Questa approvazione non formale delinea un nuovo approccio alla cybersicurezza europea, estendendo la protezione a settori e strumenti sensibili come i futuri Portafogli di Identità Digitale e proponendo certificazioni per rafforzare l’intero ecosistema digitale.
[In pillole] La sintesi per chi va di fretta:
Le autorità europee per la protezione dei dati, EDPB e EDPS, hanno approvato le proposte di modifica della Direttiva NIS2 e del Cybersecurity Act. Il parere congiunto rafforza la resilienza informatica dell'UE, estendendo le norme anche ai Portafogli di Identità Digitale e allineando la cybersicurezza alla protezione dei dati prevista dal GDPR.
Un’approvazione che non è solo una formalità
Le due più importanti autorità europee per la protezione dei dati, il Comitato Europeo per la Protezione dei Dati (EDPB) e il Garante Europeo della Protezione dei Dati (EDPS), hanno dato la loro approvazione a una serie di modifiche legislative che potrebbero cambiare in modo significativo le regole sulla sicurezza informatica nell’Unione. Si tratta di un parere congiunto, pubblicato il 19 marzo 2026, che riguarda le proposte di aggiornamento della Direttiva NIS2 e del Cybersecurity Act, presentate dalla Commissione Europea circa due mesi prima, il 20 gennaio.
Spesso, questi pareri tecnici possono sembrare passaggi burocratici di scarso interesse, ma in questo caso la questione è più complessa e merita attenzione. L’EDPB e l’EDPS non sono infatti due organi qualsiasi: sono i custodi del GDPR, il regolamento che ha fissato standard molto alti per la privacy dei cittadini europei.
Il loro parere favorevole, quindi, non è un semplice timbro di approvazione, ma un segnale preciso: le nuove e più stringenti misure di cybersicurezza proposte non sono viste come una minaccia per i diritti fondamentali, ma piuttosto come un loro complemento.
L’idea di fondo, che emerge chiaramente dal documento, è che una maggiore sicurezza informatica si traduce direttamente in una migliore protezione dei dati personali. Quando un’azienda subisce un attacco hacker e i dati dei suoi clienti vengono rubati, non si verifica soltanto una falla di sicurezza, ma anche una grave violazione della privacy. Rafforzare le difese digitali, quindi, significa anche rafforzare uno dei pilastri del GDPR.
Le autorità hanno accolto con favore, in particolare, l’estensione dell’ambito di applicazione della direttiva a nuovi soggetti, tra cui i futuri Portafogli Europei di Identità Digitale (i cosiddetti “wallet”). Questi strumenti, pensati per contenere documenti e dati personali dei cittadini in formato digitale, rappresenteranno un punto di raccolta di informazioni estremamente sensibili. Assicurare che siano protetti con i più alti standard di sicurezza non è un’opzione, ma una necessità.
Il parere congiunto, come si legge nel comunicato stampa ufficiale dell’EDPB, sottolinea proprio come le proposte della Commissione riescano a far progredire la resilienza informatica dell’Unione mantenendo saldi i principi fondamentali della protezione dei dati.
Tuttavia, il fatto che si sia sentita la necessità di intervenire con modifiche così corpose su una direttiva, la NIS2, che è a sua volta relativamente recente, solleva una domanda.
Se l’impianto normativo precedente era stato pensato per essere un grande passo avanti, cosa non ha funzionato al punto da richiedere un intervento correttivo in così poco tempo?
Le crepe nel muro digitale europeo
La risposta a questa domanda si trova nelle difficoltà pratiche emerse durante la prima fase di applicazione della direttiva NIS2. Sebbene l’obiettivo fosse nobile – innalzare il livello generale di sicurezza informatica in settori critici come l’energia, i trasporti e la sanità – l’implementazione si è rivelata tutt’altro che uniforme.
La Commissione Europea stessa ha identificato diversi problemi, tra cui un’applicazione incoerente delle norme da paese a paese, la sovrapposizione di obblighi con altre normative e un approccio alla vigilanza eccessivamente frammentato.
Come descritto in un’analisi dello studio legale DLA Piper, questa situazione ha creato notevoli complicazioni per le aziende che operano in più stati membri, costringendole a districarsi tra interpretazioni diverse delle stesse regole, con un conseguente aumento dei costi di adeguamento e una persistente incertezza legale.
