“EU CYBERSECURITY ACT REVIEW”: LA COMMISSIONE UE RAFFORZA LA RESILIENZA AI RISCHI INFORMATICI
“Commission strengthens EU cybersecurity resilience and capabilities” (PRESS RELEASE - Published January 20, 2026) “Proposal for a Regulation for the EU Cybersecurity Act. - The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities” (WEBPAGE DEDICATA AL TEMA e link correlati - January 20, 2026) “PROPOSAL FOR A REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the European Union Agency for Cybersecurity (ENISA), the European cybersecurity certification framework, and ICT supply chain security and repealing Regulation (EU) 2019/881 (The Cybersecurity Act 2)” COM(2026) 11 - Proposal for a Regulation for the EU Cybersecurity Act Strasbourg, 20.1.2026 (TESTO NORMATIVO) “Factsheet: New Cybersecurity Package” (FACTSHEET - Published January 20, 2026)
EUROPEAN COMMISSION
https://ec.europa.eu/
EU COMMISSION – Link alla PRESS RELEASE
EU COMMISSION – WEBPAGE DEDICATA al tema
EU COMMISSION – Link al TESTO NORMATIVO
EU COMMISSION – Link al FACTSHEET
La Commissione europea ha pubblicato, il 20 gennaio scorso, una proposta di revisione del Cybersecurity Act (CSA). La riforma rappresenta un importante aggiornamento del quadro normativo UE in materia di sicurezza informatica e risponde alle persistenti sfide in termini di implementazione, alle crescenti pressioni sulla sicurezza delle supply chain e, infine, a un panorama caratterizzato da minacce in rapida evoluzione.
Il Cybersecurity Act-CSA è il quadro normativo dell'UE che definisce il mandato di ENISA (EU Agency for Cybersecurity), istituisce il Quadro europeo di certificazione della sicurezza informatica (ECCF - European Cybersecurity Certification Framework), definisce le modalità di valutazione della sicurezza dei prodotti/servizi ICT utilizzati dalle imprese. Tutto ciò rende la revisione del CSA estremamente rilevante per la conformità con le norme DORA, le decisioni relative all’outsourcing e la resilienza operativa complessiva(1).
Con particolare riguardo al rafforzamento della sicurezza delle ICT supply chain, la proposta normativa mira a ridurre i rischi legati a fornitori di Paesi terzi con problemi di sicurezza informatica. Definisce un quadro affidabile per la sicurezza della ICT supply chain basato su un approccio armonizzato, proporzionato e risk-based. Ciò consentirà all'UE e agli Stati membri di identificare e mitigare congiuntamente i rischi in 18 settori “critici”. Il Cybersecurity Act prevederà l'obbligo di derisking delle reti europee di telecomunicazioni mobili da parte di fornitori di Paesi terzi high-risk.
La review del Cybersecurity Act, inoltre, garantirà che prodotti e servizi destinati ai consumatori UE siano testati in modo più efficiente in termini di sicurezza, il che avverrà attraverso il rinnovo dell’European Cybersecurity Certification Framework (ECCF). Nelle intenzioni della Commissione, il quadro ECCF apporterà maggiore chiarezza e procedure più semplici, consentendo lo sviluppo di schemi di certificazione entro 12 mesi. Introdurrà inoltre una governance più “agile” e trasparente, per meglio coinvolgere le parti interessate attraverso l'informazione e la consultazione pubblica. Gli schemi di certificazione, gestiti da ENISA, diventeranno uno strumento pratico, di natura non obbligatoria, a vantaggio delle imprese, posto che tali schemi consentiranno di dimostrare la “conformità alle normative UE”, riducendo oneri e costi.
Secondo il testo normativo proposto, ENISA provvederà (I) a diffondere alert tempestivi relativi a minacce e incidenti informatici; (II) a fornire sostegno (in collaborazione con Europol e i Computer Security Incident Response Teams-SRI) alle imprese, nella risposta/nel ripristino a valle di attacchi ransomware; (III) alla gestione dello Sportello Unico per il reporting degli incidenti informatici.
La proposta legislativa passerà ora al Parlamento europeo e al Consiglio per la fase di negoziato.
______________________________________
(1) In parallelo, il Servizio di Ricerca del Parlamento europeo (European Parliamentary Research Service - EPRS) ha pubblicato un briefing dedicato alla revisione del Cybersecurity Act-CSA, con l'obiettivo di fornire una panoramica sintetica dell'applicazione ed efficacia del CSA fino ad oggi. Sul punto, si veda:
“Digital package - Revision of the Cybersecurity Act: Implementation takeaways”,
Published: January 2026 | Document number: PE 774.675
EUROPEAN PARLIAMENT
https://www.europarl.europa.eu/RegData/etudes/BRIE/2026/774675/EPRS_BRI(2026)774675_EN.pdf