{"id":320,"date":"2026-06-22T08:00:00","date_gmt":"2026-06-22T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/22\/eu-cybersecurity-act-2-0-2026-fornitori-alto-rischio\/"},"modified":"2026-06-22T08:00:00","modified_gmt":"2026-06-22T08:00:00","slug":"eu-cybersecurity-act-2-0-2026-fornitori-alto-rischio","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/22\/eu-cybersecurity-act-2-0-2026-fornitori-alto-rischio\/","title":{"rendered":"EU Cybersecurity Act 2.0: 18 Settori, Multa 7%, 36 Mesi ai Fornitori Rischiosi [2026]"},"content":{"rendered":"\n

Il 20 gennaio 2026 la Commissione Europea ha pubblicato il proprio pacchetto normativo pi\u00f9 ambizioso in materia di cybersecurity.<\/strong> Il Cybersecurity Act 2.0 (COM(2026) 11) ridisegna le regole per 18 settori critici dell’economia europea, introduce sanzioni fino al 7% del fatturato mondiale e assegna all’ENISA un budget aumentato di oltre il 75%. Per le aziende italiane che operano in energia, telecomunicazioni, cloud e infrastrutture digitali, il tempo per adeguarsi sta gi\u00e0 scorrendo.<\/p>\n\n\n\n

Il Pacchetto Cybersecurity UE del 20 Gennaio 2026<\/h2>\n\n\n\n

La Commissione Europea ha presentato il 20 gennaio 2026 un pacchetto normativo composto da due elementi distinti ma coordinati: la proposta di revisione del Cybersecurity Act (adottato originariamente come Regolamento UE n. 2019\/881) e una serie di modifiche mirate alla Direttiva NIS2 (Direttiva UE 2022\/2555). Il pacchetto, identificato come COM(2026) 11, risponde a una realt\u00e0 in rapido deterioramento. Il Barometro del Rischio Allianz 2026 ha classificato gli incidenti informatici come il rischio numero uno a livello globale per il quinto anno consecutivo, con un punteggio record del 42% nelle risposte degli intervistati, distaccando di 10 punti percentuali il rischio collegato all’intelligenza artificiale.<\/p>\n\n\n\n

La proposta non crea regimi ex novo. Aggiorna due strumenti gi\u00e0 esistenti con interventi mirati e introduce per la prima volta nella storia dell’UE un meccanismo vincolante per gestire i rischi nella catena di fornitura ICT, compresi quelli di natura geopolitica. Il meccanismo risponde direttamente al problema della dipendenza tecnologica europea da vendor di paesi terzi che potrebbero, in circostanze di tensione politica, rappresentare un vettore di rischio sistemico per l’intera economia digitale del continente.<\/p>\n\n\n\n

La Vicepresidente Esecutiva della Commissione Henna Virkkunen<\/strong> ha dichiarato in conferenza stampa: “Proponiamo modifiche mirate alla Direttiva NIS2 per chiarire alcuni aspetti relativi all’ambito e alle definizioni. Questo migliorer\u00e0 la chiarezza giuridica e rimuover\u00e0 il carico di conformit\u00e0 per quasi 30.000 aziende, incluse oltre 6.000 micro e piccole imprese. Abbiamo inoltre introdotto una nuova categoria di piccole imprese a media capitalizzazione che ridurr\u00e0 i costi di conformit\u00e0 per oltre 22.000 aziende.”<\/p>\n\n\n\n

I Quattro Pilastri del Cybersecurity Act 2.0<\/h2>\n\n\n\n

Il Cybersecurity Act 2.0 si articola attorno a quattro interventi principali, ognuno dei quali affronta un punto di debolezza specifico del quadro normativo europeo attuale.<\/p>\n\n\n\n

Il primo pilastro<\/strong> introduce un framework orizzontale per la sicurezza della catena di fornitura ICT. La Commissione acquisisce il potere di designare paesi terzi come fonti di rischio informatico grave, classificare i fornitori controllati da tali paesi come “ad alto rischio” e limitare l’uso dei loro componenti nelle infrastrutture critiche europee. Si tratta di un salto qualitativo rispetto alla 5G Toolbox, finora applicata in modo frammentato dai singoli Stati membri con risultati disomogenei.<\/p>\n\n\n\n

Il secondo pilastro<\/strong> semplifica il Framework Europeo di Certificazione della Cybersicurezza (ECCF). Le aziende potranno certificare la propria postura di sicurezza complessiva, non solo i singoli prodotti o servizi ICT, ottenendo una presunzione di conformit\u00e0 alla NIS2 e ad altri regolamenti UE pertinenti. La certificazione ottenuta in un paese membro sar\u00e0 riconosciuta in tutti gli altri 26, eliminando la duplicazione delle verifiche.<\/p>\n\n\n\n

