Cybersecurity: la Commissione UE presenta il nuovo pacchetto per la sicurezza informatica

L'Europa affronta quotidianamente attacchi informatici e ibridi contro i servizi essenziali e le istituzioni democratiche, sferrati da sofisticati gruppi criminali e attori statali. Per rispondere a queste crescenti minacce, la Commissione europea ha presentato oggi un nuovo pacchetto sulla cibersicurezza, volto a consolidare la resilienza e le capacità difensive dell'Unione. 

Il futuro delle Telco tra Digital Networks Act e sovranità UE: la sfida del mercato unico 2028

Il nuovo 'cybersecurity package' include una proposta di revisione del Regolamento sulla cibersicurezza (Cybersecurity Act) che rafforza la protezione delle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione (ICT) dell’UE. Grazie a processi di certificazione semplificati, il provvedimento garantisce che i prodotti destinati ai cittadini europei siano sicuri "fin dalla progettazione" (in inglese "security by design"). Inoltre, agevola il rispetto delle normative vigenti e potenzia il ruolo dell'ENISA - l'Agenzia dell'UE per la cibersicurezza - nel supportare gli Stati membri e l'Unione nella gestione delle crisi informatiche.

Rafforzare la sicurezza delle catene di approvvigionamento ICT in Europa

Nelle intenzioni della Commissione UE, il nuovo Regolamento mira a ridurre i rischi derivanti da fornitori di paesi terzi che presentano profili di criticità per la sicurezza. Viene stabilito un quadro normativo solido per la catena di approvvigionamento delle ICT, basato su un approccio armonizzato, proporzionato e fondato sull'analisi del rischio. Questo permetterà all'UE e ai singoli Stati di individuare e mitigare congiuntamente le vulnerabilità nei 18 settori critici, valutando attentamente anche l'impatto economico e le dinamiche di mercato.

I recenti incidenti informatici hanno evidenziato la vulnerabilità delle infrastrutture essenziali. Nell'attuale scenario geopolitico, la sicurezza della catena di approvvigionamento non è più una mera questione tecnica, ma coinvolge rischi legati ai fornitori, alle dipendenze strategiche e alle possibili interferenze straniere. Sulla scia del lavoro già avviato con il pacchetto di strumenti per la sicurezza del 5G, il Regolamento imporrà la riduzione obbligatoria dei rischi per le reti mobili europee qualora siano coinvolti fornitori extra-UE ad alto rischio.

Semplificare e migliorare il quadro europeo di certificazione della sicurezza informatica

La revisione del Cybersecurity Act ha l'obiettivo di garantire test di sicurezza più efficienti per i prodotti e i servizi rivolti ai consumatori dell'UE, attraverso un rinnovato Quadro europeo di certificazione della cibersicurezza (ECCF). L'ECCF introdurrà procedure semplificate e maggiore chiarezza, prevedendo di norma lo sviluppo di sistemi di certificazione entro 12 mesi. Una governance più agile e trasparente assicurerà inoltre un miglior coinvolgimento degli stakeholder tramite consultazioni pubbliche periodiche.

I sistemi di certificazione gestiti dall'ENISA diventeranno uno strumento pratico e volontario per le imprese, permettendo loro di dimostrare la conformità alle norme UE riducendo oneri e costi. Oltre ai prodotti e processi ICT, insieme ai servizi di sicurezza professionali, le organizzazioni potranno certificare la propria postura di sicurezza complessiva, trasformando la conformità in un vantaggio competitivo. Per i cittadini e le autorità pubbliche, l'ECCF rappresenterà una garanzia di affidabilità per le complesse catene di approvvigionamento digitali.

Facilitare il rispetto delle norme in materia di cybersecurity

Il pacchetto introduce misure per semplificare l'adeguamento ai requisiti di gestione del rischio, integrando il punto di ingresso unico per la segnalazione degli incidenti previsto dal Digital Omnibus. Le modifiche mirate alla Direttiva NIS2 aumentano la certezza del diritto, agevolando la conformità per circa 28.700 aziende (incluse 6.200 micro e piccole imprese).

Viene inoltre introdotta una nuova categoria di "piccole imprese a media capitalizzazione" (small mid-caps) per ridurre i costi burocratici per ulteriori 22.500 realtà. Queste riforme snelliscono le norme giurisdizionali, facilitano la raccolta dati sugli attacchi ransomware e potenziano la vigilanza sulle entità transfrontaliere grazie al coordinamento centrale dell'ENISA.

Ruolo ENISA per rafforzare la resilienza UE in materia di sicurezza informatica

Dall'approvazione del primo Cybersecurity Act nel 2019, l'ENISA è diventata il pilastro dell'ecosistema difensivo europeo. La revisione odierna conferisce all'Agenzia nuovi poteri per aiutare l'Unione e gli Stati membri a mappare le minacce comuni, prepararsi agli incidenti e rispondere con efficacia.

L'Agenzia supporterà le imprese attraverso l'invio di avvisi tempestivi e, in sinergia con Europol e i CSIRT (gruppi di intervento per la sicurezza informatica), assisterà le aziende colpite da ransomware nelle fasi di risposta e ripristino. Inoltre, l'ENISA svilupperà un approccio coordinato per migliorare la gestione delle vulnerabilità, gestirà il punto di ingresso unico per le segnalazioni e promuoverà una forza lavoro qualificata attraverso l'Accademia delle competenze in materia di cibersicurezza, istituendo sistemi di attestazione delle competenze validi in tutta l'Unione.

Pacchetto cybersecurity 2026, l'iter di approvazione

Come spiegato dalla Commissione europea, il Regolamento sulla cibersicurezza sarà applicabile immediatamente dopo l'approvazione da parte del Parlamento europeo e del Consiglio dell'UE.

Parallelamente, saranno sottoposte ad approvazione le modifiche alla Direttiva NIS2. Una volta adottata quest'ultima, gli Stati membri avranno un anno di tempo per recepire la direttiva nel diritto nazionale e comunicare le misure adottate alla Commissione.

Nuovo EU Cybersecurity Act: consulta i documenti ufficiali sulla proposta di Regolamento e Direttiva