Le modifiche proposte mirano proprio a risolvere queste criticità, cercando di ottenere una maggiore armonizzazione tecnica e definizioni più chiare. L’obiettivo è creare un quadro di regole più omogeneo, in cui un’azienda sappia esattamente cosa ci si aspetta da lei, indipendentemente dal fatto che la sua sede principale sia a Lisbona, a Varsavia o a Stoccolma. Tra le prime superfici esposte a questi obblighi c’è la presenza web aziendale: un sito corporate costruito senza attenzione agli standard di sicurezza rischia di diventare il punto debole di un’organizzazione altrimenti ben strutturata.
– Leggi anche: A Meta un’intelligenza artificiale ha causato un grave incidente di sicurezza
In questo contesto si inserisce l’inclusione dei già citati Portafogli di Identità Digitale. La loro sicurezza è fondamentale, ma la loro stessa esistenza introduce anche un elemento di riflessione.
La centralizzazione di una così grande quantità di dati personali e documenti ufficiali in un unico strumento digitale, seppur controllato dal cittadino, crea inevitabilmente un bersaglio di altissimo valore per eventuali aggressori.
Inoltre, sorge il dubbio se un sistema così integrato e promosso a livello governativo non possa, in futuro, prestarsi a forme di controllo più capillari, andando oltre le sole finalità di sicurezza per cui è stato pensato.
Questa spinta verso la standardizzazione e il rafforzamento delle regole non riguarda però solo le procedure interne delle aziende, ma si estende anche ai prodotti e ai servizi che usiamo ogni giorno. Ed è qui che entra in gioco l’aggiornamento dell’altro pilastro della strategia europea, il Cybersecurity Act, che introduce un sistema di certificazioni che potrebbe avere implicazioni notevoli per il mercato.
Certificazioni di sicurezza: tra standard e interessi di mercato
Il Cybersecurity Act (CSA), e la sua versione aggiornata nota come CSA2, ha l’ambizione di creare un mercato unico anche per la sicurezza informatica. L’idea è quella di istituire schemi di certificazione validi in tutta l’Unione Europea per prodotti, servizi e processi.
In pratica, funzionerebbe come un marchio “CE” per la cybersicurezza: un dispositivo o un software certificato come “sicuro” in un paese membro dovrebbe essere riconosciuto come tale in tutti gli altri, senza bisogno di ulteriori validazioni.
Sulla carta, i vantaggi sono evidenti. Per i consumatori e le aziende, una certificazione europea offrirebbe una garanzia di affidabilità. Per i produttori, semplificherebbe l’accesso a un mercato di oltre 450 milioni di persone, riducendo costi e burocrazia.
Tuttavia, è importante chiedersi: chi definisce questi standard e chi ne beneficia realmente?
Il processo per ottenere una certificazione di questo tipo è complesso e costoso. Richiede competenze specializzate e il coinvolgimento di organismi accreditati. Se le grandi multinazionali dispongono delle risorse per sostenere questi costi, lo stesso non si può dire per le piccole e medie imprese o per le startup innovative. Per chi commissiona o sviluppa software, questo significa che la conformità non può più essere un ripensamento a posteriori: lo sviluppo di applicazioni dovrà incorporare i requisiti di sicurezza fin dalle prime fasi di progettazione, pena costi di adeguamento ben più elevati in seguito
Esiste il rischio concreto che questi schemi di certificazione, nati con l’intento di innalzare il livello di sicurezza, diventino di fatto una barriera all’ingresso per gli attori più piccoli del mercato, favorendo chi ha già una posizione dominante.
Le grandi aziende tecnologiche, inoltre, hanno spesso la capacità di influenzare la definizione degli standard stessi, orientando le specifiche tecniche in modo che si allineino con le loro tecnologie proprietarie. In questo modo, una misura pensata per proteggere il mercato europeo potrebbe, paradossalmente, consolidare il potere di poche grandi aziende, molte delle quali non europee.
La strada per l’approvazione finale è ancora lunga e passerà attraverso i negoziati tra Parlamento e Consiglio dell’Unione Europea. Il parere positivo delle autorità di protezione dei dati ha rimosso un ostacolo importante, ma il vero banco di prova sarà l’implementazione pratica di queste norme e la loro capacità di creare un ambiente digitale davvero più sicuro per tutti, senza soffocare l’innovazione o creare nuove disparità.