Il terzo pilastro<\/strong> introduce schemi volontari di attestazione individuale delle competenze in cybersecurity a livello UE, basati sul Framework Europeo delle Competenze in Cybersicurezza (ECSF). Questo affronta una lacuna critica: l’Europa conta un deficit stimato di oltre 500.000 professionisti del settore, e l’assenza di standard di competenza riconosciuti a livello continentale rende difficile la mobilit\u00e0 dei professionisti tra i vari mercati nazionali.<\/p>\n\n\n\n

Il quarto pilastro<\/strong> rafforza il mandato e la capacit\u00e0 operativa dell’ENISA, l’Agenzia dell’UE per la Cybersicurezza. Il budget aumenter\u00e0 di oltre il 75%, e l’agenzia acquisir\u00e0 nuove responsabilit\u00e0 tra cui allerta precoce sulle minacce, supporto alla risposta ai ransomware e servizi migliorati di gestione delle vulnerabilit\u00e0. Ogni Stato membro dovr\u00e0 designare due ufficiali di collegamento dedicati per facilitare la cooperazione operativa con Bruxelles.<\/p>\n\n\n\n

Fornitori ad Alto Rischio: Come Funziona la Designazione<\/h2>\n\n\n\n

Il framework per la sicurezza della catena di fornitura ICT \u00e8 la componente pi\u00f9 innovativa e, per alcuni aspetti, pi\u00f9 controversa del pacchetto. La proposta introduce nella legislazione europea il concetto di “asset ICT chiave”<\/strong>, ovvero componenti, sistemi o servizi il cui fallimento o compromissione potrebbe gravemente perturbarne i settori critici dell’UE. Questa definizione crea per la prima volta una categoria giuridica europea per le tecnologie ad alta criticit\u00e0 sistemica.<\/p>\n\n\n\n

La Definizione Legale di “Fornitore ad Alto Rischio”<\/h3>\n\n\n\n

Un fornitore viene classificato come “ad alto rischio” in base a due criteri principali. Il primo \u00e8 l’appartenenza, il controllo o l’influenza determinante da parte di un paese terzo designato dalla Commissione come fonte di rischio informatico grave. Il secondo \u00e8 la designazione diretta da parte della Commissione come fornitore che presenta rischi non tecnici significativi, anche in assenza di un collegamento formale con un paese di preoccupazione. Questo secondo meccanismo, previsto dall’Articolo 103 della proposta, consente interventi eccezionali su aziende che non provengono da paesi ufficialmente designati.<\/p>\n\n\n\n

Una volta classificato come ad alto rischio, un fornitore pu\u00f2 essere escluso dagli appalti pubblici europei e dai programmi di finanziamento UE. La Commissione pu\u00f2 adottare atti di esecuzione che vietano a determinate categorie di entit\u00e0 nei settori critici di utilizzare, installare o integrare componenti ICT di tale fornitore negli asset ICT chiave. Un registro pubblico delle decisioni garantisce trasparenza e prevedibilit\u00e0 per le imprese che devono pianificare i propri investimenti tecnologici su orizzonti pluriennali.<\/p>\n\n\n\n

Lo studio legale Bird & Bird, che ha analizzato la proposta a gennaio 2026, ha osservato che “la revisione prevede addirittura la possibilit\u00e0 senza precedenti, a livello UE, di ritirare prodotti gi\u00e0 installati se un fornitore viene riclassificato come ad alto rischio” e che “questo potrebbe richiedere sostituzioni costose e complesse nelle infrastrutture critiche, come le reti energetiche, le infrastrutture cloud o le apparecchiature di telecomunicazione”.<\/p>\n\n\n\n

Il Caso delle Apparecchiature Cinesi nelle Telecomunicazioni<\/h3>\n\n\n\n

Sebbene la proposta non menzioni esplicitamente alcun fornitore o paese, il framework \u00e8 costruito in modo da poter includere vendor come Huawei e ZTE se la Commissione designasse la Cina come paese di preoccupazione. Diversi paesi UE hanno gi\u00e0 adottato misure restrittive nei confronti di questi vendor nei propri processi nazionali di sicurezza del 5G, ma con approcci disomogenei. La Svezia ha vietato Huawei dalle reti 5G nel 2020, mentre altri paesi sono rimasti in una zona grigia normativa. Il Cybersecurity Act 2.0 mira a uniformare questi approcci attraverso un meccanismo centralizzato a livello europeo, eliminando la frammentazione che la 5G Toolbox non \u00e8 riuscita a risolvere.<\/p>\n\n\n\n

