tr>
Acqua potabile e acque reflue<\/td>Valutazione fornitori sistemi di controllo<\/td>Gestori idrici nazionali<\/td><\/tr>
Infrastrutture digitali (IXP, DNS, cloud)<\/td>Requisiti di localizzazione dati<\/td>CDN, registrar, CSP<\/td><\/tr>
Telecomunicazioni (reti 5G)<\/td>Mappatura e restrizione vendor 5G<\/td>TIM, Vodafone IT, WindTre<\/td><\/tr>
Spazio (infrastrutture terrestri)<\/td>Verifica catena di fornitura componenti<\/td>Telespazio, ASI<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Paesi di Interesse: Come Funziona la Designazione<\/h2>\n\n\n\n

Il meccanismo dei “paesi di interesse” \u00e8 il dispositivo pi\u00f9 politicamente sensibile del pacchetto. La Commissione valuter\u00e0 una serie di fattori per designare un paese come potenzialmente rischioso per la catena di fornitura ICT europea: il quadro normativo interno in materia di intelligence e accesso ai dati, la storia di attivit\u00e0 statali o para-statali nel dominio cyber, la posizione geopolitica nei confronti dell’UE e il livello di cooperazione con le strutture di sicurezza europee.<\/p>\n\n\n\n

La designazione di un paese non comporta automaticamente restrizioni su tutti i fornitori di quel paese: la Commissione deve compiere un secondo passo, identificando i fornitori ICT specifici i cui prodotti o servizi sono integrati nelle infrastrutture critiche europee e valutando il rischio concreto. Solo a quel punto pu\u00f2 adottare misure di mitigazione, che vanno dalla richiesta di audit indipendenti al divieto graduale di utilizzo.<\/p>\n\n\n\n

La clausola di emergenza, che consente di colpire direttamente un fornitore senza designare il suo paese, \u00e8 pensata per casi in cui la struttura aziendale del fornitore, ad esempio una propriet\u00e0 di fatto controllata da un governo straniero attraverso strutture societarie opache, pone rischi indipendentemente dalla nazionalit\u00e0 formale. Questo strumento \u00e8 ispirato al precedente stabilito negli Stati Uniti con i poteri FISA e alle restrizioni applicate a specifici vendor nelle procedure di appalto pubblico.<\/p>\n\n\n\n

ENISA Rafforziata: Certificazione e Risposta agli Incidenti<\/h2>\n\n\n\n

Il terzo pilastro del pacchetto modifica il mandato dell’Agenzia europea per la cybersecurity. Le modifiche al Cybersecurity Act, avviate con l’emendamento del 15 gennaio 2025 che aveva introdotto la base giuridica per la certificazione dei servizi di sicurezza gestiti, vengono ora completate con l’assegnazione di nuovi poteri operativi.<\/p>\n\n\n\n

ENISA riceve il mandato di produrre schemi candidati per la certificazione entro 12 mesi da una richiesta formale della Commissione. Questa tempistica standardizzata risolve uno dei problemi pratici del framework precedente, dove i processi di certificazione potevano protrarsi per anni senza obblighi di calendario precisi.<\/p>\n\n\n\n

I servizi di sicurezza gestiti che potranno essere certificati includono risposta agli incidenti, test di penetrazione, audit di sicurezza e consulenza strategica. La certificazione \u00e8 volontaria per le aziende private, ma il pacchetto prevede che le entit\u00e0 essenziali debbano preferire fornitori certificati ENISA per i servizi di sicurezza esternalizzati. In pratica, la certificazione diventa un prerequisito de facto per lavorare con le infrastrutture critiche europee.<\/p>\n\n\n\n

ENISA riceve anche un ruolo ampliato nell’early warning: l’agenzia potr\u00e0 emettere allerte precoci su vulnerabilit\u00e0 critiche, mantenere repository di incidenti a livello europeo e fornire supporto tecnico diretto agli Stati membri durante crisi informatiche di rilievo sistemico. Il pacchetto prevede esplicitamente che ENISA possa essere attivata per fornire supporto all’Ucraina in caso di attacchi informatici su larga scala.<\/p>\n\n\n\n

