Il 20 gennaio 2026, la Commissione europea ha pubblicato la proposta di revisione del Cybersecurity Act: COM(2026) 11 – Proposal for a Regulation for the EU Cybersecurity Act. La proposta si inserisce in un più ampio "pacchetto cybersecurity" con l'obiettivo di rafforzare resilienza e capacità dell'UE, ridurre la frammentazione nel mercato unico digitale e affrontare la sicurezza della supply chain ICT come rischio strategico.

Obiettivi dichiarati della proposta

Secondo la descrizione ufficiale dell'iniziativa, la revisione del Cybersecurity Act mira a: (1) aumentare la sicurezza delle supply chain ICT dell'UE, (2) garantire che prodotti e servizi che arrivano ai cittadini europei siano "cyber-secure by design" tramite un processo di certificazione più semplice, (3) facilitare la conformità alle regole UE esistenti in materia di cybersecurity e (4) rafforzare ENISA nel supporto agli Stati membri e all'UE nella gestione delle minacce cyber. Per il framing ufficiale, vedi la pagina "library" della Commissione e la pagina "press" del pacchetto.

• Pagina della proposta (library Commissione): Proposal for a Regulation for the EU Cybersecurity Act
• Pagina "press" del pacchetto: Commission strengthens EU cybersecurity resilience and capabilities

Pilastri principali (alto livello)

Le Questions & Answers pubblicate dalla Commissione per il pacchetto cybersecurity sintetizzano quattro blocchi principali collegati alla proposta: un framework orizzontale per la sicurezza delle supply chain ICT (inclusi rischi di dipendenze strategiche e interferenze esterne), una semplificazione e potenziamento dell'European Cybersecurity Certification Framework (ECCF), misure di semplificazione collegate all'implementazione di NIS2, e un rafforzamento di ENISA.

• Q&A del pacchetto: Cybersecurity Package – Questions & Answers
• Overview ECCF: EU Cybersecurity Certification Framework (ECCF)

Cosa potrebbe cambiare per imprese e PA (indicazioni operative)

Pur restando il testo legislativo la fonte primaria, i materiali pubblicati dalla Commissione evidenziano implicazioni pratiche rilevanti:

• Supply chain ICT come requisito trasversale: la proposta inquadra la supply chain security come area di intervento coordinato UE/Stati membri, con approcci proporzionati e risk-based per gestire rischi strategici nelle supply chain critiche. (Vedi Q&A.)
• Certificazione come leva di compliance: l'ECCF viene presentato come strumento per dimostrare conformità e ridurre oneri amministrativi, favorendo la riusabilità delle evidenze tra obblighi cyber UE. (Vedi pagina ECCF e Q&A.)
• Tempistiche più chiare per gli schemi: nei materiali della Commissione si indica, come regola generale, lo sviluppo di uno schema candidato entro un anno da una richiesta della Commissione (tramite ENISA), per rendere più prevedibile il percorso di certificazione. (Vedi Q&A.)
• Rafforzamento ENISA: viene descritta l'intenzione di consolidare il ruolo di ENISA su cooperazione operativa, situational awareness, standard/certificazione e supporto alla mitigazione del ransomware. (Vedi Q&A.)

Per le organizzazioni che già gestiscono la conformità NIS2 o la conformità DORA, la semplificazione della certificazione potrebbe ridurre la duplicazione delle evidenze. Un percorso di Virtual CISO può aiutare a mappare i controlli esistenti verso il framework di certificazione emergente.

Relazione con altre iniziative UE (semplificazione e reporting)

La Commissione collega esplicitamente la proposta a iniziative di semplificazione e razionalizzazione dell'implementazione delle regole cyber, inclusi interventi sul reporting e sulla riduzione degli oneri. Nelle Q&A viene richiamato, ad esempio, il Digital Omnibus e l'approccio "single-entry point" per la notifica incidenti.

• Digital Omnibus (library Commissione): Digital Omnibus Regulation Proposal
• Proposta sulle modifiche mirate a NIS2 (stesso pacchetto): Proposal for a Directive – semplificazioni e allineamento (NIS2 targeted amendments)

Download e allegati della proposta (Commissione)

La pagina ufficiale della proposta rende disponibili i documenti principali (testo, allegati e impact assessment):

• COM(2026) 11 – Proposal for a Regulation for the EU Cybersecurity Act: Download
• COM(2026) 11 – Annexes to the proposal: Download
• Impact Assessment – Proposal for a Regulation for the EU Cybersecurity Act: Download
• Summary of the Impact Assessment: Download

Altri allegati Commissione collegati alla proposta (valutazione ENISA & ECCF)

In parallelo alla proposta legislativa, la Commissione ha pubblicato una valutazione dell'Agenzia UE per la cybersecurity (ENISA) e dell'ECCF, accompagnata da uno staff working document e da uno studio di supporto (con summary e annexes). Questi documenti aiutano a comprendere la base analitica della revisione e le aree di miglioramento individuate.

• Pagina della valutazione: Evaluation of ENISA and the ECCF
• Supporting study (full / summary / annexes) su data.europa.eu: Link disponibili nella pagina della valutazione (studio completo, sintesi, allegati)

Nota: si tratta di una proposta soggetta al processo legislativo UE (Parlamento + Consiglio). In ottica di preparazione, è utile avviare un'analisi gap su supply chain risk governance, readiness alla certificazione e maturità di evidenze riusabili.