I 18 Settori Critici nel Mirino della Commissione<\/h2>\n\n\n\n

Il framework per la sicurezza della catena di fornitura ICT copre 18 settori critici dell’economia europea, rispecchiando l’ambito della Direttiva NIS2 e della Direttiva sulla Resilienza dei Soggetti Critici (CER). La GA-Alliance, nel proprio commento pubblicato nel marzo 2026, ha notato che “la creazione di meccanismi per identificare e monitorare fornitori ad alto rischio in diciotto settori critici rappresenta una mossa decisiva contro i rischi sistemici”.<\/p>\n\n\n\n

Settore<\/th>Tipo di entit\u00e0 interessate<\/th>Rischio fornitore principale<\/th><\/tr><\/thead>
Energia<\/td>Operatori reti elettriche, gas, petrolio<\/td>Sistemi SCADA, componenti OT\/ICS<\/td><\/tr>
Telecomunicazioni<\/td>Operatori reti mobili, fisse e satellitari<\/td>Apparecchiature di rete (core e edge)<\/td><\/tr>
Infrastrutture digitali<\/td>IXP, DNS, TLD, cloud computing, data center<\/td>Server, networking, hypervisor<\/td><\/tr>
Trasporti<\/td>Aviazione, ferrovie, vie navigabili, trasporto su strada<\/td>Sistemi di controllo e gestione traffico<\/td><\/tr>
Settore bancario<\/td>Enti creditizi<\/td>Core banking, sistemi di trading<\/td><\/tr>
Infrastrutture mercati finanziari<\/td>Sedi di negoziazione, CCP, depositari centrali<\/td>Piattaforme di clearing e settlement<\/td><\/tr>
Sanit\u00e0<\/td>Ospedali, laboratori, produttori di dispositivi medici<\/td>Sistemi HIS, dispositivi connessi<\/td><\/tr>
Acqua potabile<\/td>Fornitori e distributori di acqua potabile<\/td>Sistemi di controllo impianti idrici<\/td><\/tr>
Acque reflue<\/td>Imprese di raccolta e trattamento acque reflue<\/td>Sistemi SCADA per depurazione<\/td><\/tr>
Pubblica amministrazione<\/td>Amministrazioni statali e regionali<\/td>Infrastrutture cloud, sistemi ERP<\/td><\/tr>
Spazio<\/td>Operatori infrastrutture spaziali<\/td>Sistemi di controllo e comunicazione satellite<\/td><\/tr>
Servizi postali e di corriere<\/td>Fornitori di servizi postali universali<\/td>Sistemi di tracciamento e smistamento<\/td><\/tr>
Gestione dei rifiuti<\/td>Imprese di gestione rifiuti<\/td>Sistemi di monitoraggio IoT<\/td><\/tr>
Chimica<\/td>Produzione e distribuzione di sostanze chimiche<\/td>Sistemi DCS, SCADA<\/td><\/tr>
Produzione alimentare<\/td>Produzione, lavorazione e distribuzione alimenti<\/td>Sistemi MES, supply chain digitale<\/td><\/tr>
Produzione manifatturiera<\/td>Dispositivi medici, computer, autoveicoli<\/td>Componentistica elettronica<\/td><\/tr>
Fornitori digitali<\/td>Motori di ricerca, piattaforme e-commerce, social network<\/td>Infrastrutture cloud, CDN<\/td><\/tr>
Ricerca<\/td>Organizzazioni di ricerca e sviluppo<\/td>Sistemi HPC, storage, networking<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Reed Smith, in un aggiornamento normativo dell’aprile 2026, ha evidenziato che l’impatto maggiore si concentrer\u00e0 su settori come chimica, elettricit\u00e0, produzione di idrogeno e infrastrutture a doppio uso civile-militare, proprio perch\u00e9 presentano la maggiore dipendenza da componenti ICT con origini geograficamente concentrate.<\/p>\n\n\n\n

L’Impatto sulle Telecomunicazioni: 36 Mesi per Adeguarsi<\/h2>\n\n\n\n

Il settore delle telecomunicazioni riceve un trattamento specifico nel testo della proposta. L’Articolo 111(1) stabilisce che i fornitori di reti di comunicazione elettronica mobili, fisse e satellitari dovranno eliminare gradualmente i componenti di fornitori designati ad alto rischio entro 36 mesi<\/strong> dalla designazione. Questa scadenza si applica sia ai componenti nel nucleo della rete (core network) sia a quelli nella porzione periferica (network edge), incluse le stazioni radio base e i sistemi di gestione della rete.<\/p>\n\n\n\n