Cyber Europe 2026: 5.000 Esperti, Ferrovie e Porti nel Mirino<\/h2>\n\n\n\n

Il 17 giugno 2026, pochi giorni dopo il lancio del pacchetto, si \u00e8 svolta l’esercitazione biennale Cyber Europe 2026, coordinata da ENISA e dalla rete CyCLONe delle autorit\u00e0 nazionali. L’esercitazione ha coinvolto oltre 5.000 esperti da tutta l’Unione Europea e ha simulato attacchi coordinati su reti ferroviarie e infrastrutture portuali.<\/p>\n\n\n\n

Cyber Europe \u00e8 l’esercitazione di riferimento per la cyber resilience europea: la prima edizione risale al 2010 e ogni ciclo biennale mette alla prova capacit\u00e0 tecniche, protocolli di comunicazione e coordinamento tra autorit\u00e0 nazionali. L’edizione 2026 \u00e8 stata la prima a testare specificamente gli scenari di attacco a infrastrutture di trasporto multimodali, combinando disruption di sistemi di controllo ferroviario con attacchi ai sistemi di gestione portuale.<\/p>\n\n\n\n

I risultati preliminari dell’esercitazione hanno evidenziato tre criticit\u00e0 principali: tempi di condivisione delle informazioni tra CSIRT nazionali ancora superiori alle 4 ore in scenari di crisi acuta, difficolt\u00e0 nell’attribuire rapidamente la responsabilit\u00e0 degli attacchi in contesti multi-vettore e carenze negli scambi di informazioni in tempo reale tra settore pubblico e operatori privati delle infrastrutture critiche. Queste lacune hanno rafforzato la logica delle misure presentate dalla Commissione, in particolare del punto di notifica unico e del potenziamento del mandato ENISA.<\/p>\n\n\n\n

Confronto: NIS2 Originale vs Pacchetto Semplificazione 2026<\/h2>\n\n\n\n
Dimensione<\/th>NIS2 Originale (2022)<\/th>Pacchetto 2026<\/th>Variazione<\/th><\/tr><\/thead>
Aziende soggette (UE)<\/td>~150.000<\/td>~121.300<\/td>-19% (-28.700)<\/td><\/tr>
Micro e piccole imprese<\/td>Incluse se in settori essenziali<\/td>Esentate dalla maggior parte degli obblighi<\/td>-6.200 entit\u00e0<\/td><\/tr>
Punti di notifica incidenti<\/td>Multipli (per paese e settore)<\/td>Unico punto di accesso UE<\/td>Riduzione stimata >60% duplicazioni<\/td><\/tr>
Framework fornitori ICT<\/td>Assente<\/td>Meccanismo paesi di interesse + vendor<\/td>Nuovo strumento<\/td><\/tr>
Certificazione ENISA<\/td>Volontaria, nessuna scadenza<\/td>Volontaria, ma preferenziale; 12 mesi per schemi<\/td>De facto obbligatoria per settori critici<\/td><\/tr>
Costo medio conformit\u00e0 PMI<\/td>50.000-120.000 euro\/anno<\/td>Stimato -35% per aziende nella nuova categoria<\/td>Risparmio stimato ~40.000 euro\/anno<\/td><\/tr>
Sanzioni massime<\/td>10M euro o 2% del fatturato globale<\/td>Invariate<\/td>Nessuna variazione<\/td><\/tr>
Settori critici coperti<\/td>11 settori<\/td>18 settori<\/td>+7 settori<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Impatto sull’Italia: 12.000 Aziende e l’ACN Come Perno<\/h2>\n\n\n\n

L’Italia ha recepito la direttiva NIS2 con il decreto legislativo 138 del 2024, identificando oltre 12.000 aziende soggette agli obblighi. L’Agenzia per la Cybersicurezza Nazionale gestisce il registro nazionale delle entit\u00e0 soggette ed \u00e8 l’autorit\u00e0 competente per le notifiche e le verifiche di conformit\u00e0.<\/p>\n\n\n\n

Il pacchetto del giugno 2026 richieder\u00e0 un ulteriore intervento normativo italiano. Una parte delle 12.000 aziende attualmente registrate potrebbe rientrare nella nuova categoria “small midcap” e beneficiare degli obblighi ridotti, ma l’ACN dovr\u00e0 aggiornare i propri registri e le proprie procedure di supervisione solo dopo il recepimento nazionale del pacchetto europeo, atteso tra la fine del 2026 e il 2027.<\/p>\n\n\n\n

