FEBBRAIO 2026
L’ attuale "trasformazione digitale", unita ad una crescente instabilità geopolitica e all’evoluzione di minacce principalmente ibride, spinge sempre più l’Unione Europea (UE) a ripensare il modo in cui proteggere il proprio continente all’interno del "cyberspace".
Oggi non basta sviluppare o adottare tecnologie sempre più avanzate, ci serve qualcosa di più profondo: una vera presa di coscienza collettiva. Dovremmo affinare le nostre strategie e, soprattutto, custodire e nutrire continuamente le nostre capacità di conoscenza: da lì che nasce la resilienza, non solo dagli strumenti che utilizziamo.
In questo contesto, la proposta di Regolamento presentata il 20 gennaio 2026, nota come Cybersecurity Act 2, è una risposta ambiziosa da parte dell’Unione Europea, pensata per rendere più resiliente l’ecosistema digitale europeo, più sicure le nostre infrastrutture critiche e proteggere le supply chain ICT presenti in ogni settore della società.
Un passo in avanti dove la cybersecurity diventa un driver essenziale per la stabilità, l’economia e la sicurezza collettiva del nostro continente.
Nella sua proposta, la Commissione identifica quattro aree di miglioramento per le quali sono richiesti interventi urgenti:
- Allineamento tra politiche europee e bisogni reali degli stakeholder (in particolare all’interno della Pubblica Amministrazione), in un contesto dominato da attacchi informatici sempre più sofisticati che fanno crescere il divario tra la reale esigenza e le soluzioni, troppo vulnerabili, fornite dal quadro legislativo.
- Rafforzamento del sistema di certificazione europeo, che finora ha prodotto un solo schema pienamente operativo, l’EUropean Common Criteria–based cybersecurity certification scheme (EUCC) adottato nel 2024, lasciando aziende e operatori in attesa di strumenti che possano accompagnarli nella complessità del panorama digitale.
- Semplificazione e armonizzazione normativa nel rispetto degli obblighi di cybersecurity.
- Mitigazione di rischi crescenti nelle supply chain ICT, incluse dipendenze critiche da parte di servizi essenziali, esposizione a fattori ad alto rischio che evidenziano una necessità strategica per garantire sicurezza, continuità e autonomia all’Europa digitale
Le criticità che possono emergere oggi, non minacciano solo la sicurezza informatica, ma arrivano ad incidere anche sulla stabilità economica, sulla capacità tecnologica e di difesa degli Stati membri.
Con il Cybersecurity Act 2, l’Agenzia dell'Unione europea per la cibersicurezza (ENISA) assume un ruolo nuovo con un mandato notevolmente ampliato e più operativo per la cybersecurity europea. ENISA diventa innanzitutto un vero centro di eccellenza, chiamato a sviluppare standard, analisi di minaccia e specifiche tecniche con cui guidare l’Europa contro i rischi informatici.
Allo stesso tempo, l’Agenzia assume il ruolo di motore della cooperazione operativa, diventando la “cabina di regia” in caso di emergenza cyber tra gli Stati Membri, entrando nel cuore dei meccanismi europei di risposta agli incidenti e coordinando la Cybersecurity Reserve europea, una sorta di “squadra di pronto intervento” chiamata ad agire quando un attacco minaccia di diventare sistemico. L’Agenzia diventerà anche il nuovo riferimento sia per il sistema europeo di certificazione che per quello di presidio formativo con una “Accademy europea per la cybersecurity”.
Il pacchetto Cybersecurity Act 2, come detto, interviene revisionando il sistema europeo di certificazione in modo da aggiornare la struttura dell’European Cybersecurity Certification Framework (ECCF) verso un framework moderno, chiaro e allineato con altri obiettivi, tra cui quelli del Cyber Resilience Act, e da assicurare l’adozione di schemi europei, oltre a garantire la coerenza e la cooperazione interoperabile tra tutti gli Stati membri.
La certificazione diventa un elemento chiave per creare quello stato di fiducia nel contesto tecnologico-geopolitico, sia per il mercato interno sia verso i partner internazionali, dando il via ad un cambio di paradigma: non più certificazioni limitate a ciò che viene prodotto o ai servizi erogati ma anche alla reale capacità di proteggersi e gestire il rischio, confermando la conformità anche agli obblighi cybersecurity previsti da altre normative (es. NIS2).
Il Cybersecurity Act 2 interviene anche nel contesto della supply chain ICT, introducendo per la prima volta in Europa un quadro strategico comune e sicuro a livello di tutti gli Stati membri attraverso il “Trusted ICT Supply Chain Framework”.
Il Regolamento definisce i key ICT assets di protezione prioritaria, prevede valutazioni del rischio coordinate a livello europeo su operatori e sui cosiddetti “high-risk suppliers”, cioè fornitori considerati ad alto rischio per giurisdizione del paese d’origine, per il rischio di interferenze istituzionali, per attività di spionaggio o comportamenti ostili o per mancanza di controlli democratici.
Tra le misure previste, si trovano il divieto di utilizzare componenti da fornitori ad alto rischio, l’obbligo di diversificazione dei fornitori, la rimozione graduale (phasing-out) di componenti critici e le limitazioni al trasferimento di dati verso Paesi non affidabili.
Il Framework si applica direttamente anche alle infrastrutture, come reti mobili, fisse e satellitari, che permettono all’Europa di comunicare, scambiare dati e muovere risorse, prevedendo anche qui un phasing-out per la rete 5G e quella futura di 6G.
Il Cybersecurity Act 2 chiede agli Stati membri di diventare protagonisti, non spettatori.
Anche le autorità pubbliche dovranno rafforzare le proprie strutture di vigilanza, coordinarsi meglio con ENISA e con gli altri Paesi, fornire contribuiti alle valutazioni di rischio europee e supervisionare l’applicazione delle misure di supply chain. È un lavoro complesso ma fondamentale per la Pubblica Amministrazione che avrà strumenti sempre più potenti, alleati più competenti e un quadro europeo solido e armonizzato entro cui muoversi.
In conclusione, l’Unione europea si sta muovendo nella direzione di rafforzare la sicurezza e affermare la sovranità digitale attraverso nuovi strumenti, maggiore cooperazione e una protezione più solida per cittadini e istituzioni, ma chiede anche impegno, investimenti e una profonda riorganizzazione.
Oggi, ogni progresso nella sicurezza porta con sé opportunità preziose, ma anche nuove responsabilità da affrontare con lucidità e consapevolezza morale.
Lucia Di Giambattista (Socio AFCEA AlmavivA SpA)
Per approfondire consulta “Proposal for a Regulation for the EU Cybersecurity Act”.