La norma crea un obbligo operativo e finanziario senza precedenti per gli operatori di telecomunicazioni europei. La sostituzione di apparecchiature 5G gi\u00e0 installate richiede tempi tecnici, risorse economiche e coordinamento con le autorit\u00e0 di regolamentazione nazionale che, in molti casi, vanno ben oltre i 36 mesi previsti. Diverse associazioni industriali del settore hanno avvertito che il termine potrebbe rivelarsi irrealistico senza meccanismi di deroga chiari e un supporto finanziario europeo per i costi di transizione.<\/p>\n\n\n\n

Per le aziende italiane come TIM, Vodafone Italia, WindTre e Iliad Italia, la designazione di uno o pi\u00f9 dei loro attuali fornitori come ad alto rischio potrebbe tradursi in investimenti di sostituzione nell’ordine di centinaia di milioni di euro. L’Italia \u00e8 tra i paesi europei dove la penetrazione di apparecchiature di vendor di paesi terzi nelle reti mobili \u00e8 storicamente significativa, rendendo il paese particolarmente esposto a questo tipo di obbligo di sostituzione forzata.<\/p>\n\n\n\n

Sanzioni: Fino al 7% del Fatturato Mondiale<\/h2>\n\n\n\n

Il regime sanzionatorio del Cybersecurity Act 2.0 \u00e8 tra gli elementi pi\u00f9 discussi della proposta. Le sanzioni per le infrazioni pi\u00f9 gravi possono raggiungere il 7% del fatturato annuo mondiale<\/strong> dell’azienda interessata. Questa soglia si colloca sopra il 4% previsto dal GDPR e riflette la volont\u00e0 della Commissione di dotare il framework di una capacit\u00e0 deterrente credibile per imprese di grandi dimensioni.<\/p>\n\n\n\n

Confronto normativo<\/th>Cybersecurity Act 2.0 (2026)<\/th>GDPR (2018)<\/th>NIS2 (2022)<\/th>CRA (2024)<\/th><\/tr><\/thead>
Sanzione massima<\/td>7% fatturato mondiale<\/td>4% fatturato mondiale<\/td>Variabile per Stato membro<\/td>2,5% fatturato mondiale<\/td><\/tr>
Ambito applicativo<\/td>18 settori critici ICT<\/td>Trattamento dati personali<\/td>Soggetti essenziali e importanti<\/td>Prodotti hardware\/software<\/td><\/tr>
Organo di vigilanza<\/td>Commissione UE + ENISA<\/td>Garante nazionale<\/td>Autorit\u00e0 nazionali NIS<\/td>Autorit\u00e0 di vigilanza del mercato<\/td><\/tr>
Obbligo di certificazione<\/td>Volontario (postura complessiva)<\/td>No<\/td>Raccomandato<\/td>Obbligatorio per classi ad alto rischio<\/td><\/tr>
Gestione supply chain<\/td>Framework vincolante UE<\/td>Accordi con responsabili trattamento<\/td>Valutazione rischio fornitore<\/td>Sicurezza “by design”<\/td><\/tr>
Data applicabilit\u00e0 prevista<\/td>Inizio 2027 (stima)<\/td>25 maggio 2018<\/td>17 ottobre 2024<\/td>11 dicembre 2027<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le infrazioni pi\u00f9 gravi riguardano la violazione degli obblighi di eliminazione graduale dei componenti di fornitori ad alto rischio nei termini previsti, l’installazione di componenti vietati in asset ICT chiave e il mancato rispetto delle misure di mitigazione vincolanti imposte dalla Commissione. Infrazioni di minore entit\u00e0, come la mancata notifica o la violazione di obblighi di trasparenza, saranno soggette a sanzioni proporzionalmente inferiori.<\/p>\n\n\n\n

ENISA Rafforzata: Budget +75% e Nuovi Poteri Operativi<\/h2>\n\n\n\n

L’Agenzia dell’UE per la Cybersicurezza (ENISA) \u00e8 al centro della governance del Cybersecurity Act 2.0. La proposta prevede un aumento del budget superiore al 75%, accompagnato da un’espansione sostanziale del mandato operativo. Con le nuove risorse, ENISA dovr\u00e0 gestire allerta precoce su minacce e incidenti, supportare le risposte nazionali agli attacchi ransomware, operare un repository unificato di incidenti a livello UE e migliorare i servizi di gestione delle vulnerabilit\u00e0 per gli Stati membri.<\/p>\n\n\n\n