Sul fronte dei fornitori ICT ad alto rischio, l’Italia \u00e8 gi\u00e0 attiva: l’ACN ha condotto audit su vendor 5G e ha contribuito alla mappatura europea delle catene di fornitura critiche avviata nel contesto della Toolbox 5G UE. Il nuovo framework europeo consolida e formalizza strumenti che in Italia esistevano gi\u00e0 in forma parziale o settoriale.<\/p>\n\n\n\n

Un aspetto rilevante per il mercato italiano riguarda i grandi operatori delle infrastrutture critiche nazionali. Aziende come Terna (energia), RFI (ferrovie), Eni ed Enel, oltre ai principali istituti bancari sistemici, sono classificate come entit\u00e0 essenziali e non beneficiano di nessuna semplificazione. Per questi soggetti, il pacchetto aumenta le aspettative di sicurezza attraverso il nuovo framework per i fornitori.<\/p>\n\n\n\n

Timeline Legislativa: Quando Entra in Vigore?<\/h2>\n\n\n\n

Il pacchetto del giugno 2026 \u00e8 stato presentato come proposta della Commissione Europea e deve ora completare il percorso della procedura legislativa ordinaria. Il Parlamento Europeo e il Consiglio dell’Unione Europea devono esaminare, eventualmente emendare e adottare i testi. La Commissione stima che il processo possa concludersi entro la fine del 2026 o nel 2027, a seconda della velocit\u00e0 di accordo tra le istituzioni.<\/p>\n\n\n\n

Una volta adottati i testi, gli Stati membri avranno un periodo di recepimento, tipicamente 18-21 mesi, per implementare le modifiche nelle legislazioni nazionali. Per le aziende italiane, questo significa che le nuove regole semplificate non entreranno in vigore prima del 2028-2029.<\/p>\n\n\n\n

Il rischio di slittamento \u00e8 concreto. Il Parlamento Europeo ha gi\u00e0 segnalato che alcune disposizioni sul framework per i fornitori potrebbero richiedere ulteriori garanzie in materia di certezza giuridica e proporzionalit\u00e0, aprendo la strada a negoziati in trilogo che potrebbero prolungarsi. L’esperienza della NIS2 originale, adottata nel 2022 con recepimento entro ottobre 2024, suggerisce che i tempi reali tendono a superare le stime iniziali.<\/p>\n\n\n\n

Confronto con Altri Strumenti Normativi UE in Vigore<\/h2>\n\n\n\n

Il pacchetto del giugno 2026 non esiste nel vuoto normativo. Si inserisce in un ecosistema regolatorio europeo che negli ultimi 36 mesi ha prodotto il Cyber Resilience Act (CRA), il Digital Operational Resilience Act (DORA) specifico per il settore finanziario e il GDPR, ciascuno con logiche e perimetri parzialmente sovrapposti.<\/p>\n\n\n\n

Il CRA, con scadenza di conformit\u00e0 a settembre 2026, si concentra sulla sicurezza dei prodotti hardware e software commercializzati in Europa. NIS2 regola la sicurezza operativa delle organizzazioni. DORA si applica ai servizi finanziari. Il nuovo pacchetto aggiunge uno strato trasversale sulla sicurezza della catena di fornitura ICT che collega tutti e tre questi framework.<\/p>\n\n\n\n

Per un’azienda italiana che sviluppa software di sicurezza venduto a banche europee, il panorama normativo \u00e8 ora stratificato su quattro livelli: GDPR per i dati personali, CRA per la sicurezza del prodotto, DORA per i requisiti del cliente bancario e NIS2 (semplificata o meno, a seconda delle dimensioni dell’azienda stessa) per la sicurezza operativa interna. Il pacchetto del 2026 introduce un quinto elemento: il rischio di essere classificata indirettamente come fornitore ad alto rischio se la sua catena di fornitura include componenti da paesi di interesse.<\/p>\n\n\n\n

Reazioni del Settore: Apprezzamento con Riserve<\/h2>\n\n\n\n

Le reazioni del settore industriale e delle associazioni di cybersecurity sono state positive ma con riserve specifiche. L’industria tecnologica europea ha accolto con favore la riduzione degli obblighi per le PMI, ma ha sollevato preoccupazioni sulla discrezionalit\u00e0 del framework per i fornitori.<\/p>\n\n\n\n

