La Commissione Europea ha presentato il nuovo pacchetto normativo composto dal Cybersecurity Act 2 e da modifiche mirate alla Direttiva NIS2, con l'obiettivo di semplificare e razionalizzare il quadro di compliance in materia di sicurezza informatica per imprese e pubbliche amministrazioni.

L'iniziativa arriva in un momento critico, segnato da un aumento esponenziale degli incidenti informatici e dalla crescente sofisticazione degli attacchi, che sfruttano anche tecnologie come l'intelligenza artificiale e il ransomware per colpire infrastrutture e servizi essenziali.

Un problema centrale per l'Unione è la complessità normativa derivante dall'accumulo di regolamenti e direttive in materia di cybersecurity. Accanto alla NIS2, già rafforzata per aumentare la sicurezza delle infrastrutture critiche, si sono stratificati strumenti come il Cyber Resilience Act, il Cyber Solidarity Act e normative settoriali specifiche, generando adempimenti spesso onerosi e frammentati.

Il Cybersecurity Act 2 mira a semplificare questo quadro, rendendo più coerenti e armonizzati gli obblighi di compliance attraverso un European Cybersecurity Certification Framework (ECCF) esteso. Questo nuovo approccio consente alle organizzazioni di ottenere certificazioni sulla propria "cyber posture" (capacità di gestione del rischio informatico), riducendo i costi di conformità e alleggerendo il carico normativo.

Una delle novità introdotte riguarda la creazione di una nuova categoria di "small mid-cap enterprises" che, seppur rilevante, può essere classificata come entità importante anziché essenziale, con obblighi di compliance proporzionati alle dimensioni. Inoltre, la normativa prevede che gli atti di esecuzione della Commissione su misure di rischio tecnico non possano essere integrati da requisiti ulteriori a livello nazionale, promuovendo così uniformità e prevedibilità.

Il pacchetto normativo riconosce che reti di comunicazione elettronica e servizi ICT costituiscono la spina dorsale dell'economia digitale europea e richiedono misure di sicurezza adeguate, incluse per reti 5G e 4G non standalone. Inoltre, il Cybersecurity Act 2 rafforza il principio di accountability, chiedendo a fabbricanti e fornitori di assumersi responsabilità dirette per la conformità alle norme di sicurezza attraverso dichiarazioni formali di conformità.

Nel complesso, il pacchetto si pone come un passo verso una Europa più resiliente, sicura e competitiva, bilanciando la semplificazione della compliance con l'intento di rafforzare la postura di sicurezza digitale dell'Unione. Per le aziende e le amministrazioni, la sfida sarà tradurre i nuovi requisiti in processi operativi efficaci, per anticipare i rischi e garantire continuità e protezione dei servizi essenziali.

Valenzano, 30 gennaio 2026