Ogni Stato membro dovr\u00e0 designare due ufficiali di collegamento dedicati per facilitare il coordinamento operativo con l’agenzia. Questo obbligo riflette la lezione appresa durante i grandi incidenti del 2025-2026: la risposta agli attacchi cyber transfrontalieri richiede canali di comunicazione precostituiti e operativi 24 ore su 24, non legami istituzionali attivati solo in emergenza.<\/p>\n\n\n\n

L’ISC2, l’organizzazione professionale per i certificati di cybersecurity, ha commentato il pacchetto osservando che “il pacchetto non crea nuovi regimi; aggiorna invece due strumenti esistenti” e che “l’ampliamento del ruolo dell’ENISA rappresenta un passo significativo verso una risposta coordinata alle minacce a livello europeo”. L’ISC2 ha anche evidenziato che la proposta introduce quattro cambiamenti principali al framework esistente, tra cui il nuovo meccanismo per la catena di fornitura e le modifiche al sistema di certificazione.<\/p>\n\n\n\n

Per l’Italia, il rafforzamento dell’ENISA ha implicazioni dirette. L’Agenzia Nazionale per la Cybersicurezza (ACN), istituita nel 2021 come punto di contatto nazionale, dovr\u00e0 integrare i propri processi con le nuove procedure operative europee. L’ACN gestisce gi\u00e0 la rete di CSIRT italiani e coordina la risposta nazionale agli incidenti, ma il Cybersecurity Act 2.0 richieder\u00e0 un allineamento pi\u00f9 stretto con le piattaforme tecniche e i protocolli operativi dell’ENISA.<\/p>\n\n\n\n

La Semplificazione della NIS2: 30.000 Aziende Liberate<\/h2>\n\n\n\n

Parallelamente all’introduzione di nuovi obblighi per i settori ad alto rischio, il pacchetto del 20 gennaio 2026 include modifiche mirate alla NIS2 che riducono il carico regolatorio per decine di migliaia di aziende. Le modifiche chiariscono l’ambito di applicazione della direttiva, eliminando ambiguit\u00e0 interpretative che avevano moltiplicato i costi di conformit\u00e0 senza aumentare l’effettivo livello di sicurezza.<\/p>\n\n\n\n

La semplificazione pi\u00f9 significativa riguarda le micro e piccole imprese: oltre 6.000 aziende<\/strong> di queste dimensioni, precedentemente incluse nell’ambito NIS2 a causa delle loro attivit\u00e0 in settori critici, verranno esentate o sottoposte a obblighi proporzionalmente ridotti. Questo affronta una delle critiche pi\u00f9 frequenti alla NIS2: il costo di conformit\u00e0 era sproporzionato rispetto alle capacit\u00e0 di aziende molto piccole, creando una barriera all’innovazione nel settore delle PMI tecnologiche europee.<\/p>\n\n\n\n

La nuova categoria di “piccole imprese a media capitalizzazione” (small midcap) riguarda oltre 22.000 aziende<\/strong> europee, offrendo loro requisiti di conformit\u00e0 calibrati alla loro capacit\u00e0 operativa e finanziaria. Questa granularit\u00e0 normativa riflette un approccio pi\u00f9 maturo rispetto alla prima versione della NIS2, che tendeva a trattare allo stesso modo entit\u00e0 di dimensioni e risorse molto diverse. Il pacchetto punta anche a semplificare la raccolta centralizzata di dati sugli attacchi ransomware, tema che l’ENISA gestisce gi\u00e0 ma in modo frammentato tra le diverse autorit\u00e0 nazionali.<\/p>\n\n\n\n

Certificazione ICT: Certifica una Volta, Valido in Tutta l’UE<\/h2>\n\n\n\n

Uno dei cambiamenti pi\u00f9 attesi dall’industria tecnologica europea \u00e8 la riforma del Framework Europeo di Certificazione della Cybersicurezza (ECCF). Attualmente, un’azienda che vuole vendere prodotti o servizi ICT in pi\u00f9 paesi UE deve navigare attraverso un mosaico di certificazioni nazionali con requisiti, procedure e costi diversi. Il Cybersecurity Act 2.0 introduce il principio “certifica una volta, valido ovunque”, abbattendo una barriera che penalizzava in particolare le PMI tecnologiche europee rispetto a concorrenti statunitensi e asiatici che operano in mercati nazionali pi\u00f9 grandi e omogenei.<\/p>\n\n\n\n