Henna Virkkunen, Vicepresidente esecutiva della Commissione, ha ribadito che l’obiettivo primario \u00e8 costruire “un’Europa pi\u00f9 sicura e resiliente, concentrando gli obblighi dove i rischi sono reali e sistemici”. La posizione della Commissione \u00e8 che la semplificazione non riduca il livello complessivo di sicurezza, ma rimuova burocrazia dove non produce protezione effettiva.<\/p>\n\n\n\n

Dal lato delle imprese, le associazioni di categoria hanno accolto positivamente la nuova categoria “small midcap” ma hanno chiesto criteri pi\u00f9 chiari per la sua definizione. La preoccupazione principale riguarda il confine tra questa categoria e le entit\u00e0 “importanti” della NIS2 attuale: senza parametri numerici precisi (fatturato, dipendenti, criticit\u00e0 del servizio), le aziende borderline potrebbero trovarsi in una zona grigia che genera costi legali e di consulenza per anni.<\/p>\n\n\n\n

I fornitori tecnologici non europei con presenza significativa nelle infrastrutture critiche UE stanno monitorando con attenzione le disposizioni sui paesi di interesse. Il framework non nomina esplicitamente nessun paese, ma il contesto geopolitico europeo del 2026, segnato dalle tensioni con Russia e Cina nel dominio cyber, rende evidente a chi potrebbero essere applicate le prime designazioni.<\/p>\n\n\n\n

Nel mercato italiano, dove l’implementazione NIS2 ha generato una corsa alla consulenza che ha saturato il mercato dei servizi di conformit\u00e0 nel 2025, il pacchetto viene letto con una doppia valenza: da un lato, un alleggerimento atteso per le PMI; dall’altro, un aumento della complessit\u00e0 per le grandi organizzazioni e per chi opera nella catena di fornitura delle infrastrutture critiche. L’ACN ha gi\u00e0 annunciato che aggiorner\u00e0 le proprie linee guida non appena il testo legislativo europeo sar\u00e0 adottato.<\/p>\n\n\n\n

Cinque Previsioni per il 2026-2028<\/h2>\n\n\n\n

1. Prima designazione di un paese di interesse entro il 2027.<\/strong> Il meccanismo esiste ora sul piano giuridico e le pressioni politiche per utilizzarlo sono forti. La prima designazione riguarder\u00e0 con alta probabilit\u00e0 un paese gi\u00e0 soggetto a restrizioni 5G in diversi Stati membri, consolidando misure nazionali frammentate in un approccio europeo unitario.<\/p>\n\n\n\n

2. Il mercato della certificazione ENISA crescer\u00e0 fino a 800 milioni di euro entro il 2028.<\/strong> La preferenza per fornitori certificati nelle infrastrutture critiche creer\u00e0 un mercato di certificazione significativo. I primi schemi riguarderanno i servizi SOC e di incident response, creando un vantaggio competitivo per i fornitori europei di sicurezza gestita.<\/p>\n\n\n\n

3. Almeno 5 Stati membri non rispetteranno la scadenza di recepimento.<\/strong> La storia di NIS2 originale, con diversi paesi in ritardo sul recepimento al 2024, si ripeter\u00e0. I paesi con sistemi politici pi\u00f9 frammentati o con governi di coalizione instabile sono i candidati pi\u00f9 probabili, generando un periodo transitorio di asimmetria normativa intra-UE.<\/p>\n\n\n\n

4. La categoria “small midcap” generer\u00e0 contenziosi davanti alla Corte di Giustizia UE.<\/strong> I criteri di delimitazione imprecisi produrranno controversie tra aziende che contestano la propria classificazione come entit\u00e0 soggette agli obblighi pieni. I primi ricorsi sono attesi entro 18 mesi dal recepimento nazionale nei paesi che implementeranno pi\u00f9 rapidamente.<\/p>\n\n\n\n

