Le autorità europee per la protezione dei dati hanno espresso il loro parere sulle nuove normative in materia di cybersicurezza. Il 18 marzo 2026, il Comitato Europeo per la Protezione dei Dati (EDPB) e il Garante Europeo della protezione dei dati (EDPS) hanno adottato un parere congiunto riguardante le proposte legislative presentate dalla Commissione Europea il 20 gennaio 2026: il Cybersecurity Act 2 e un pacchetto di modifiche alla direttiva NIS 2.
Il giudizio è favorevole, ma con riserve significative: migliorare la sicurezza digitale dell’Unione è considerato urgente e necessario, purché non si compromettano i diritti fondamentali dei cittadini.
Le nuove proposte europee sulla cybersicurezza
Nell’ampio contesto di revisione delle normative digitali, l’Unione Europea sta sviluppando disposizioni finalizzate ad elevare il livello di protezione delle infrastrutture dagli attacchi informatici.
Il 20 gennaio 2026, la Commissione Europea ha presentato due iniziative legislative destinate a rivoluzionare il panorama della sicurezza digitale: il Cybersecurity Act 2 e un insieme di modifiche alla direttiva NIS 2.
Questa iniziativa ambiziosa mira a rendere l’Unione più resiliente di fronte alle crescenti minacce cibernetiche, che vanno dai ransomware agli attacchi alle infrastrutture critiche, fino ai tentativi di spionaggio informatico.
Il parere dell’EDPB e dell’EDPS: sì alla sicurezza, ma con garanzie
Pochi mesi dopo la presentazione delle proposte, il Comitato Europeo per la Protezione dei Dati (EDPB) e il Garante Europeo (EDPS) hanno pubblicato il loro parere congiunto, adottato il 18 marzo 2026.
Il giudizio è fondamentalmente positivo, ma con raccomandazioni cruciali: è essenziale potenziare la cybersicurezza, mantenendo i diritti fondamentali della cittadinanza nel mirino.
Perché l’Europa ha bisogno di nuove regole
Il contesto digitale è costellato da attacchi informatici di vari tipi e gravità. Questi attacchi, sempre più sofisticati, colpiscono frequentemente ospedali, aziende, enti pubblici e infrastrutture essenziali. In questo scenario, l’Unione Europea ha deciso di aggiornare le proprie normative.
Le nuove proposte della Commissione puntano a raggiungere quattro obiettivi principali: rafforzare il ruolo dell’ENISA, rilanciare il sistema di certificazione della cybersicurezza, semplificare il quadro normativo e affrontare i rischi legati alla catena di approvvigionamento dei prodotti tecnologici, inclusi quelli di natura geopolitica.
ENISA: da agenzia tecnica a hub operativo
Una novità significativa riguarda la trasformazione dell’ENISA. L’agenzia, ora con sede ad Atene, evolverà da consulente tecnico a hub operativo per la cooperazione tra stati membri in materia di sicurezza informatica.
In tal modo, l’ENISA diventerà un centro di raccolta e condivisione di informazioni sulle minacce cibernetiche, ricevendo segnalazioni dai team di risposta agli incidenti informatici (i CSIRT) di tutta Europa e fornendo allerte tempestive alle organizzazioni a rischio.
Tuttavia, resta aperta la questione riguardo ai dati personali trattati dall’agenzia nel suo nuovo ruolo. Secondo rassicurazioni dalla Commissione Europea, l’agenzia utilizzerà principalmente dati aggregati e non personali. Le informazioni riguardanti attacchi informatici non dovrebbero includere dati identificativi delle vittime, ma solo indicatori tecnici utili a prevenire ulteriori incidenti.
Ciò nonostante, l’EDPB e l’EDPS richiedono maggiore chiarezza. Qualora l’ENISA dovesse trattare dati personali su larga scala, tale possibilità dovrebbe essere formalmente contemplata nella legge, accompagnata da garanzie adeguate per la protezione dei cittadini.
Un unico sportello per segnalare le violazioni
Tra le nuove misure, si evidenzia l’istituzione di un punto di accesso unico per la notifica degli incidenti di sicurezza. Attualmente, quando un’azienda subisce un attacco informatico che compromette i dati personali, è obbligata a fare segnalazioni multiple a diverse autorità, ognuna con procedure e tempistiche proprie.
Il sistema proposto consentirà una sola notifica, che verrà smistata automaticamente a tutte le autorità competenti. Questo rappresenterà un significativo alleggerimento burocratico per le aziende e una garanzia per i cittadini che le violazioni verranno comunicate e gestite rapidamente in maniera coordinata.
In precedenza, l’EDPB aveva già espresso supporto per questa soluzione nella “Dichiarazione di Helsinki” del luglio 2025, evidenziando che un sistema europeo di notifica incrociata faciliterebbe il rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR).
È essenziale, tuttavia, garantire la sicurezza delle notifiche stesse, poiché contengono informazioni sensibili che devono essere adeguatamente protette.
Portafogli digitali: massima protezione per l’identità elettronica
Una novità significativa riguarda i portafogli digitali europei, che consentiranno ai cittadini di conservare e utilizzare la propria identità digitale. Questi strumenti, destinati a diventare sempre più comuni, permetteranno di identificarsi online, firmare documenti elettronici e condividere in maniera sicura attestazioni e certificati.
La proposta di modifica alla direttiva NIS 2 classifica i fornitori di questi portafogli digitali come “entità essenziali”, equiparandoli alle infrastrutture critiche. Di conseguenza, dovranno rispettare i più severi requisiti di sicurezza informatica stabiliti dalla normativa europea.