La proposta amplia anche l’oggetto della certificazione: non pi\u00f9 solo singoli prodotti o servizi ICT, ma la postura di sicurezza complessiva dell’organizzazione. Questo cambiamento consente alle aziende di ottenere una certificazione che funge da prova di conformit\u00e0 alla NIS2 e ad altri regolamenti UE pertinenti, riducendo il burden complessivo degli audit e delle verifiche. L’ENISA avr\u00e0 un termine default di 12 mesi<\/strong> dalla richiesta della Commissione per produrre uno schema di certificazione candidato, contro i tempi attuali che possono estendersi per anni.<\/p>\n\n\n\n

Aegister, azienda italiana di cybersecurity con sede a Reggio Emilia, ha analizzato la proposta nel febbraio 2026 evidenziando che “la revisione del Cybersecurity Act 2026 \u00e8 destinata principalmente a interessare le entit\u00e0 gi\u00e0 nell’ambito di NIS2, con particolare rilevanza per settori come la chimica, l’elettricit\u00e0, la produzione di idrogeno e le infrastrutture a doppio uso”. Aegister ha aggiunto che “il processo legislativo si svolger\u00e0 attraverso la procedura legislativa ordinaria” e che le imprese farebbero bene ad avviare fin da ora la mappatura della propria esposizione normativa.<\/p>\n\n\n\n

L’Italia di Fronte al Cybersecurity Act 2.0<\/h2>\n\n\n\n

L’Italia arriva all’appuntamento con il Cybersecurity Act 2.0 in una posizione di particolare attenzione. Secondo il Clusit Report 2026, il paese ha subito 507 attacchi informatici gravi nel corso del 2025, diventando la nazione pi\u00f9 colpita d’Europa in termini assoluti. Settori come la sanit\u00e0, le infrastrutture critiche e la pubblica amministrazione hanno registrato incrementi degli incidenti superiori alla media europea, e la catena di fornitura ICT rappresenta uno dei vettori di attacco pi\u00f9 sfruttati.<\/p>\n\n\n\n

Sul fronte della supply chain tecnologica, l’Italia affronta sfide specifiche. Il settore delle telecomunicazioni italiano ha storicamente mantenuto rapporti commerciali significativi con vendor di paesi terzi nelle reti mobili. Il processo di 5G Security Review avviato dall’ACN nel 2022 ha portato a esclusioni selettive in parti critiche delle reti, ma senza una designazione formale di “fornitore ad alto rischio” a livello europeo le misure restano incomplete e difformi rispetto ad altri paesi UE.<\/p>\n\n\n\n

Per la pubblica amministrazione italiana, il Cybersecurity Act 2.0 si sovrappone al percorso di migrazione al cloud nazionale avviato con il Polo Strategico Nazionale (PSN). Le infrastrutture cloud della PA devono gi\u00e0 rispettare i requisiti di qualificazione AgID\/ACN, ma l’introduzione di un framework europeo per la sicurezza della catena di fornitura ICT richieder\u00e0 probabilmente un aggiornamento dei criteri di qualificazione per allinearli agli standard UE. L’operazione non \u00e8 banale: coinvolge decine di ministeri, centinaia di enti locali e una miriade di contratti gi\u00e0 in corso con vendor di diversa origine geografica.<\/p>\n\n\n\n

Confronto con la Normativa UK e USA<\/h2>\n\n\n\n

Il Cybersecurity Act 2.0 si inserisce in un contesto globale in cui le grandi economie stanno costruendo propri framework per la sicurezza delle catene di fornitura ICT, spesso con approcci diversi ma obiettivi convergenti.<\/p>\n\n\n\n

Il Regno Unito<\/strong> ha adottato il Cyber Security and Resilience Act nel 2025, che estende la portata della Network and Information Systems Regulations a pi\u00f9 settori e fornitori di servizi digitali. Rispetto al Cybersecurity Act 2.0, l’approccio britannico \u00e8 pi\u00f9 focalizzato sulla segnalazione obbligatoria degli incidenti e meno su un framework centralizzato per la designazione di fornitori ad alto rischio. La separazione post-Brexit ha creato un doppio binario normativo che le aziende con operazioni sia nell’UE sia nel Regno Unito devono oggi gestire come due sistemi separati, con costi di conformit\u00e0 duplicati.<\/p>\n\n\n\n