5. Il pacchetto spinger\u00e0 la spesa in cybersecurity delle PMI europee sopra i 12 miliardi di euro annui.<\/strong> Paradossalmente, anche la semplificazione richiede investimenti: le aziende che passano alla categoria alleggerita devono comunque implementare un baseline di sicurezza e dimostrarlo alle autorit\u00e0 competenti. Questo alimenter\u00e0 la domanda di strumenti di conformit\u00e0 automatizzati e di servizi di sicurezza standardizzati.<\/p>\n\n\n\n

Domande Frequenti<\/h2>\n\n\n\n

Cos’\u00e8 l’EU Cybersecurity Act 2.0?<\/h3>\n\n\n\n

Non si tratta di un testo completamente nuovo, ma di un pacchetto di emendamenti al Cybersecurity Act del 2019 e alla direttiva NIS2 del 2022. Le principali novit\u00e0 sono la semplificazione degli obblighi NIS2 per circa 28.700 aziende, il framework per i fornitori ICT ad alto rischio e il rafforzamento del mandato ENISA.<\/p>\n\n\n\n

Quali aziende beneficiano della semplificazione NIS2?<\/h3>\n\n\n\n

Principalmente le micro e piccole imprese (circa 6.200) che saranno quasi completamente esentate, e le nuove “small midcap enterprises” (circa 22.000) che ricevono obblighi ridotti. Le entit\u00e0 nei settori essenziali, come energia, banche e sanit\u00e0, non beneficiano di nessuna riduzione.<\/p>\n\n\n\n

Come funziona il framework per i fornitori ad alto rischio?<\/h3>\n\n\n\n

La Commissione designa prima un “paese di interesse” (paese terzo che pone rischi sistemici), poi identifica i fornitori ICT di quel paese che possono essere soggetti a restrizioni nelle infrastrutture critiche europee. In casi eccezionali, pu\u00f2 colpire direttamente un fornitore anche senza designare il suo paese.<\/p>\n\n\n\n

Quando entrano in vigore le nuove regole in Italia?<\/h3>\n\n\n\n

Non prima del 2028-2029. Il pacchetto deve completare la procedura legislativa ordinaria (probabilmente entro fine 2026 o 2027), quindi gli Stati membri hanno 18-21 mesi per il recepimento nazionale. L’ACN dovr\u00e0 aggiornare il registro NIS2 e le procedure di supervisione.<\/p>\n\n\n\n

La certificazione ENISA diventa obbligatoria?<\/h3>\n\n\n\n

Formalmente rimane volontaria. Tuttavia, il pacchetto prevede che le entit\u00e0 essenziali debbano preferire fornitori certificati ENISA per i servizi di sicurezza esternalizzati. Questo crea un effetto de facto obbligatorio per chi vuole lavorare con infrastrutture critiche europee.<\/p>\n\n\n\n

Cos’\u00e8 Cyber Europe 2026 e cosa ha rivelato?<\/h3>\n\n\n\n

Cyber Europe \u00e8 l’esercitazione biennale coordinata da ENISA che testa la risposta UE agli attacchi informatici. L’edizione 2026, con 5.000 esperti, ha simulato attacchi su ferrovie e porti. Ha evidenziato ritardi superiori alle 4 ore nella condivisione di informazioni tra CSIRT nazionali e difficolt\u00e0 di coordinamento pubblico-privato.<\/p>\n\n\n\n

Cosa sono i “paesi di interesse” nel nuovo framework?<\/h3>\n\n\n\n

Sono paesi terzi il cui contesto normativo, di intelligence o geopolitico \u00e8 ritenuto dalla Commissione Europea incompatibile con la sicurezza delle reti europee. La designazione precede quella dei singoli fornitori e apre la strada a restrizioni sull’uso dei loro prodotti nelle infrastrutture critiche UE.<\/p>\n\n\n\n

Come cambia il rapporto tra NIS2, CRA e DORA?<\/h3>\n\n\n\n

Il pacchetto 2026 aggiunge uno strato trasversale di sicurezza della catena di fornitura ICT che si sovrappone a NIS2 (sicurezza operativa), CRA (sicurezza del prodotto) e DORA (settore finanziario). Le aziende nella filiera delle infrastrutture critiche devono ora gestire la conformit\u00e0 su tutti e quattro i livelli simultaneamente.<\/p>\n\n\n\n

Copertura Correlata<\/h2>\n\n\n\n

Approfondimenti sulla Sicurezza e Normativa UE<\/h3>\n\n\n\n