Le autorità garanti sostengono questa scelta, considerando che un attacco ai portafogli digitali potrebbe compromettere l’identità di milioni di cittadini, con conseguenze devastanti.
Ransomware: mappare il fenomeno per combatterlo
Gli attacchi ransomware si configurano come uno dei fenomeni più frequenti e dannosi nel panorama digitale. Negli anni recenti, vari settori, tra cui ospedali e pubbliche amministrazioni, sono stati bersaglio di tali attacchi, con gravi danni economici e sociali.
Le nuove proposte introducono un meccanismo per raccogliere informazioni dettagliate sui ransomware. Le organizzazioni colpite saranno chiamate a fornire specifiche come se hanno pagato il riscatto e gli indirizzi di criptovalute utilizzati.
Questo approccio intende fornire una comprensione più approfondita del fenomeno e consentire alle forze dell’ordine di individuare e smantellare le organizzazioni criminali coinvolte.
Pur sostenendo questa iniziativa, l’EDPB e l’EDPS avvertono che le informazioni raccolte possono essere delicate e richiedono garanzie per la protezione dei dati al fine di tutelare le organizzazioni coinvolte.
Certificazioni di sicurezza: un bollino di qualità per prodotti e servizi
Il rilancio del sistema europeo di certificazione della cybersicurezza è un ulteriore pilastro delle nuove proposte. L’obiettivo è creare standard comuni per verificare che prodotti e servizi informatici rispettino determinati requisiti di sicurezza, con un “bollino di qualità” riconosciuto in tutta l’Unione.
Una novità del Cybersecurity Act 2 è l’inclusione della capacità dell’entità certificata di garantire la sicurezza del trattamento dei dati personali. Ciò implica che i sistemi di certificazione dovranno considerare le esigenze di protezione dei dati.
Le autorità garanti accolgono positivamente questa apertura, ma richiedono maggiore chiarezza sul rapporto tra la certificazione di cybersicurezza e quella del GDPR, poiché non tutte le misure di sicurezza informatica sono compatibili con la protezione dei dati personali.
Competenze digitali: non solo per gli esperti
Un aspetto frequentemente trascurato nella sicurezza informatica è la formazione delle persone. Anche il sistema di difesa più efficace può risultare inefficace di fronte a comportamenti incauti degli utenti. I criminali informatici sfruttano comunemente tecniche di “ingegneria sociale” per eludere le barriere tecnologiche.
Il Cybersecurity Act 2 prevede l’implementazione di un Quadro Europeo delle Competenze di Cybersicurezza, che definirà le conoscenze e abilità necessarie per vari ruoli professionali, facilitando la formazione e il riconoscimento delle qualifiche.
Le autorità garanti lodano questa iniziativa, ma sollevano la mancanza di un profilo per i cittadini comuni, considerato che circa la metà della popolazione adulta europea non possiede competenze digitali di base.
È pertanto proposto di includere un profilo “generalista” che definisca le abilità minime necessarie per interagire in sicurezza nel mondo digitale.
Catena di approvvigionamento: attenzione ai rischi geopolitici
Le nuove proposte si occupano della sicurezza della catena di approvvigionamento dei prodotti tecnologici. Molti dispositivi e software provengono da paesi terzi che presentano complessità produttive globalizzate, creando potenziali rischi non solo tecnici, ma anche geopolitici.
Il Cybersecurity Act 2 introduce un quadro per la valutazione di questi rischi “non tecnici” nelle catene di approvvigionamento. L’obiettivo è identificare e attenuare fattori di vulnerabilità legati a proprietà aziendale, dipendenze strategiche e giurisdizioni.
Le autorità garanti per la protezione dei dati personali accolgono questa misura, sostenendo che la protezione dalle interferenze straniere tuteli anche i diritti fondamentali dei cittadini europei.
Il difficile equilibrio tra sicurezza e libertà
Il parere congiunto dell’EDPB e dell’EDPS mette in evidenza una tensione tra l’efficacia delle misure di protezione e il rispetto dei diritti individuali. La sicurezza informatica e la protezione dei dati personali sono interconnesse. Un sistema di cybersicurezza efficace impedisce accessi non autorizzati e perdita di dati, mentre alcune misure possono risultare invasive.
Le autorità garanti ricordano che il GDPR considera la sicurezza informatica un “interesse legittimo” che può giustificare il trattamento di dati personali, ma insiste che le misure devono essere “necessarie e proporzionate”. È fondamentale considerare soluzioni meno invasive.
Conclusioni: un passo avanti, con cautela
Le proposte della Commissione Europea rappresentano un’importante evoluzione nel rafforzamento della sicurezza digitale dell’Unione. In un periodo in cui le minacce cibernetiche aumentano in complessità, diviene cruciale dotarsi di strumenti adeguati per proteggere cittadini, imprese e istituzioni.
Il parere congiunto dell’EDPB e dell’EDPS evidenzia un consenso su questa urgenza, ottenendo sostegno per le proposte ma con richieste specifiche affinché la sicurezza non comprometta i diritti fondamentali.
È imperativo che l’Europa si attrezzi meglio contro le minacce cibernetiche, rispettando i principi che la caratterizzano. La protezione dei dati, la proporzionalità, la trasparenza e il rispetto dello stato di diritto devono costituire le fondamenta di una strategia di sicurezza conforme ai valori europei.