Gli Stati Uniti<\/strong> hanno affrontato la sicurezza della supply chain ICT attraverso ordini esecutivi e normative settoriali. Il bando alle apparecchiature Huawei e ZTE dalle reti federali, introdotto nel 2019 e progressivamente esteso, \u00e8 il precedente pi\u00f9 diretto al meccanismo di designazione del Cybersecurity Act 2.0. Tuttavia, l’approccio americano rimane frammentato tra agenzie diverse (FCC, CISA, DoD) e privo di un framework orizzontale centralizzato paragonabile a quello che la Commissione Europea vuole costruire.<\/p>\n\n\n\n

La differenza pi\u00f9 rilevante tra i tre approcci riguarda la natura degli strumenti: gli USA utilizzano principalmente ordini esecutivi e bandi settoriali di rapida implementazione ma scarsa coordinazione; il Regno Unito applica regolamenti derivati da legislazione primaria con forte enfasi sulla segnalazione; l’UE costruisce un framework regolatorio armonizzato su scala continentale, pi\u00f9 lento da adottare ma pi\u00f9 sistematico e uniforme nel lungo periodo.<\/p>\n\n\n\n

Cronologia Legislativa: Quando Diventa Legge?<\/h2>\n\n\n\n

Il percorso del Cybersecurity Act 2.0 verso l’entrata in vigore passa attraverso la procedura legislativa ordinaria dell’UE. Dopo la pubblicazione della proposta il 20 gennaio 2026, il testo \u00e8 stato trasmesso al Parlamento Europeo e al Consiglio dell’UE per l’esame. La fase di triloga, in cui le due istituzioni negoziano con la Commissione per trovare una versione di compromesso, \u00e8 in corso. Precedenti storici di dossier normativi di simile complessit\u00e0 tecnica suggeriscono un percorso di almeno 12-18 mesi dall’avvio della triloga.<\/p>\n\n\n\n

Reed Smith, nel proprio aggiornamento normativo pubblicato nell’aprile 2026, ha indicato che “non esiste ancora una timeline fissa” e che “le aspettative attuali puntano alla finalizzazione del Cybersecurity Act 2.0 all’inizio del 2027”. Un’adozione formale nel primo semestre 2027 implicherebbe periodi di transizione che renderebbero le prime scadenze di conformit\u00e0 vincolanti non prima del 2028-2029 per la maggior parte degli operatori.<\/p>\n\n\n\n

Fase<\/th>Data<\/th>Descrizione<\/th><\/tr><\/thead>
Pubblicazione proposta<\/td>20 gennaio 2026<\/td>COM(2026) 11 pubblicato dalla Commissione Europea<\/td><\/tr>
Analisi Parlamento e Consiglio<\/td>Febbraio – settembre 2026<\/td>Esame del testo, proposte di emendamento<\/td><\/tr>
Triloga<\/td>Ottobre 2026 – inizio 2027<\/td>Negoziazione testo definitivo tra le istituzioni<\/td><\/tr>
Adozione formale<\/td>Prevista inizio 2027<\/td>Pubblicazione in Gazzetta Ufficiale UE<\/td><\/tr>
Entrata in vigore<\/td>20 giorni dopo adozione<\/td>Il regolamento diventa formalmente valido<\/td><\/tr>
Applicabilit\u00e0 piena<\/td>Stimata 2028-2029<\/td>Fine periodi di transizione per i settori coperti<\/td><\/tr>
Scadenza 36 mesi telco<\/td>Dalla data di designazione del fornitore<\/td>Termine per eliminare componenti ad alto rischio<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Analisi di Mercato: Chi Vince e Chi Perde<\/h2>\n\n\n\n

Il Cybersecurity Act 2.0 ridisegna il mercato europeo della tecnologia ICT in modo non uniforme. La proposta crea opportunit\u00e0 significative per alcuni attori e pone sfide rilevanti per altri, con effetti che si estendono ben oltre i confini del mercato della cybersecurity in senso stretto.<\/p>\n\n\n\n

I vincitori<\/strong> principali sono i vendor europei di apparecchiature di rete e sicurezza. Ericsson e Nokia sono i pi\u00f9 ovvi beneficiari di un framework che potrebbe escludere i principali concorrenti asiatici da segmenti critici del mercato europeo. Entrambe le aziende hanno rafforzato negli ultimi anni le proprie posizioni nelle reti 5G europee proprio grazie alle preoccupazioni di sicurezza riguardanti i vendor di paesi terzi. Un framework vincolante a livello UE consoliderebbe questi guadagni su una base giuridica stabile e prevedibile.<\/p>\n\n\n\n

I provider di servizi di sicurezza gestita (MSSP), di consulenza di conformit\u00e0 normativa e di testing di penetration beneficeranno della crescente domanda di supporto professionale per navigare il nuovo quadro regolatorio. Il mercato europeo dei servizi di certificazione ICT crescer\u00e0 in modo significativo nei settori coperti dal framework, creando opportunit\u00e0 per le societ\u00e0 di consulenza specializzate in conformit\u00e0 normativa.<\/p>\n\n\n\n

I perdenti<\/strong> pi\u00f9 evidenti sono i vendor di tecnologia ICT con legami con paesi terzi potenzialmente designabili come fonti di rischio. Le aziende di cloud computing con data center fuori dall’UE o con strutture di controllo che coinvolgono entit\u00e0 di paesi terzi potrebbero dover ripensare la propria governance e architettura per mantenere l’accesso al mercato europeo. Per le PMI tecnologiche europee il saldo \u00e8 misto: la semplificazione degli obblighi NIS2 per micro e piccole imprese riduce i costi diretti di conformit\u00e0, ma l’innalzamento generale delle aspettative di sicurezza nella catena di fornitura crea nuovi requisiti indiretti anche per chi non \u00e8 direttamente soggetto al framework.<\/p>\n\n\n\n

Cinque Previsioni per il 2027-2028<\/h2>\n\n\n\n

Sulla base dell’analisi del testo della proposta, delle dinamiche di mercato e dei precedenti normativi europei, \u00e8 possibile formulare alcune previsioni concrete sull’impatto del Cybersecurity Act 2.0 nei prossimi due anni.<\/p>\n\n\n\n

1. La Cina sar\u00e0 tra i primi paesi designati come fonte di rischio informatico.<\/strong> Il linguaggio della proposta riflette chiaramente le preoccupazioni geopolitiche che hanno guidato le decisioni sulla sicurezza del 5G negli ultimi anni. Il meccanismo \u00e8 costruito per poter includere qualsiasi paese terzo con influenza su vendor ICT critici, e la pressione politica degli Stati membri pi\u00f9 esposti agli attacchi di spionaggio render\u00e0 difficile rimandare a lungo questa decisione dopo l’entrata in vigore del regolamento.<\/p>\n\n\n\n

2. Almeno tre operatori di telecomunicazioni europei affronteranno procedimenti sanzionatori entro il 2028.<\/strong> Il settore telco \u00e8 quello con la maggiore esposizione ai vendor potenzialmente ad alto rischio e con i tempi tecnici di sostituzione pi\u00f9 lunghi. Il rischio di mancato rispetto del termine di 36 mesi \u00e8 concreto, e la Commissione avr\u00e0 bisogno di dimostrare la credibilit\u00e0 del framework attraverso casi esemplari nelle prime fasi di applicazione.<\/p>\n\n\n\n

3. Il mercato europeo della certificazione ICT crescer\u00e0 di oltre il 40% nel biennio 2027-2028.<\/strong> La possibilit\u00e0 di usare la certificazione ECCF come prova di conformit\u00e0 alla NIS2 generer\u00e0 una domanda senza precedenti di servizi di certificazione e audit. Gli organismi di conformit\u00e0 accreditati in Europa non sono attualmente in numero sufficiente per gestire questa domanda, creando un potenziale collo di bottiglia nel percorso di adeguamento delle imprese.<\/p>\n\n\n\n

4. L’ENISA diventer\u00e0 il principale hub operativo per la cybersecurity europea.<\/strong> L’aumento del budget di oltre il 75% e il nuovo mandato operativo trasformeranno l’agenzia da organismo principalmente consultivo a centro operativo per la risposta agli incidenti transfrontalieri. Questo avr\u00e0 implicazioni sulla struttura e il finanziamento delle agenzie nazionali come l’ACN italiana, che dovr\u00e0 ridefinire il proprio posizionamento rispetto al livello europeo.<\/p>\n\n\n\n

5. Il ritiro di prodotti gi\u00e0 installati generer\u00e0 il primo contenzioso legale significativo tra vendor e Commissione UE.<\/strong> La possibilit\u00e0 di ordinare il ritiro di prodotti gi\u00e0 in opera \u00e8 giuridicamente innovativa e potenzialmente molto costosa per i vendor colpiti. Questi avranno tutti gli incentivi per contestare la decisione davanti alla Corte di Giustizia dell’UE, creando un precedente che potrebbe ridisegnare i confini del potere regolatorio europeo in materia di tecnologia per i decenni a venire.<\/p>\n\n\n\n

Copertura Correlata<\/h2>\n\n\n\n